Alles over nut en noodzaak van de authenticator-app: ‘Vijf studenten hebben helemaal geen telefoon’

Wat gebeurt er eigenlijk als studenten weigeren gebruik te maken van deze app of geen mobiele telefoon hebben?
‘’We hebben zo’n 26.000 studenten binnen Saxion en uiteindelijk hebben vijf studenten gezegd; ‘Ik heb geen telefoon, dus wij doen dit niet’. Deze studenten hebben we geholpen door ze een token te geven. Dat is een fysiek apparaatje dat aan het account van de student is gekoppeld. Bij het inloggen komt er elke keer een andere code op tevoorschijn, deze moet de student dan weer intikken op de computer’’, zegt Henri Meutstege.

Wat is er gedaan om het systeem gebruiksvriendelijk te maken voor mensen die digibeet zijn?
Meutstege: ‘’We hebben ons uiterste best gedaan bij de introductie van de authenticator-app veel uitleg te geven. We hebben stapsgewijze handleidingen en filmpjes met toelichting gemaakt. Als iemand er toch niet uitkomt, kan diegene naar de servicedesk op school komen en dan helpen we hem of haar graag’’

Waarom is de app eigenlijk geïntroduceerd? ‘’Sinds een incident op de universiteit in Maastricht zijn wij een beetje wakker geschrokken. Eind 2019 was daar een aanval. Hackers hadden toegang  tot de pc van een medewerker, op die computer hadden ze vervolgens een stuk software geïnstalleerd, die alle gegevens op het hele netwerk versleutelde zodat niemand er meer bij kon. Een nachtmerrie, want in theorie zou dit ook bij Saxion kunnen gebeuren. We hebben natuurlijk allemaal maatregelen genomen om dit soort aanvallen te voorkomen, maar dat had de universiteit van Maastricht ook en toch is het de hackers gelukt. Het college van bestuur heeft toen gezegd; wij moeten flink gaan investeren in de veiligheid van onze gegevens”, zegt Meutstege.

Wat doet de authenticator app?
‘’Normaal gesproken log je alleen in met een (ingewikkeld) wachtwoord, dit is één factor. Op het moment dat dat wachtwoord bekend is, dus geraden of gelekt, kan de hacker op het account van zo’n student of medewerker inloggen. Daarom hebben wij een tweede factor toegevoegd, dat zou ook nog een derde of een vierde kunnen worden. Door een extra factor heb je naast iets dat je weet; je wachtwoord, ook iets in je bezit; je mobiele telefoon. Hierdoor kan je beter aantonen dat je echt jezelf bent en dus wordt de veiligheid van het inloggen verhoogt’’, zegt Meutstege.

Van de Kerkhof vult aan: ‘’Door gebruik te maken van dingen die je ‘bent’, dus bijvoorbeeld een irisscan of een duimscan wordt de beveiliging nog beter omdat dit niet iets is wat je hebt, maar wat je bent. Deze factoren zijn eigenlijk knopjes waar wij aan kunnen draaien, die zetten wij in om de beveiliging te verhogen. Wachtwoorden zijn (door middel van tools) vaak makkelijk te raden. Maar hier geldt ook hoe langer het wachtwoord, hoe moeilijker het te raden is. Daarom is een lang en complex wachtwoord ook van belang.’’

Ze vergelijkt het met het op het slot zetten van je fiets. “Als je in een klein dorpje in de Oost-Nederland woont en naar de bakker gaat, hoef je hem niet op slot te zetten. Ga je naar Amsterdam, dan doe je dat wel. Zet je hem bij het station dan zelfs dubbel. Wat mij betreft zijn dat allemaal factoren van hoe je de veiligheid -in dit geval die van je fiets- verbeterd. Dit kan je goed vergelijken met onze informatiebeveiliging, soms is het lastig en moeten mensen wennen, maar we willen niet dat jouw digitale fiets wordt gestolen’’, zegt Meutstege. ‘’De digitale wereld is geen klein dorpje uit Oost-Nederland, maar we zijn bereikbaar vanuit de hele wereld. We proberen het zo veilig en zo gebruikersvriendelijk te maken’’, zegt Van de Kerkhof.

Zou zo’n derde of vierde factor binnenkort nodig kunnen zijn?
“Voor nu niet. Het kan best zijn dat we in de toekomst verschuiven, bijvoorbeeld meer inzetten op een duimscan. Maar uiteindelijk gaat het om risico-inschattingen. We proberen het risico zo klein mogelijk te houden dat er mensen, waarvan we niet willen dat ze toegang krijgen, kunnen inloggen. Maar het is ook een balans tussen dit en gebruikersvriendelijkheid. Uiteindelijk moeten studenten en medewerkers hun werk kunnen blijven doen. Het toevoegen van die tweede stap brengt ons een grote stap voorwaarts en voorlopig denken we dat dat voldoende is’’, zegt Meutstege.

Van de Kerkhof vult aan: “Er wordt op dit vlak veel onderzoek gedaan. Ook kijken we naar het cyber security center van Rijksoverheid. Daar maken wij op dit moment uit op dat het voor Saxion niet nodig is om een extra factor toe te voegen. Mocht de wereld bedreigender worden dan die nu al is, dan zou zo’n derde factor op de duur nodig kunnen zijn.’’

Wat gebeurde er in het verleden als een wachtwoord werd geraden?
‘Alleen al in de afgelopen maand hebben we twee keer een account gevonden van een student waarvan we zien dat zijn wachtwoord geraden is. We zien dan dat iemand vanuit bijvoorbeeld Sierra Leone of Rusland inlogt, op een account van een student die bijvoorbeeld in Deventer woont. Het account wordt dan gereset en de student moet een nieuw wachtwoord aanmaken. Door de authenticator-app komen de hackers niet verder, het helpt dus echt. Ik weet niet van grote hacks waarin honderden of duizenden accounts gestolen zijn, maar er zijn in de afgelopen jaren regelmatig accounts gestolen. Deze werden dan gebruikt om bijvoorbeeld een phishing campagne te starten, de kans dat dit nu gebeurt is een stuk kleiner’’, volgens Meutstege.

Hoe zit het als studenten een nieuwe telefoon kopen?
Meutstege: ‘’Er is een Saxion-pagina waar dit allemaal op uitgelegd staat, maar dan moet je wel weten waar dat staat. Als je een nieuwe telefoon hebt, moet je eigenlijk een aantal stappen doorlopen. Eerst moet je de authenticator-app op je oude telefoon verwijderen en vervolgens moet je hem op je nieuwe telefoon weer installeren. Als je in het weekend een nieuwe telefoon koopt dan kan ik me wel voorstellen dat studenten er niet aan denken en maandag met een probleem zitten. We hebben na de kerst veel telefoontjes gekregen over dit probleem. We snappen dat dit erg lastig kan zijn, maar het staat duidelijk uitgelegd.’’