Wat is verificatie?
Ontdek hoe de identiteiten van mensen, apps en services worden geverifieerd voordat ze toegang tot digitale systemen en resources krijgen.
Verificatie gedefinieerd
Verificatie is het proces dat bedrijven gebruiken om te bevestigen dat alleen de juiste mensen, services en apps met de juiste machtigingen toegang tot organisatieresources kunnen krijgen. Het is een belangrijk onderdeel van cyberbeveiliging omdat het de topprioriteit van een kwaadwillende is om onbevoegde toegang tot systemen te krijgen. Ze doen dit door de gebruikersnamen en wachtwoorden van gebruikers te stelen die wel toegang hebben. Het verificatieproces bestaat uit drie primaire stappen:
- Identificatie: Gebruikers bevestigen wie ze zijn, meestal via een gebruikersnaam.
- Verificatie: Gebruikers bewijzen meestal dat ze zijn wie ze zeggen dat ze zijn door een wachtwoord in te voeren (iets dat alleen de gebruiker hoort te weten), maar om de beveiliging te versterken, vereisen veel organisaties ook dat ze hun identiteit bewijzen met iets dat ze hebben (een telefoon of tokenapparaat) of iets dat ze zijn (een vingerafdruk of gezichtsscan).
- Autorisatie: Het systeem verifieert dat de gebruikers toegang mogen hebben tot het systeem waartoe ze toegang proberen te krijgen.
Waarom is verificatie belangrijk?
Verificatie is belangrijk omdat het organisaties helpt hun systemen, gegevens, netwerken, websites en toepassingen te beschermen tegen aanvallen. Het helpt ook individuen hun persoonlijke gegevens vertrouwelijk te houden, zodat ze met minder risico online zaken kunnen doen, zoals bankieren of investeren. Wanneer verificatieprocessen zwak zijn, is het gemakkelijker voor een aanvaller om een account te compromitteren, ofwel door individuele wachtwoorden te raden ofwel door mensen hun referenties te ontfutselen. Dit kan leiden tot de volgende risico's:
- Gegevenslek of -exfiltratie.
- Installatie van malware, zoals ransomware.
- Niet-naleving van regionale of sectorspecifieke gegevensprivacyvoorschriften.
Hoe verificatie werkt
Voor mensen omvat verificatie het instellen van een gebruikersnaam, wachtwoord en andere verificatiemethoden, zoals een gezichtsscan, vingerafdruk of pincode. Om identiteiten te beschermen, worden geen van deze verificatiemethoden opgeslagen in de database van de service. Wachtwoorden worden gehasht (niet versleuteld) en de hashes worden opgeslagen in de database. Wanneer een gebruiker een wachtwoord invoert, wordt het ingevoerde wachtwoord ook gehasht en worden de hashes vervolgens met elkaar vergeleken. Als de twee hashes overeenkomen, wordt er toegang verleend. Voor vingerafdrukken en gezichtsscans wordt de informatie gecodeerd, versleuteld en opgeslagen op het apparaat.
Typen verificatiemethoden
Bij moderne verificatie wordt het verificatieproces gedelegeerd aan een vertrouwd, apart identiteitssysteem, in tegenstelling tot traditionele verificatie waarbij elk systeem zelf identiteiten verifieert. Er heeft ook een verschuiving plaatsgevonden in het type verificatiemethoden dat wordt gebruikt. De meeste toepassingen vereisen een gebruikersnaam en wachtwoord, maar aangezien kwaadwillenden slimmer zijn geworden in het stelen van wachtwoorden, heeft de beveiligingscommunity een aantal nieuwe methoden ontwikkeld om identiteiten te helpen beschermen.
Wachtwoordgebaseerde verificatie
Wachtwoordgebaseerde verificatie is de meest gebruikelijke vorm van verificatie. Veel apps en services vereisen dat mensen wachtwoorden met een combinatie van cijfers, letters en symbolen maken om het risico te verkleinen dat een kwaadwillende ze zal raden. Wachtwoorden brengen echter ook beveiligings- en bruikbaarheidsuitdagingen met zich mee. Het is moeilijk voor mensen om voor elk van hun online accounts een uniek wachtwoord te verzinnen en onthouden, waardoor ze vaak hetzelfde wachtwoord hergebruiken. En aanvallers gebruiken vele tactieken om wachtwoorden te raden of stelen of om mensen erin te luizen deze onbedoeld te delen. Om deze reden stappen organisaties over van wachtwoorden naar andere, veiligere vormen van verificatie.
Certificaatgebaseerde verificatie
Certificaatgebaseerde verificatie is een versleutelde methode waarmee apparaten en mensen zichzelf kunnen identificeren bij andere apparaten en systemen. Twee gebruikelijke voorbeelden zijn een smartcard of wanneer het apparaat van een medewerker een digitaal certificaat naar een netwerk of server verzendt.
Biometrische verificatie
Bij biometrische verificatie verifiëren mensen hun identiteit met behulp van biologische kenmerken. Veel mensen gebruiken bijvoorbeeld hun vinger of duim om zich aan te melden op hun telefoon, en sommige computers scannen iemands gezicht of retina om hun identiteit te verifiëren. De biometrische gegevens zijn ook gekoppeld aan een specifiek apparaat, zodat aanvallers ze niet kunnen gebruiken zonder ook over het apparaat te beschikken. Dit type verificatie wordt steeds populairder omdat het gemakkelijk is voor mensen – ze hoeven niets te onthouden – en omdat het moeilijk is voor kwaadwillenden om te stelen, waardoor het veiliger is dan wachtwoorden.
Tokengebaseerde verificatie
Bij tokengebaseerde verificatie genereert zowel een apparaat als het systeem elke 30 seconden een nieuw uniek nummer, een TOTP (Time-based One-Time PIN) genaamd. Als de nummers overeenkomen, verifieert het systeem dat de gebruiker het apparaat heeft.
Eenmalig wachtwoord
Eenmalige wachtwoorden (One-Time Passwords, OTP's) zijn codes gegenereerd voor een specifieke aanmeldingsgebeurtenis die kort na hun uitgifte verlopen. Ze worden geleverd via sms, e-mail of een hardwaretoken.
Push-melding
Sommige apps en services gebruiken push-meldingen om gebruikers te verifiëren. Hierbij ontvangen mensen een bericht op hun telefoon, waarin hen wordt gevraagd de toegangsaanvraag goed te keuren of te weigeren. Omdat mensen push-meldingen soms per ongeluk goedkeuren, hoewel ze zich proberen aan te melden bij de services die de melding hebben verzonden, wordt deze methode soms gecombineerd met een OTP-methode. Met OTP genereert het systeem een uniek nummer dat de gebruiker moet invoeren. Dit maakt de verificatie beter bestand tegen phishing.
Stemverificatie
Bij stemverificatie ontvangt de persoon die toegang tot een service probeert te krijgen, een telefoontje waarin hij/zij wordt gevraagd een code in te voeren of zichzelf verbaal te identificeren.
Meervoudige verificatie
Een van de beste manieren om accountcompromittering te beperken, is twee of meer van de bovenstaande verificatiemethoden te vereisen. Een effectieve best practice is twee van de volgende te vereisen:
- Iets dat de gebruiker weet, meestal een wachtwoord.
- Iets dat de gebruiker heeft, zoals een vertrouwd apparaat dat niet gemakkelijk te dupliceren is, zoals een telefoon of een hardwaretoken.
- Iets dat de gebruiker is, zoals een vingerafdruk of een gezichtsscan.
Veel organisaties vragen bijvoorbeeld om een wachtwoord (iets dat de gebruiker weet) en verzenden ook een OTP via sms naar een vertrouwd apparaat (iets dat de gebruiker heeft) voordat ze toegang verlenen.
Tweevoudige verificatie
Tweevoudige verificatie is een type meervoudige verificatie dat twee vormen van verificatie vereist.
Hoewel verificatie (soms ook wel AuthN genoemd) en autorisatie (soms ook wel AuthZ genoemd) vaak door elkaar worden gebruikt, zijn het twee gerelateerde maar aparte dingen. Verificatie bevestigt dat de gebruiker die zich aanmeldt is wie hij/zij zegt dat hij/zij is, terwijl autorisatie bevestigt dat de gebruiker de juiste machtigingen heeft om toegang te krijgen tot de informatie die ze willen. Iemand in Human Resources kan bijvoorbeeld toegang tot gevoelige systemen hebben, zoals salarisadministratie of medewerkersbestanden, die anderen niet kunnen zien. Zowel verificatie als autorisatie is essentieel om productiviteit mogelijk te maken en gevoelige gegevens, intellectueel eigendom en privacy te beschermen.
Best practices voor verificatiebeveiliging
Omdat accountcompromittering zo'n gebruikelijke manier voor aanvallers is om onbevoegde toegang tot de resources van een bedrijf te krijgen, is het belangrijk om sterke verificatiebeveiliging in te stellen. Hier zijn een paar dingen die je kunt doen om je organisatie te beschermen:
-
Implementeer meervoudige verificatie
Het belangrijkste dat je kunt doen om je risico op accountcompromittering te verkleinen, is meervoudige verificatie inschakelen en ten minste twee vormen van verificatie vereisen. Het is veel moeilijker voor aanvallers om meer dan één verificatiemethode te stelen, vooral als één daarvan biometrische gegevens is of iets dat een gebruiker bezit, zoals een apparaat. Om het zo eenvoudig mogelijk te maken voor medewerkers, klanten en partners, geef je hen een keuze uit een aantal verschillende verificatievormen. Het is echter belangrijk op te merken dat niet alle verificatiemethoden gelijk zijn. Sommige zijn veiliger dan andere. Hoewel het bijvoorbeeld beter is om een sms te ontvangen dan niets, is een push-melding veiliger.
-
Kies voor wachtwoordloos
Zodra je meervoudige verificatie hebt ingesteld, kun je er zelfs voor kiezen het gebruik van wachtwoorden te beperken en mensen aan te moedigen twee of meer andere verificatiemethoden te gebruiken, zoals een pincode en biometrische gegevens. Door het gebruik van wachtwoorden te verminderen en voor wachtwoordloos te kiezen, wordt het aanmeldingsproces gestroomlijnd en je risico op accountcompromittering verkleind.
-
Pas wachtwoordbeveiliging toe
Behalve het informeren van medewerkers zijn er ook tools die je kunt gebruiken om het gebruik van gemakkelijk te raden wachtwoorden te verminderen. Met oplossingen voor wachtwoordbeveiliging kun je veelgebruikte wachtwoorden (zoals 'Wachtwoord1') verbieden. Je kunt ook een aangepaste lijst maken die specifiek is voor je bedrijf of regio, zoals de namen van lokale sportteams of monumenten.
-
Schakel risicogebaseerde meervoudige verificatie in
Sommige verificatiegebeurtenissen zijn indicators van een compromittering, zoals wanneer een medewerker toegang tot je netwerk probeert te krijgen vanaf een nieuw apparaat of vreemde locatie. Andere aanmeldingsgebeurtenissen zijn misschien niet atypisch maar hebben wel een hoger risico, zoals wanneer een Human Resources-professional toegang tot persoonsgegevens van medewerkers nodig heeft. Om je risico te verkleinen, configureer je je oplossing voor identiteits- en toegangsbeheer (Identity and Access Management, of IAM) om ten minste twee vormen van verificatie te vereisen wanneer dit soort gebeurtenissen worden gedetecteerd.
-
Prioriteer bruikbaarheid
Voor effectieve beveiliging is bijval van medewerkers en andere belanghebbenden nodig. Beveiligingsbeleid kan soms voorkomen dat mensen aan riskante online activiteiten deelnemen, maar als beleidsregels te lastig zijn, zullen mensen ze omzeilen. De beste oplossingen passen zich aan realistisch menselijk gedrag aan. Implementeer functies zoals selfservice voor wachtwoordherstel, zodat mensen niet meer naar de helpdesk hoeven te bellen wanneer ze een wachtwoord zijn vergeten. Dit kan hen ook aanmoedigen een sterk wachtwoord te kiezen, aangezien ze weten dat het gemakkelijk opnieuw kan worden ingesteld als ze het later vergeten. Mensen laten kiezen welke verificatiemethode ze het liefst gebruiken, is nog een goede manier om het gemakkelijker voor hen te maken zich aan te melden.
-
Implementeer eenmalige aanmelding
Eén geweldige functie die bruikbaarheid en beveiliging verbetert, is eenmalige aanmelding (Single Sign-On, of SSO). Mensen houden er niet van een wachtwoord te moeten invoeren telkens wanneer ze tussen apps schakelen, en gebruiken daarom misschien hetzelfde wachtwoord voor meerdere accounts om tijd te besparen. Met eenmalige aanmelding hoeven medewerkers zich maar één keer aan te melden om toegang te krijgen tot de meeste of alle apps die ze nodig hebben voor werk. Dit vermindert wrijving en stelt je in staat om universeel of voorwaardelijk beveiligingsbeleid, zoals meervoudige verificatie, toe te passen op alle software die medewerkers gebruiken.
-
Gebruik het principe van minimale bevoegdheden
Beperk het aantal bevoegde accounts op basis van rollen en geef mensen het minste aantal bevoegdheden dat nodig is om hun werk te doen. Toegangsbeheer helpt te verzekeren dat minder mensen toegang tot je meest kritieke gegevens en systemen kunnen krijgen. Wanneer iemand wel een gevoelige taak moet uitvoeren, gebruik je Privileged Access Management, zoals just-in-time activering met tijdsduren, om je risico nog verder te verkleinen. Het helpt ook als je vereist dat beheeractiviteiten alleen worden uitgevoerd op zeer veilige apparaten die los staan van de computers die mensen gebruiken voor dagelijkse taken.
-
Ga uit van een lek en voer regelmatig audits uit
In veel organisaties veranderen de rollen en arbeidsstatus van mensen regelmatig. Medewerkers verlaten het bedrijf of gaan op een andere afdeling werken. Partners werken mee aan projecten en vertrekken daarna weer. Dit kan een probleem zijn wanneer toegangsregels het niet allemaal bijhouden. Het is belangrijk te verzekeren dat mensen geen toegang blijven houden tot systemen en bestanden die ze niet meer nodig hebben voor hun werk. Om het risico te verkleinen dat een aanvaller gevoelige informatie in handen krijgt, gebruik je een oplossing voor identiteitsbeheer om je te helpen je accounts en rollen consistent te auditen. Deze tools helpen je ook te verzekeren dat mensen alleen toegang hebben tot wat ze nodig hebben en dat accounts voor mensen die de organisatie hebben verlaten niet langer actief zijn.
-
Bescherm identiteiten tegen bedreigingen
Oplossingen voor identiteits- en toegangsbeheer bieden vele tools om je te helpen het risico op accountcompromittering te verkleinen, maar het is nog steeds verstandig om te anticiperen op een lek. Zelfs goed geïnformeerde medewerkers vallen soms voor phishing-scams. Om accountcompromittering vroegtijdig te detecteren, investeer je in oplossingen voor bescherming tegen identiteitsbedreigingen en implementeer je beleid dat je helpt om verdachte activiteiten te onthullen en erop te reageren. Veel moderne oplossingen, zoals Microsoft Security Copilot, gebruiken AI om niet alleen bedreigingen te detecteren, maar er automatisch op te reageren.
Cloudverificatieoplossingen
Verificatie is essentieel voor zowel een sterk cyberbeveiligingsprogramma als medewerkersproductiviteit. Een uitgebreide cloudoplossing voor identiteits- en toegangsbeheer, zoals Microsoft Entra, geeft je tools om mensen te helpen gemakkelijk te krijgen wat ze nodig hebben om hun werk te doen, terwijl er krachtige controles worden toegepast die het risico verkleinen dat aanvallers een account compromitteren en toegang tot gevoelige gegevens krijgen.
Krijg meer informatie over Microsoft Beveiliging
Microsoft Entra ID Governance
Verzeker automatisch dat de juiste mensen op het juiste moment de juiste toegang tot de juiste apps hebben.
Microsoft Entra-machtigingsbeheer
Krijg één geïntegreerde oplossing om de machtigingen voor elke identiteit in je multicloud-infrastructuur te beheren.
Microsoft Entra Geverifieerde ID
Decentraliseer je identiteiten met een beheerde service voor verifieerbare referenties op basis van open standaarden.
Microsoft Entra Workload-ID
Beheer en beveilig de identiteiten die aan apps en services zijn verleend.
Veelgestelde vragen
-
Er zijn vele verschillende typen verificatie. Een paar voorbeelden zijn:
- Veel mensen melden zich aan op hun telefoon met behulp van gezichtsherkenning of een duimafdruk.
- Banken en andere services vereisen vaak dat mensen zich aanmelden met behulp van een wachtwoord plus een code die automatisch via sms wordt verzonden.
- Sommige accounts vereisen alleen een gebruikersnaam en een wachtwoord, hoewel veel organisaties overstappen op meervoudige verificatie om de beveiliging te verhogen.
- Vaak melden medewerkers zich aan op hun computer en krijgen tegelijkertijd toegang tot een aantal verschillende apps, wat bekendstaat als eenmalige aanmelding.
- Er zijn ook accounts die gebruikers toestaan zich aan te melden met behulp van een Facebook- of Google-account. In dit geval is Facebook, Google of Microsoft ervoor verantwoordelijk de gebruiker te verifiëren en autorisatie door te geven aan de service waartoe de gebruiker toegang wil.
-
Cloudverificatie is een service die bevestigt dat alleen de juiste mensen en apps met de juiste machtigingen toegang tot cloudnetwerken en -resources kunnen krijgen. Veel cloud-apps hebben ingebouwde verificatie die is gebaseerd op de cloud, maar er zijn ook bredere oplossingen, zoals Microsoft Entra ID, die zijn ontworpen voor het afhandelen van verificatie in meerdere cloud-apps en -services. Deze oplossingen maken meestal gebruik van het SAML-protocol om één verificatieservice te laten werken in meerdere accounts.
-
Hoewel verificatie en autorisatie vaak door elkaar worden gebruikt, zijn het twee gerelateerde maar aparte dingen. Verificatie bevestigt dat de gebruiker die zich aanmeldt is wie hij/zij zegt dat hij/zij is, terwijl autorisatie bevestigt dat de gebruiker de juiste machtigingen heeft om toegang te krijgen tot de informatie die ze willen. Als ze samen worden gebruikt, helpen verificatie en autorisatie het risico te verkleinen dat een aanvaller toegang tot gevoelige gegevens krijgt.
-
Verificatie wordt gebruikt om te verifiëren dat mensen en entiteiten zijn wie ze zeggen dat ze zijn, voordat hen toegang tot digitale resources en netwerken wordt verleend. Hoewel het voornaamste doel beveiliging is, zijn moderne verificatieoplossingen ook ontworpen om bruikbaarheid te verbeteren. Veel organisaties implementeren bijvoorbeeld oplossingen voor eenmalige aanmelding om het eenvoudiger te maken voor medewerkers om te vinden wat ze nodig hebben om hun werk te doen. Consumentenservices staan mensen vaak toe zich aan te melden met behulp van hun Facebook-, Google- of Microsoft-account om het verificatieproces te versnellen.
Volg Microsoft Beveiliging