Wat is adaptieve multi-factor authenticatie (AMF, Adaptive Multi-Factor Authentication)?
- IAM-woordenlijst
- Wat is adaptieve multi-factor authenticatie (AMF, Adaptive Multi-Factor Authentication)?
Adaptieve multi-factor authenticatie (adaptieve MFA) is een beveiligingsmethode die contextuele factoren evalueert voordat de gebruiker wordt gevraagd zijn of haar identiteit te verifiëren met aanvullende authenticatie. In tegenstelling tot standaard multi-factor authenticatie daagt adaptieve multi-factor authenticatie gebruikers alleen uit wanneer contextuele indicatoren, zoals apparaattype, locatie of gedrag, afwijken van hun normale patronen. Adaptieve multi-factor authenticatie helpt bij het beschermen van online accounts en vereenvoudigt tegelijkertijd het inloggen voor vertrouwde gebruikers.
Hoe adaptieve MFA werkt
Adaptieve multi-factor authenticatie analyseert realtime beveiligingsrisico's aan de hand van contextuele gegevens om te bepalen of een login legitiem is en welke authenticatievereisten van toepassing zijn. Wanneer een gebruiker probeert in te loggen, toetst het systeem datapunten zoals het IP-adres van de gebruiker, geografische locatie en toegangstijd aan hun gebruikelijke gedrag. Op basis van de resultaten kent het systeem een risicoscore toe aan de inlogpoging. Hier zijn de soorten risicoscores:
- Laag risico: Als de inlogpoging overeenkomt met het gebruikelijke gedrag van de gebruiker, hoeft men mogelijk alleen de gebruikersnaam en het wachtwoord in te voeren om toegang te krijgen.
- Gemiddeld risico: Als de gebruiker inlogt vanaf een nieuw apparaat of op een ongebruikelijk tijdstip, kan hij of zij worden gevraagd zijn of haar identiteit te verifiëren met een extra stap, zoals een One-Time Password (OTP).
- Hoog risico: Als het systeem meerdere afwijkingen detecteert, zoals een inlogpoging vanaf een onbekende locatie of een verdacht IP-adres, kan het nodig zijn dat de gebruiker sterkere verificatiemethoden gebruikt, zoals biometrie, anders wordt de toegang geweigerd.
Bijvoorbeeld, als een gebruiker gewoonlijk inlogt vanaf een laptop in New York tijdens kantooruren, zou een inlogpoging vanaf een mobiel apparaat in Australië om 3.00 uur 's nachts als een hoog risico worden beschouwd. Het systeem kan zowel een OTP als biometrische authenticatie vereisen, en de toegang wordt geblokkeerd als de gebruiker niet aan de vereisten kan voldoen.
MFA versus adaptieve MFA
Traditionele multi-factor authenticatie (MFA) vereist dat gebruikers hun identiteit verifiëren door twee of meer authenticatiemethoden te gebruiken. Normaal gesproken vereist MFA iets dat de gebruiker weet (zoals een wachtwoord), iets wat hij heeft (zoals een OTP) of iets wat hij is (zoals een vingerafdruk). Multi-factor authenticatie past dezelfde reeks vooraf bepaalde verificatiestappen toe op alle gebruikers, ongeacht hun risiconiveau of contextuele gegevens.
Adaptieve multi-factor authenticatie breidt dit uit door contextuele risicobeoordelingen te gebruiken om het benodigde authenticatieniveau te bepalen. Gebruikers met een laag risico krijgen minder prompts, wat de bruikbaarheid ten goede komt, terwijl pogingen met een hoog risico leiden tot strengere veiligheidsmaatregelen.
| Multi-factor-authenticatie | Adaptieve multi-factor-authenticatie |
|---|---|
| Authenticatiemethode | |
| Dezelfde stappen voor alle gebruikers | Dynamische stappen op basis van context en risiconiveau |
| Flexibiliteit | |
| Past vaste regels toe op alle inlogpogingen. | Past zich aan bij elk inlogscenario |
| Risicobeoordeling | |
| Niet inbegrepen | Ingebouwd, met behulp van contextuele gegevens om risico's te analyseren |
| Gebruikssituaties | |
| Ideaal voor eenvoudige omgevingen met consistent gebruikerstoegangsgedrag | Ideaal voor dynamische omgevingen die zowel gemak als geavanceerde beveiligingsmaatregelen vereisen |
Voordelen van adaptieve MFA
Adaptieve MFA biedt organisaties verschillende voordelen, vooral vergeleken met traditionele MFA, doordat het zich richt op context. Dit zijn de manieren waarop adaptieve MFA de beveiliging verbetert en tegelijkertijd de wrijving voor vertrouwde gebruikers vermindert.
Verbeterde beveiliging
Traditionele MFA werkt samen met statische aanmeldingsgegevens zoals wachtwoorden en pincodes, die kwetsbaarder zijn voor phishing-aanvallen en diefstal van aanmeldingsgegevens. Met adaptieve MFA worden inlogpogingen in realtime geëvalueerd om verdachte activiteiten te identificeren en indien nodig sterkere verificatiestappen toe te passen. Als een inlogpoging te ongebruikelijk is en de gebruiker de vereiste authenticatiegegevens niet verstrekt, wordt de toegang volledig geblokkeerd. Zo worden gevoelige gegevens beschermd tegen onbevoegde gebruikers.
Betere gebruikerservaring
Wanneer een gebruiker als laag risico wordt aangemerkt doordat deze inlogt vanaf een bekende locatie of met een vertrouwd apparaat, krijgt deze minder vaak MFA-prompts te zien. Dankzij deze versnelde inlogervaring hebben vertrouwde gebruikers sneller toegang tot hun accounts zonder dat ze hun identiteit onnodig hoeven te verifiëren. Door alleen sterkere authenticatie te vereisen wanneer dat nodig is, zorgt adaptieve MFA voor een minder frustrerende inlogervaring zonder de beveiliging in gevaar te brengen.
Lagere operationele kosten
Met minder onnodige authenticatieprompts zullen gebruikers hun aanmeldingsgegevens minder snel vergeten, wat resulteert in minder helpdesktickets voor IT. Adaptieve MFA helpt organisaties tijd en geld te besparen door het minimaliseren van aanvragen voor wachtwoordresets en het verminderen van het aantal accountvergrendelingen dankzij sterke authenticatieprocessen.
Hoe implementeert u adaptieve MFA?
Hier zijn de belangrijkste stappen voor een succesvolle implementatie van adaptieve MFA in uw organisatie:
- Evalueer de bedrijfsbehoeften: Bepaal waar adaptieve MFA het meest nodig is op basis van de beveiligingsvereisten, gebruikersrollen en toegangsniveaus van uw organisatie. Geef prioriteit aan systemen die gevoelige gegevens verwerken, geprivilegieerde accounts hebben of waarschijnlijker het doelwit zijn van cyberaanvallen.
- Kies een provider: Selecteer een vertrouwde adaptieve MFA-provider die past bij uw infrastructuur en beveiligingsvereisten. Enkele populaire keuzes zijn Microsoft Entra ID en Duo Security.
- Definieer contextuele risicobeleidsregels: Stel duidelijke regels op om inlogpogingen te categoriseren als laag, gemiddeld of hoog risico. Identificeer welke contextuele factoren (IP-adres, apparaat, gedrag, enz.) verdere authenticatievereisten moeten activeren.
- Integreer met bestaande systemen: Zorg ervoor dat de oplossing die u kiest compatibel is met uw huidige IT-omgeving, inclusief Single Sign-On-platforms (SSO), Identity Providers (IdP's) en Virtual Private Networks (VPN's).
- Voer een pilot uit: Test uw adaptieve MFA-implementatie met een kleine groep gebruikers voordat u deze uitrolt naar de rest van uw organisatie. Observeer hoe het risicoscoringssysteem werkt en valideer dat de juiste verificatiestappen worden toegepast op basis van de context.
- Leid gebruikers op: Leg uit waarom adaptieve MFA wordt geïmplementeerd en wat de voordelen ervan zijn voor alle medewerkers. Het is belangrijk om gebruikers voor te bereiden op eventuele wijzigingen die zich tijdens het inloggen kunnen voordoen, om onnodige frustratie of verstoringen te voorkomen.
- Monitor en optimaliseer: Controleer regelmatig auditlogs om te zien of beleid moet worden bijgewerkt op basis van gebruikersgedrag. Gebruik data om triggers aan te passen en de nauwkeurigheid van risiconiveaus te verbeteren.
