Iedereen bij SimplifyNow vergeet wachtwoorden!

Wees gerust, dat is geheel de bedoeling. Waarschijnlijk heb je wel eens gehoord van “Multi-Factor Authentification” (MFA) of “sterke authenticatie”: het inloggen met een extra code of handeling. En de noodzaak daarvan. Misschien heb je ook al gehoord over “wachtwoordloos inloggen”. Veilig voor de organisatie, gebruiksvriendelijk voor de medewerker.

Binnen onze organisatie SimplifyNow zijn wij zijn intussen zover gegaan dat niemand binnen het eigen wachtwoord nog weet. En nog steeds heeft iedereen toegang tot apps, data en devices. Onze nieuwste collega’s werken zelfs direct vanaf de onboarding wachtwoordloos. In dit artikel lees je over hoe je wachtwoordloos kan inloggen, hoe gebruikers dit mogelijk maken in Microsoft 365, hoe je medewerkers hiermee een vliegende start geeft én over hoe letterlijk wij wachtwoordloos inloggen nemen. In onze volgende blog vullen we dit aan met onze onmisbare “expert tips”.

Hoe kun je wachtwoordloos inloggen?

Eerst even terugspoelen… Is wachtwoordloos inloggen écht wachtwoordloos? Grotendeels. Soms kan het namelijk nodig zijn om toch op de “ouderwetse” manier in te loggen. Maar het feit dat je nog niet volledig zonder wachtwoorden kan werken, hoeft niet te betekenen dat je er al een begin mee kan maken.

De eerste belangrijke stap naar wachtwoordloos inloggen is een MFA-methode registreren. Binnen Microsoft 365 is het al enige tijd mogelijk om zonder wachtwoord in te loggen. Collega’s moeten dus een MFA-methode registreren binnen Microsoft 365 om hier gebruik van te maken. De keuze: via een telefoonnummer, een SMS, authenticator apps of zelfs via hardware security tokens. Wij raden de eerste twee af. Ook het gebruik van een privéadres is niet wenselijk. Dit brengt namelijk grotere veiligheidsrisico’s meebrengen. En niet elke MFA-methode ondersteunt wachtwoordloos inloggen. Maar alles beter dan helemaal geen MFA, uiteraard.

Wat raden we dan aan? Concreet zijn er (de onderstaande) drie opties voor MFA in combinatie met wachtwoordloos inloggen. Dit zijn: Windows Hello for Business,  Microsoft Authenticator of een hardware security token (USB). Wij kozen de Microsoft Authenticator-app. Wanneer Windows Hello for Business verstandig is, lees je in onze volgende blog.

Hoe activeer je wachtwoordloos inloggen met de Microsoft Authenticator app?

Gebruikers van de Microsoft Authenticator-app activeren “phone-signin”. Hiermee koppel je een smartphone aan een Azure Active Directory-omgeving (Azure AD, inlogomgeving en -beveiliging Microsoft 365). Als de phone-signin geactiveerd is, kan de gebruiker voortaan inloggen met de Microsoft Authenticator-app. Dat werkt als volgt: na het invullen van een gebruikersnaam laat de applicatie een code zien, die de gebruiker invult in de Microsoft Authenticator-app. Hierna is de gebruiker ingelogd. Dit noem je number matching.

Wanneer MFA bij veel medewerkers geïntroduceerd is, is het slim om over te gaan naar het afdwingen van inloggen met MFA. Dat maakt het niet langer een keuze, maar een vereiste voor de medewerker. Ons advies is om dit gefaseerd te doen via Conditional Access-regels in Azure AD. Zo maak je authenticatiebeleid steeds strenger.

Hoe kun je medewerkers een vliegende start geven?

Nieuwe collega’s geef je een vliegende MFA-start via TAP. De authenticatiemethode Temporary Access Pass (TAP) is daarvoor door Microsoft bedacht. TAP is een tijdelijk wachtwoord dat je eenmalig kunt gebruiken binnen een bepaalde periode. Het vervangt daarmee het verstrekken van een “traditioneel” beginwachtwoord aan nieuwe medewerkers. Een kwetsbaar moment bij het onboarden. TAP geeft je controle en verkleint het risico op cybercriminaliteit dat op de loer ligt als een gebruiker het gekregen wachtwoord niet direct wijzigt of kan wijzigen.  De nieuwe collega kan hiermee direct de Microsoft Authenticator-app in gebruik nemen.

Nieuwe gebruikers geven wij een handleiding, hun gebruikersnaam, de nodige devices en hun TAP. Uiteraard via een beveiligde omgeving. Zo kan je gebruikers op een veilige manier (op afstand) onboarden. En dan zonder een “welkom123”.

Hoe letterlijk wij wachtwoordloos inloggen nemen?

Wie een wachtwoord gebruikt, loopt altijd risico op misbruik door cybercriminelen. Zolang volledig wachtwoordloos inloggen nog niet mogelijk is, blijft dit risico bestaan. MFA biedt een extra laag om “inbraken” te voorkomen, maar wij gaan nóg een stap verder. Die stap: het niet verstrekken van wachtwoorden aan gebruikers en ook geen mogelijkheid bieden om dit te herstellen of veranderen.

Bij SimplifyNow veranderen wij het wachtwoord van iedere gebruiker periodiek en geautomatiseerd in een gerandomiseerd complex wachtwoord van meer dan honderd karakters. Dit wachtwoord slaan wij nergens op. Wie volledig vertrouwt op wachtwoordloos inloggen, heeft de wachtwoorden namelijk niet langer nodig. We hebben uiteraard wel een vangnet: speciale noodtoegang en via het beheer van accounts.

Hoe beveilig jij jullie toegangspoort?

Veel collega’s betekent veel mogelijke veiligheidsrisico’s. Wachtwoordloos inloggen is de sleutel naar het verminderen van die veiligheidsrisico’s. Verbeter je cybersecurity met MFA en start net wachtwoordloos inloggen. Wij kunnen een inventarisatie uitvoeren en een routekaart maken met als eindbestemming: een echt wachtwoordloze werkomgeving. Met altijd oog voor de mens. Neem contact met ons op.

door Dave Stork