Dagelijks krijg ik veel aanvragen van aanbieders van SaaS-software om tweestapsverificatie (2FA) te implementeren. Het grote voordeel van SaaS is dat je overal kunt inloggen, het nadeel voor deze vorm van beveiliging is evident. Op het dark web kunnen hackers credentials van alle denkbare SaaS-oplossingen zonder probleem kopen. Misschien gebruiken jouw gebruikers bedoeld of onbedoeld ook veel dezelfde wachtwoorden bij verschillende applicaties, waardoor ook jouw SaaS-software constant gevaar loopt.
Gelukkig is de oplossing voor dit probleem simpel, want met het implementeren van een goede tweestapsverificatie zijn deze login-gegevens waardeloos voor hackers. 2FA valt op verschillende manieren te implementeren. Daarom ga ik in het artikel hieronder uitgebreid in op de verschillende manieren om dit te doen en op de uiteenlopende mogelijkheden die tweestapsverificatie bij SaaS-software biedt.
Inhoud:
-
Zo werkt tweestapsverificatie bij SaaS
-
3 manieren van tweestapsverificatie
-
Gebruiksvriendelijkheid en andere tips
Zo werkt tweestapsverificatie bij SaaS
TUNIX/Authenticatie Service is via één enkele regel code in jouw SaaS-software te implementeren. Deze werkwijze is absoluut uniek en werkt als volgt:
- Nadat een gebruiker zijn juiste gebruikersnaam en wachtwoord heeft ingevuld in jouw SaaS-omgeving roept deze code de API van TUNIX/Authenticatie Service aan
- Vervolgens krijgt de gebruiker een melding te zien in zijn TUNIX/KeyApp met de vraag of hij wil inloggen
- Als de gebruiker op ‘Ja’ klikt krijgt jouw software dit terug van onze API
- Jij kunt de gebruiker toegang geven tot jouw applicatie
Kortom: geen aanmeldingsprocedure (zoals het intypen van een code) voor je gebruikers. Ook heb je als developer geen API key nodig. Een developer kan TUNIX/Authenticatie Service letterlijk binnen twee uur in je SaaS-software integreren.
Door de eenvoudige stappen in de wizard te volgen implementeer je met het grootste gemak de 2FA van TUNIX/Authenticatie Service. Dit betekent een gemakkelijke, zorgeloze en overzichtelijke begeleiding door de mogelijkheden van TUNIX 2FA.
Beheerders-dashboard
Als beheerder krijg je een aparte module waarin je het gebruik van TUNIX 2FA kunt monitoren. Deze applicatie wordt bij de klant zelf gehost. Hierin kun je onder ander zien:
- Hoe vaak er wordt ingelogd
- Door wie er wordt ingelogd
- Welke verbindingen er met de TUNIX autorisatie server zijn gemaakt.
- En hoe snel deze verbindingen zijn.
Tuurlijk, als beheerder zal je niet dagelijks in het dashboard kijken. Maar mocht je tegen problemen aanlopen dan is deze module een essentieel onderdeel die je helpt de logins van je gebruikers goed te beheren en controleren.
2FA verplicht of niet verplicht?
Als SaaS-leverancier kun je er voor kiezen om tweestapsverificatie verplicht te maken voor je gebruikers of niet. Dit valt op verschillende manieren te regelen. Daarbij kan gekozen worden uit de volgende opties:
- Iedereen verplicht 2FA laten instellen
- Gebruikers zelf laten kiezen of ze 2FA willen gebruiken
- Bepaalde risicogroepen verplichten of de mogelijkheid geven 2FA te gebruiken
- Bepaalde groepen 2FA aanbieden (b.v. degene die hun telefoonnummer hebben doorgegeven)
Het is dus niet noodzakelijk om tweestapsverificatie perse aan iedereen aan te bieden. Daarmee bespaar je direct op de kosten. Blijkt het aanbieden van 2FA toch noodzakelijk? Geen probleem! Met TUNIX/Authenticatie Service kun je dit namelijk eenvoudig alsnog voor iedereen in één keer in de code verplicht stellen.
“Wat ik 100% kan garanderen is dat onze oplossing het van iedereen wint op prijs, eenvoud van integratie en eenvoud van gebruik.”
“Onze oplossing wint het op prijs, eenvoud van integratie en gebruiksgemak van iedereen. Gegarandeerd.”
Ronald Pikkert CEO TUNIX
3 manieren van tweestapsverificatie
De gebruiker kan op drie verschillende manieren de authenticatie uitvoeren. Als leverancier kies je uit een van de volgende drie mogelijkheden:
- Login met password en SMS authenticatie
- Login met password en authenticatie via de app
- Login zonder password (password less) en verifieer via de app
Bovendien heeft de gebruiker in de 2FA-app de mogelijkheid om via een knop, vingerafdruk of zelfs gezichtsherkenning (FaceID) de identiteit van de gebruiker vast te stellen.
Tweestapsverificatie via SMS
Ik weet dat de meeste SaaS-ontwikkelaars zelf technisch prima in staat zijn om tweestapsverificatie te ontwikkelen. Maar als ze eenmaal moeten kiezen tussen zelf ontwikkelen of uitbesteden is de keuze snel gemaakt en kiezen de meeste partijen voor SMS-verificatie. En eerlijk gezegd; niemand heeft eigenlijk zin om dan voor alle relevante platformen (in elk geval iOS en Android) een hele app te moeten ontwikkelen, waardoor er minder focus is voor de SaaS-applicatie waar het voor de organisatie eigenlijk om gaat.
Reken voor de grap eens uit hoe vaak jouw gebruikers inloggen per SMS. Je zult zien dat deze optelsom al snel leidt tot een torenhoge telefoonrekening. Vergeet ook niet dat bij tweestapsverificatie per SMS vraagt om het inbouwen van een code die in je applicatie kan worden ingetypt. Simpel gezegd betekent het implementeren van SMS-verificatie via de app meer werk dan tweestapsverificatie via een app van derden.
Tel daarbij ook nog eens op dat SMS steeds minder veilig blijkt, omdat het gemakkelijk onderschept kan worden. Bij TUNIX zien we – hoewel we SMS-verificatie blijven aanbieden – dat in de praktijk vrijwel iedere afnemer kiest verificatie via de app.
Tweestapsverificatie via app
De tweede optie is het zelf ontwikkelen van een app. Een behoorlijk kostbare klus waar je veel tijd, energie in dient te steken. En vergeet niet dat je ook nog eens rekening moet houden met verschillende versies voor zowel Android als iOS en verplicht onderhoud vanwege de ontwikkelingen op deze platformen.
Bezorgt het idee alleen al flinke kopzorgen? Kies dan net als honderden andere bedrijven voor het gemak en de zekerheid van TUNIX/Authenticatie Service. Door dit immense vertrouwen zijn we ook nog eens in staat geweest onze usability daardoor maximaal te optimaliseren op basis van honderdduizenden succesvolle inlogs.
Enthousiast geworden? Door onze effectieve doorlooptijd van offerteaanvraag tot uitrol kan alles al binnen een week geregeld zijn, dus kopen is ook nog eens veel sneller dan het zelf ontwikkelen van app.
Inloggen zonder password (password less) en verifieer via de app
De derde mogelijkheid is om zonder het gebruik van een wachtwoord in te loggen. De gebruiker hoeft alleen zijn username op te geven en bevestigd via de TUNIX/KeyApp dat hij in wil loggen.
Dit is natuurlijk een zeer gebruiksvriendelijke oplossing. Je zou het misschien niet denken maar ondanks het ontbreken van een wachtwoord is het ook nog eens heel veilig. Wel is het zo dat je dan de volgende zaken rekening dient te houden:
- Gebruikersnamen moeten niet makkelijk te raden zijn
- Of maak gebruik van een CAPTCHA
- Of pas het gebruik van een IP-blok toe
Dit is vrij noodzakelijk. Doe je dit niet, dan kan password less inloggen ervoor zorgen dat gebruikers veel ‘valse’ aanmeldingen krijgen. En daar zit natuurlijk helemaal niemand op te wachten.
Gebruiksvriendelijkheid
Tot slot wil ik graag nog wat vertellen over de gebruiksvriendelijkheid wanneer je kiest voor de TUNIX/KeyApp.
Geen codes overtikken
We zijn trots op de gebruiksvriendelijkheid van de TUNIX/KeyApp. Word je ook zo moedeloos van het constant overtypen van de code bij de Google authenticator? Met de TUNIX/KeyApp bevestig je je identiteit met een simpele druk op “Ja”-knop. Dit staat ook wel bekend als een zogeheten “one-time-password” (OTP). Wat de TUNIX/KeyApp doet is in feite OTP generen voor de gebruiker waardoor je nooit meer hoeft over te typen. Superhandig.
Biometrische kenmerken
Het identificeren van je identiteit met biometrische kenmerken is steeds meer in trek. Vanzelfsprekend bieden wij de gebruiker van de app ook de keuze aan voor het gebruik van deze nog steeds wonderlijke technologische ontwikkeling. Dus inloggen met je eigen vingerafdruk of door middel van gezichtsherkenning is geen probleem.
Kosten en complexiteit van implementatie
Bij het implementeren van tweestapsverificatie moet in het algemeen ook iets toevoegen aan je applicatie om 2FA aan de gebruiker te koppelen. Denk dan bijvoorbeeld aan een QR-code om de geheime sleutel in de telefoon te laden. Of het eerder vermelde inbouwen van een code in de SaaS-applicatie bij SMS-verificatie. Bij het gebruik van TUNIX/Authenticatie Service is dit proces dus niet meer nodig dus de ontwikkelaar hoeft dat niet te maken en de gebruikers worden er niet mee lastig gevallen waardoor de acceptatie een stuk hoger wordt. Nadat een gebruiker de TUNIX/KeyApp eenmalig heeft geactiveerd werken alle toepassingen zonder verdere inspanning.
“Bij onze unieke oplossing betaal je voor absolute security op het inlogproces per maand minder dan de prijs van 1 kop koffie.”
Ronald Pikkert CEO TUNIX
Onweerlegbaarheid
Ik hecht grote waarde aan de onweerlegbaarheid (nonrepudiation) van de TUNIX/KeyApp. Bij ons kan de applicatie maar op één telefoon worden geïnstalleerd. Dit in tegenstelling tot bij Google, waar je de authenticator op iedere telefoon kan zetten. Dat betekent geen onweerlegbaarheid en dit brengt uiteraard de welbekende risico’s met zich mee. Dat geldt ook voor SMS-verificatie. SMS kan onderschept worden, waardoor dit geen 100% garantie geeft dat de gebruiker ook echt is wie hij zegt dat hij is.
Beschikbaarheid
Apps voor authenticatie hebben een werkende Internet-verbinding nodig om te kunnen werken. De meeste oplossingen werken met 1 verbinding. TUNIX vindt beschikbaarheid een essentiële kwaliteit en daarom heeft de TUNIX-oplossing permanent verbinding met 3 volledig onafhankelijke en geografisch gescheiden servers. Hierdoor is het ondenkbaar dat alle verbindingen zouden uitvallen.
Voor mij is het gebruik van tweestapsverificatie in SaaS-applicaties een open deur en als vanzelfsprekend. Ik hoop dat ik door middel van dit artikel jou als lezer ook een beter beeld heb gegeven van de mogelijkheden op dit gebied. Misschien zit je na het lezen toch nog met vragen of onduidelijkheid. Uiteraard leg ik in dat geval graag een keer persoonlijk uit hoe TUNIX voor jou van dienst kan zijn.