Authentication

Phishing-Resistant MFA: FIDO2 en Passwordless

📊 Strategisch 👥 Identity Architects, Security Managers ⏱️ 29 min lezen
Cloud Native Security CLOUD-FIRST Born in cloud | Auto-scaling | Global availability 99.9 % Uptime
Executive Summary

Phishing-resistente multi-factor authenticatie (MFA) voorkomt dat aanvallers misbruik maken van gestolen inloggegevens door de aanmelding cryptografisch te koppelen aan het werkelijke aanmeldingsdomein. Met FIDO2-beveiligingssleutels, Windows Hello for Business, passwordless-aanmeldingen via Microsoft Authenticator en certificaatgebaseerde authenticatie wordt het onmogelijk om gebruikers ongemerkt via een phishingproxy naar een vals portaal te leiden. Waar traditionele MFA-methoden zoals sms-codes en eenvoudige pushmeldingen nog steeds kunnen worden misleid, blokkeren phishing-resistente methoden adversary-in-the-middle-aanvallen zelfs wanneer een gebruiker op een overtuigende phishinglink klikt. Voor Nederlandse overheidsorganisaties, met name voor beheerders en functies met verhoogd risico, vormt phishing-resistente MFA daarom geen luxe, maar een noodzakelijke randvoorwaarde voor moderne digitale dienstverlening.

Phishing-Resistant Authentication Methods

Phishing-resistente multi-factor authenticatie bouwt voort op het principe dat de sleutel nooit het wachtwoord van de gebruiker verstuurt, maar een cryptografisch bewijs levert dat uitsluitend voor het echte aanmeldingsdomein geldig is. In de praktijk betekent dit dat een gebruiker zich met hetzelfde gebaar kan aanmelden als bij traditionele MFA, maar dat een phishingwebsite technisch simpelweg niet in staat is om de authenticatie over te nemen. Voor bestuurders en securitymanagers is het belangrijk om te begrijpen dat dit geen cosmetische verbetering is, maar een fundamenteel andere beveiligingsarchitectuur.

FIDO2-beveiligingssleutels vormen de meest herkenbare vorm van phishing-resistente MFA. Dit zijn fysieke hardwaretokens van leveranciers zoals YubiKey, Feitian of Thales, vaak in de vorm van een USB-A- of USB-C-sleutel, eventueel aangevuld met NFC voor mobiele apparaten. In plaats van een wachtwoord op te slaan, genereert de sleutel per dienst een uniek sleutelpaar en bewaart de privésleutel in een beveiligd element dat niet kan worden uitgelezen. Tijdens het inloggen controleert de browser via de WebAuthn-standaard of het domein overeenkomt met het domein waarvoor de sleutel is geregistreerd. Klopt het domein niet, dan weigert de sleutel simpelweg mee te werken, zelfs als de gebruiker misleid is door een overtuigende phishingmail.

Voor de uitrol binnen een Nederlandse overheidsorganisatie betekent dit dat identiteiten in Entra ID (voorheen Azure AD) worden voorbereid op passwordless-aanmelding. Medewerkers registreren één of meerdere FIDO2-sleutels via een selfserviceportaal, waarbij beleid afdwingt dat beheerders en hoog-risicogebruikers altijd ten minste twee sleutels hebben: een primaire en een reservesleutel in een kluis. Conditional Access-beleid schrijft vervolgens voor dat toegang tot beheerdersportalen, gevoelige SaaS-diensten en kernapplicaties alleen mogelijk is met phishing-resistente methoden. Waar voorheen meerdere wachtwoordresets per jaar nodig waren, ervaren gebruikers nu een snelle, consistente en veiligere aanmelding.

Windows Hello for Business biedt een alternatief voor scenario's waarin een fysieke sleutel minder praktisch is, bijvoorbeeld voor medewerkers die voornamelijk op een beheerde laptop werken. Het besturingssysteem genereert een cryptografische sleutel in de Trusted Platform Module (TPM) van het apparaat en koppelt deze aan een biometrische factor zoals gezichtsherkenning of vingerafdruk. De gebruiker ziet slechts een korte gezichts- of vingerafdrukscan, maar onder water wordt een sleutel gebruikt die niet van het apparaat kan worden gekopieerd. Ook hier wordt de aanmelding aan het domein van de organisatie geklonken, waardoor een man-in-the-middle-aanval geen bruikbare gegevens oplevert.

Microsoft Authenticator passwordless-aanmeldingen vullen het plaatje aan voor medewerkers die flexibel werken of vooral met mobiele apparaten inloggen. In plaats van een simpele "ja/nee"-pushmelding ontvangt de gebruiker een nummer op het aanmeldscherm dat hij of zij in de Authenticator-app moet overnemen. De app toont daarnaast locatie-informatie en tenantdetails, zodat gebruikers sneller doorhebben wanneer een poging verdacht is. In combinatie met biometrie op de telefoon wordt de aanmelding sterk, gebruiksvriendelijk en beter bestand tegen misbruik van automatische pushgoedkeuring.

Voor de hoogste zekerheidsniveaus, zoals toegang tot staatsgeheime informatie of zeer gevoelige registers, blijft certificaatgebaseerde authenticatie (Certificate-Based Authentication, CBA) relevant. Gebruikers beschikken dan over een X.509-certificaat dat wordt uitgegeven door de interne PKI van de organisatie en opgeslagen is op een smartcard of een speciaal USB-token. Bij het inloggen wordt niet gevraagd om een wachtwoord, maar om toegang tot de kaart en de bijbehorende pincode. Door certificaten te koppelen aan accounts in Entra ID en strikte intrekkingslijsten (CRL of OCSP) te hanteren, kan de organisatie centraal bepalen wie toegang behoudt en wie onmiddellijk moet worden geblokkeerd.

De beleidslaag rond deze technologieën is minstens zo belangrijk als de techniek zelf. In Conditional Access wordt vastgelegd welke authenticatiesterktes zijn toegestaan voor welke applicaties, welke groepen gebruikers verplicht phishing-resistente methoden moeten gebruiken en onder welke omstandigheden nog tijdelijk een traditionele factor mag worden geaccepteerd. Voor beheerdersaccounts is het uitgangspunt eenvoudig: er wordt alleen toegang verleend met FIDO2, Windows Hello for Business of een vergelijkbare phishing-resistente methode. Break-glass-accounts worden strikt beperkt, offline opgeslagen en continu gemonitord op misbruik.

Een succesvolle implementatie vraagt tenslotte om aandacht voor gebruikerservaring en verandermanagement. Gebruikers moeten begrijpen waarom sms-codes en eenvoudige pushmeldingen niet langer voldoende zijn en wat het voordeel is van een fysieke sleutel of biometrische aanmelding. Heldere instructies, korte e-learningmodules en fysieke supportmomenten tijdens de uitrol verminderen de druk op de servicedesk. Door vanaf het begin aandacht te besteden aan back-upmethoden, procedures bij verlies van sleutels en duidelijke communicatie over verantwoordelijkheden, ontstaat een stabiel authenticatielandschap dat zowel veiliger als gebruiksvriendelijker is dan de oude situatie.

Conclusie

Phishing-resistente MFA vormt een van de meest impactvolle maatregelen in de verdedigingslijn van elke moderne overheidsorganisatie. Door authenticatie cryptografisch te koppelen aan het werkelijke aanmeldingsdomein maken FIDO2-sleutels, Windows Hello for Business, passwordless-aanmeldingen met Microsoft Authenticator en certificaatgebaseerde authenticatie het voor aanvallers praktisch onmogelijk om met alleen een phishingmail of nepsite toegang te krijgen. Traditionele MFA blijft nuttig als tussenstap, maar biedt onvoldoende bescherming tegen geavanceerde adversary-in-the-middle-aanvallen die sessiecookies en tokens stelen. Door phishing-resistente methoden minimaal verplicht te stellen voor alle beheerders en stapsgewijs uit te rollen naar medewerkers in kritieke processen, wordt het risico op accountovernames drastisch verlaagd. De benodigde investeringen in hardware, licenties en adoptie zijn substantieel, maar vallen in het niet bij de kosten en reputatieschade van een grootschalig incident waarbij inloggegevens worden misbruikt.

Executive Aanbevelingen
  • Maak phishing-resistente MFA verplicht voor alle beheerders- en andere hoog-risicoaccounts
  • Rol FIDO2-beveiligingssleutels en/of Windows Hello for Business gefaseerd uit naar prioritaire doelgroepen
  • Gebruik Microsoft Authenticator passwordless met number matching als standaardmethode voor reguliere gebruikers
  • Definieer in Conditional Access duidelijke authenticatiesterktes per applicatie en risicoprofiel
  • Plan het uitfaseren van verouderde en niet-fishing-resistente authenticatieprotocollen
Phishing-Resistant MFA FIDO2 Passwordless Authentication