Eind 2021 kondigde Microsoft nieuwe functionaliteiten aan binnen de Microsoft Authenticator MFA applicatie. De twee functionaliteiten die we hieronder uitlichten, zijn op het moment van schrijven nog in preview. Maar omdat het relatief makkelijk is om deze functionaliteiten te testen en te introduceren binnen jouw organisatie, is het toch nuttig om ze alvast verder te bekijken. Het gaat hierbij om:
Number Matching
Additional Context
Number Matching
Veel organisaties en haar medewerkers zijn bij gebruik van de Authenticator applicatie wellicht gewend om MFA push notificaties goed te keuren in de app als onderdeel van multifactor authenticatie.
Totdat je als eindgebruiker op ‘Goedkeuren’ tikt, is de applicatie of pagina die je wilt raadplegen niet toegankelijk. Deze notificatie, waar een gebruiker alleen maar ‘Goedkeuren’ hoeft aan te tikken, kent ook enkele risico’s. Dat begint bij het feit dat je simpeleweg mis klikt of per ongeluk op ‘Goedkeuren’ tikt, omdat het nu eenmaal de standaard is voor veel gebruikers. Daarnaast kan een kwaadwillende na het buitmaken van credentials een eindgebruiker spammen met notificaties in de Athenticator app. Het risico dat daarbij kan ontstaan is dat jij je als eindgebruiker onbewust bent van de situatie en op ‘Goedkeuren’ klikt om maar van de vele notificaties af te zijn.
Gelukkig biedt Microsoft hier nu een oplossing voor met de functionaliteit ‘Number matching’. Bij number matching zie je op de pagina of applicatie waar geauthentiseerd wordt een nummer nadat de gebruiker zich hier aanmeldt. Dit nummer moet je invoeren in de prompt die de Athenticator applicatie toont.
Het overtikken van het nummer is misschien iets minder gebruiksvriendelijk, maar het reduceert de kans op de eerdergenoemde zwaktes sterk.
Additional context
Om de legitimiteit van een MFA notificatie in de Authenticator applicatie te verbeteren, kan je met ‘Additional context’ in Azure meer context geven aan deze notificaties. Hierdoor krijg je als eindgebruiker meer herkenning over de oorsprong van de notificatie én kan je beter beoordelen of de notificatie legitiem is. De extra context wordt gegeven door in de notificatie twee onderdelen toe te voegen;
- Locatie waar vandaan geauthentiseerd wordt.
When an end user, or a malicious person, tries to log in, you will receive a notification in the Authenticator app that shows where geographically attempts are being made to authenticate. A side note is that this location is IP based. On the one hand, this does not give such an accurate picture of the actual location and there are also means conceivable for a malicious person to simulate a different location (IP based) than the actual location. On the other hand, a notification that indicates the origin of another country gives a clear and direct signal that something may not be right.
- De applicatie waarop aangemeld wordt.
In dezelfde Authenticator notificatie kan je ook laten zien via welke applicatie er geprobeerd wordt om aan te melden. Dit geeft een eindgebruiker eveneens een indicatie of de Authenticator notificatie legitiem is. Want als jij op dat moment geen gebruik maakt van de applicatie die getoond wordt in de Authenticator kan dat duiden op een mogelijk niet legitieme notificatie.
Je kunt deze twee functionaliteiten eenvoudig belichten en testen. Maar we moeten hierbij wel opmerken dat deze twee nieuwe functionaliteiten slechts een onderdeel zijn van het creëren van een totale veilige oplossing. Het moet daarnaast onder andere hand in hand gaan met awareness en educatie richting de eindgebruikers.
Ben je nieuwsgierig naar Number matching en Additional context, heb je vragen over de functionaliteit óf ben je benieuwd of het toegevoegde waarde heeft voor jouw organisatie? Blaud helpt je graag verder. Neem gerust contact met ons op via hello@blaud.com
Auteur: Tim Struik