Implementation

Multi-Factor Authenticatie: Bescherming Tegen Credential Compromise

📊 Operational 👥 Identity Administrators, Security Managers, IT Operations ⏱️ 27 min lezen
1 Detection 11:23 Suspicious activity flagged by SIEM 2 Analysis 11:34 Investigation started 3 Containment 11:45 Account suspended Access revoked 4 Eradication 12:15 Malware removed 5 Recovery 13:45 Services restored Monitoring active Total Time to Resolution 2h 22m Incident Resolved
Executive Summary

Alleen wachtwoorden zijn fundamenteel onvoldoende tegen moderne dreigingen. Phishingmails verleiden gebruikers ertoe hun wachtwoord prijs te geven. Wachtwoordhergebruik over verschillende diensten zorgt ervoor dat één datalek meerdere accounts tegelijkertijd blootstelt. Brute-force aanvallen kraken zwakke wachtwoorden, terwijl keyloggers alle toetsaanslagen – inclusief wachtwoorden – onzichtbaar kunnen onderscheppen. In de praktijk blijkt dat een groot deel van beveiligingsincidenten begint met gecompromitteerde inloggegevens; in meer dan tachtig procent van de gevallen vormt een gestolen wachtwoord de eerste toegangspoort.

MFA verandert dit dreigingsbeeld fundamenteel. Zelfs als een aanvaller via phishing een wachtwoord weet te bemachtigen, krijgt hij zonder tweede factor geen toegang tot het account. Een phishingsite kan het wachtwoord vastleggen, maar niet de eenmalige code die in de authenticator-app op de telefoon van de gebruiker wordt gegenereerd. Een keylogger kan het wachtwoord registreren, maar geen biometrische vingerafdruk stelen. Een brute-force aanval kan een wachtwoord raden, maar komt niet langs de cryptografische uitdaging van een hardwarebeveiligingssleutel.

Bij de implementatie spelen meerdere overwegingen. Organisaties moeten MFA-methoden kiezen die veiligheid en gebruiksvriendelijkheid in balans brengen: FIDO2-beveiligingssleutels bieden de sterkste bescherming maar vereisen hardware, een authenticator-app biedt een goed evenwicht, terwijl SMS relatief kwetsbaar is maar wel voor vrijwel iedereen beschikbaar. Daarnaast is een doordachte uitrolstrategie nodig om gebruikersacceptatie te bevorderen en de druk op de helpdesk beheersbaar te houden. Er moeten processen zijn voor uitzonderingen, bijvoorbeeld voor gebruikers die de standaardmethoden niet kunnen gebruiken, en er moet een oplossing zijn voor noodsituaties waarin de primaire MFA-methode niet beschikbaar is (telefoon kwijt, sleutel vergeten).

Voor de Nederlandse overheid is MFA een basiseis en geen optionele verbetering. De BIO verlangt sterke authenticatie voor met name beheerders- en andere gevoelige accounts, terwijl NIS2 organisaties verplicht om toegangsbeveiliging af te stemmen op het risiconiveau. Het NCSC adviseert MFA nadrukkelijk, juist omdat overheidsorganisaties een aantrekkelijk doelwit zijn voor gerichte phishing. Ervaringen uit de praktijk laten zien dat organisaties die MFA breed uitrollen een reductie van meer dan 99 procent in credential-gebaseerde compromitteringen realiseren.

MFA Maturity Levels: Standard to Phishing-Resistant

Niveau 1: MFA voor internettoegankelijke diensten

Op het eerste volwassenheidsniveau richt de organisatie zich op alle diensten die rechtstreeks vanaf het internet bereikbaar zijn. Denk aan cloudtoepassingen zoals Microsoft 365 en andere SaaS-diensten, VPN-toegang op afstand en webgebaseerde beheerinterfaces. Juist deze diensten staan permanent bloot aan aanvallen van buitenaf, waardoor het risico op misbruik van inloggegevens hier het hoogst is. Door MFA in te voeren op dit front wordt de grootste winst geboekt met relatief beperkte inspanning.

In deze fase kiest de organisatie voor MFA-methoden die snel uitrolbaar zijn en een redelijke balans tussen veiligheid en gebruiksgemak bieden. De Microsoft Authenticator-app is doorgaans de voorkeursmethode, omdat pushmeldingen en tijdgebonden eenmalige codes gebruikersvriendelijk combineren met sterke beveiliging. Waar nodig kunnen andere authenticator-apps worden ingezet. SMS-codes worden in dit niveau alleen gebruikt voor niet-bevoorrechte accounts en in situaties waarin geen beter alternatief beschikbaar is, omdat SMS technisch minder veilig is. Voor beheerdersaccounts wordt het gebruik van hardwarebeveiligingssleutels al sterk aangeraden, ook al is dat in dit stadium nog niet verplicht.

De technische realisatie bestaat meestal uit het inrichten van voorwaardelijke toegang in Entra ID (voorheen Azure AD). Een generieke beleidsregel eist MFA voor alle cloud-apps, terwijl VPN-oplossingen zo worden geconfigureerd dat RADIUS-authenticatie met MFA verplicht is. Gebruikers registreren hun MFA-methode via een selfserviceportaal, zodat de druk op de helpdesk beperkt blijft. Heldere communicatie en stap-voor-stap instructies zijn daarbij essentieel om weerstand weg te nemen.

Niveau 2: MFA voor alle gebruikers met risico-gebaseerde toegang

In het tweede volwassenheidsniveau wordt MFA verbreed naar alle gebruikers en alle relevante diensten, dus niet alleen naar toepassingen die via internet toegankelijk zijn. Ook interne applicaties die vanaf het kantoornetwerk of via private verbindingen worden benaderd, vallen nu onder MFA-beleid. Tegelijkertijd wordt risico-gebaseerde voorwaardelijke toegang toegevoegd. Dit betekent dat authenticatiebeslissingen mede worden gebaseerd op factoren zoals aanmeldingsrisico, gebruikersrisico, locatie en apparaatcompliance. Aanmeldingen vanaf onbekende locaties, bij detectie van gelekte inloggegevens of bij verdachte aanmeldpatronen vereisen standaard MFA, terwijl vertrouwde scenario's met bekende apparaten en locaties de gebruiker zo min mogelijk extra stappen opleggen.

Het beleid wordt in deze fase fijnmaziger. Specifieke, gevoelige applicaties – zoals financiële systemen, HR-platformen of beheerdersportalen – krijgen strengere regels en vereisen altijd MFA, ongeacht het risiconiveau. Voor de meeste medewerkers verandert de dagelijkse ervaring beperkt: zij merken vooral dat bij afwijkend gedrag of in twijfelachtige situaties extra verificatie wordt gevraagd. Tegelijkertijd neemt de organisatie een grote stap in het beperken van de impact van gestolen inloggegevens.

Niveau 3: Phishing-resistente MFA voor kritieke accounts

Het derde volwassenheidsniveau richt zich op de resterende kwetsbaarheden in traditionele MFA-methoden. Authenticator-apps en SMS-codes zijn namelijk gevoelig voor geavanceerde phishingaanvallen, waarbij aanvallers via een man-in-the-middle-proxy zowel het wachtwoord als de eenmalige code onderscheppen en in real time doorsturen naar de echte dienst. Om dit risico te mitigeren, wordt voor alle hoog-risicoaccounts – zoals beheerders, leden van het crisisteam en gebruikers met toegang tot staatsgeheime of bedrijfs-kritische informatie – phishing-resistente MFA verplicht.

In de praktijk betekent dit de inzet van FIDO2-beveiligingssleutels en Windows Hello for Business. FIDO2 gebruikt een cryptografische uitdaging-respons-methode die is gekoppeld aan een specifieke dienst en een fysiek apparaat, waardoor phishing praktisch onmogelijk wordt. Windows Hello for Business maakt gebruik van een TPM-chip en biometrie of een pincode om een hardware-gebonden identiteit vast te leggen. De implementatie omvat de selectie en inkoop van geschikte FIDO2-sleutels, de registratie van deze middelen in Entra ID en het instellen van beleidsregels die vereisen dat kritieke rollen en administratieve acties uitsluitend met phishing-resistente MFA kunnen worden uitgevoerd. Zo ontstaat een robuust beschermingsniveau dat is afgestemd op de hoogste risicocategorieën binnen de organisatie.

Conclusie

MFA behoort tot de meest impactvolle beveiligingsmaatregelen die een organisatie kan invoeren. Met een relatief beperkte technische complexiteit kan het overgrote deel van credential-gebaseerde aanvallen worden gestopt en dalen accountcompromitteringen met circa 99,9 procent. Phishing blijft een serieuze dreiging in termen van bewustwording en gedragsbeïnvloeding, maar gestolen inloggegevens zijn niet langer voldoende om daadwerkelijk toegang te krijgen tot systemen en gegevens. De investering – doorgaans tussen de €99.000 en €189.000 voor een middelgrote organisatie – wordt snel terugverdiend via vermeden incidenten, lagere schade en een betere compliancepositie ten opzichte van de BIO en NIS2.

Een gefaseerde uitrol over drie tot vier maanden maakt het mogelijk gebruikers stap voor stap mee te nemen, kinderziektes uit de configuratie te halen en de helpdesk op een beheersbare manier te belasten. Voor organisaties in de Nederlandse (semi-)publieke sector, die vaak expliciet doelwit zijn van gerichte phishingcampagnes, is MFA daarom geen luxe, maar een essentiële randvoorwaarde voor veilige cloudadoptie en moderne digitale dienstverlening.

Executive Aanbevelingen
  • Richt MFA in als een prioritaire maatregel met directe impact op het risicoprofiel
  • Begin met beheerders- en andere hoog-risicoaccounts en breid daarna uit naar alle gebruikers
  • Gebruik een authenticator-app als voorkeursmethode vanwege de goede balans tussen veiligheid en gebruiksgemak
  • Implementeer FIDO2 of Windows Hello for Business voor beheerders en andere kritieke accounts om phishing-resistente bescherming te realiseren
  • Bereid de helpdesk voor op een tijdelijke toename van meldingen tijdens de uitrol
MFA Multi-Factor Authentication Identity Security Phishing Protection FIDO2