De kracht en het irritante van Multi-Factor Authentication (MFA)
Vandaag was het zover: een van onze nieuwe klanten was zijn wachtwoord kwijt en had ook geen toegang meer tot Okta Verify omdat hij een nieuwe telefoon had. Maar waarom is het zo'n gedoe om toegang te herstellen als je je telefoon kwijtraakt?
Multi-Factor Authentication (MFA) is bedacht om ervoor te zorgen dat gebruikers iets fysieks in handen hebben om hun identiteit te bewijzen. Alleen een wachtwoord is namelijk niet meer veilig genoeg. Kijk maar eens naar https://haveibeenpwned.com en bedenk dat:
Als je een nieuw account aanmaakt, weet je zeker dat het nog niet is gehackt. Door dan een tweede factor toe te voegen, wordt je account veel veiliger. Die tweede factor kan van alles zijn. Je kunt bijvoorbeeld codes ontvangen via SMS of e-mail, of gebruikmaken van apps zoals Google Authenticator. Elke factor heeft een ander niveau van veiligheid, afhankelijk van de categorie. Een factor in de categorie "Kennis" is zwak, omdat je die kunt delen en makkelijk moet kunnen onthouden. Wachtwoorden vallen in die categorie. Okta Verify valt in de categorie "Bezit" en is al een stuk sterker. De sterkste factor is "Biometrisch", maar die is ook het lastigst in te voeren. Op dit moment wordt biometrische authenticatie meestal gecombineerd met een factor van de categorie "Bezit", zoals FaceID terwijl je Okta Verify gebruikt.
Het mooie van MFA met Okta Verify is dat er een link wordt gelegd tussen je Okta-account (met toegang tot alle applicaties en data van de organisatie), jou als persoon en het fysieke apparaat in je handen, je telefoon. Zodra die link is gelegd, door de QR-code te scannen, kan Okta ervan uitgaan dat jij degene bent die probeert in te loggen wanneer je de Okta Verify 'challenge' beantwoordt. Zeker nu Okta Verify ook gezichtsherkenning/FaceID ondersteunt, wordt de identificatie nog sterker.
Maar het irritante is dat als de link tussen jou, je telefoon en je account wordt verbroken - bijvoorbeeld omdat je een nieuwe telefoon hebt en de oude niet meer hebt - je die link helemaal opnieuw moet leggen. Daar heb je een beheerder voor nodig. En totdat dat is gebeurd, kun je niet inloggen.
Het is nog vervelender omdat de beheerder moet controleren of het verzoek om de link te herstellen echt van jou komt. Recentelijk was er bijvoorbeeld een hack bij MGM (
Hopelijk begrijp je nu beter wat de kracht is van MFA en kun je het irritante - als het een keer gebeurt - voor lief nemen. Vergeet niet dat als je van telefoon wisselt, je eerst Okta Verify moet instellen op je nieuwe telefoon voordat je je oude telefoon wegdoet. Ga naar je Okta-dashboard, ga naar Instellingen => Nog een instellen.
Als je dit toch vergeet of je telefoon kwijtraakt, heb je een beheerder nodig.
Wil je meer weten over de verschillende factoren of vraag je je af waarom we geen SMS-codes ondersteunen? In de volgende link vind je meer informatie over verschillende soorten factoren en het beveiligingsniveau. Wist je bijvoorbeeld dat het bij T-Mobile heel eenvoudig was om het telefoonnummer van iemand anders over te nemen en zo de SMS-code te onderscheppen?