MFA als hygiënefactor
De tijd dat MFA (ook wel 2FA genoemd) als complex gold en in de eerste plaats voor bijzondere gevallen en gebruikers bestemd is verleden tijd. Er zijn talloze manieren om MFA toe te passen en ze zijn bijna allemaal zeer gebruiksvriendelijk. In Europa zijn we onbewust al veel meer gewend aan MFA dan in andere landen. Dat komt omdat het in het betalingsverkeer (online bankieren!) inmiddels verplicht is. Die frequente omgang met MFA maakt dat het hier veel minder als een exotische toevoeging wordt gezien. Het is steeds meer een hygiënefactor, men maakt er gebruik van en het valt pas op als het er niet meer is of als de MFA app niet werkt.
MFA voor de cloud en andere diensten
MFA aanzetten voor online diensten, en dan vooral cloud diensten zou eigenlijk ook een automatisme moeten zijn. Microsoft 365 en alle andere bekende diensten bieden deze optie. Toegegeven soms is het activeren redelijk goed weggestopt, maar als die horde eenmaal is genomen is er een forse verbetering van veilig werken in en met de cloud, maar ook voor andere online diensten gerealiseerd. Dat SANS rapporteert dat tot 99 procent (!) van de datalekken voorkomen had worden door MFA verplicht te stellen is het bewijs van de kracht van MFA. Het mag bekend zijn dat MFA een de facto vereiste is om aan de AVG/GDPR te voldoend.
Microsoft 365 admins als risicofactor
Het is daarom bijna niet te bevatten dat 78 procent van de Microsoft 365 admins op een onveilige manier toegang heeft. Coreview meet namelijk dat 78 procent zonder MFA inlogt. Het risico dat deze groep vormt is dus heel groot en waarschijnlijk wordt het nog onderschat ook.
Natuurlijke heeft het bedrijf een oplossing om dit soort risico’s te signaleren en te monitoren. MFA aanzetten moeten de admins echter zelf doen. Dat blijft in het gelinkte bericht onderbelicht. Dat geldt ook voor het noemen van man en paard. Personen die als admins gebruik maken van de cloud zijn niet veilig bezig en vergroten het risico op een data lek. Hoe groot is de kans dat de kennis van deze groep gewoon ontoereikend is voor de privileges die ze hebben? We moeten beter naar de admins kijken is de duidelijke suggestie, maar wie dat moet doen vertelt Coreview niet.