Track introduceert 2factor authenticatie

 
Z

Data beter beveiligen

Track Verzuim is een beproefd online systeem waarmee privacy-gevoelige gegevens rond ziekte en verzuim van werknemers veilig worden beheerd. Als onbevoegden toegang tot deze gegevens zouden kunnen krijgen dan kan dat voor de betrokkenen nare consequenties hebben. Tweefactor-authenticatie is een extra veilige manier van inloggen. Het College Bescherming Persoonsgegevens heeft alle beheerders van online verzuimsystemen gevraagd om 2factor authenticatie voor de toegang tot hun systeem verplicht te stellen. Track heeft haar programma aangepast, en vanaf 01 januari 2016 wordt deze nieuwe manier van inloggen voor alle gebruikers van Track Verzuim verplicht.

2factor authenticatie

Het woord ‘authenticeren’ in de context van een computerprogramma betekent dat het systeem vaststelt dat de gebruiker daadwerkelijk is wie hij zegt dat hij is. Dat kan door middel van één of meerdere van de onderstaande factoren:

  • Met iets wat je weet als gebruiker: bijvoorbeeld een wachtwoord of een pincode;
  • Met iets wat je hebt: bijvoorbeeld een smartphone, of een key-card;
  • Met iets wat je bent: bijvoorbeeld een iris-scan van uw oog of een vingerafdruk.

Tweefactor-authenticatie betekent, dat het systeem vaststelt dat de gebruiker daadwerkelijk is wie hij claimt te zijn door twee van deze factoren te toetsen. Dus: bijvoorbeeld een gebruikersnaam (dat is: de claim) in combinatie met een wachtwoord (dat is: iets wat je weet) en een persoonsgebonden code die gegeneerd wordt op zijn smartphone (die smartphone in combinatie met de persoonsgebonden instellingen is dan ‘iets wat je hebt’).

Hoe werkt het?

Het werkt als volgt: – De gebruiker navigeert naar Track Verzuim – Er opent zich een inlogscherm met drie invoervelden voor: a) Uw gebruikersnaam b) Wachtwoord c) Gebruiker-specifieke toegangscode die via een App op de smartphone of een code-generator voor de gebruiker beschikbaar is. De tweede factor, de gebruiker-specifieke toegangscode, wordt steeds opnieuw door een zgn. code generator aangemaakt. U kunt als code generator een programma zoals WinAuth op uw computer installeren, maar u kunt ook een App  zoals bijvoorbeeld ‘Google Authenticator’ op uw smartphone installeren. Aan de hand van een persoonsgebonden geheime sleutel (bijvoorbeeld iets in de trant van “NASUPODTNWX5VIAO”) in combinatie met een versleutelingsmechanisme genereert die code-generator tijdsafhankelijk iedere 30 seconden een uniek getal dat specifiek is voor de gebruiker. Omdat iedere gebruiker over een persoonlijke, unieke sleutel beschikt, zal op één en hetzelfde tijdstip voor iedere gebruiker toch een ander uniek toegangsgetal door de code-generator worden aangemaakt. De definitieve implementatie zal per 01-01-2016 plaatsvinden. Gedurende deze laatste weken van het jaar hebt u de gelegenheid om alvast te wennen aan deze nieuwe manier van inloggen.  Het invoeren van de beveiligingscode is nu nog niet verplicht, want als u het invoervak leeg laat dan kunt u gewoon inloggen zoals u gewend bent door alleen uw gebruikersnaam en wachtwoord in te voeren. Toch is het verstandig om alvast de app te installeren en de nieuwe manier van inloggen uit te proberen. Daarmee voorkomt u problemen in het nieuwe jaar. U leest hieronder wat u moet doen om de app te installeren.
/

Wat is het niet?

Er zijn systemen die bijvoorbeeld een arts vragen bij het inloggen een gebruikersnaam in te voeren, en daarna nog een keer een ander wachtwoord in te voeren. Zo’n systeem vraagt weliswaar twee wachtwoorden, maar dat is dan geen 2-factor authenticatie. Immers: het gaat in beide gevallen om dezelfde factor, namelijk om informatie die de gebruiker weet. Ook informeren naar het antwoord op een geheime vraag naast het uitvragen van een wachtwoord is om dezelfde reden geen voorbeeld van 2-factor authenticatie.

VCD Humannet

Dit standpunt komt naar buiten op basis van een onderzoek dat het CBP heeft uitgevoerd bij het bedrijf VCD Humannet in het kielzog van de laatste uitzending van ‘De Verzuimpolitie’ in 2012. Geconstateerd werd dat het systeem Humannet vatbaar was voor cyber-aanvallen. Twee jaar later, in 2014, was dat nog steeds het geval ondanks beloften van de directie om de beveiliging te verbeteren.
u

Waarom 2factor authenticatie?

Het College Bescherming Persoonsgegevens (CBP) moet toezien op de naleving van de Wet Bescherming Persoonsgegevens. Het CBP heeft recent Track Software en 53 andere partijen per brief geïnformeerd van mening te zijn dat ieder online systeem waarin medische gegevens toegankelijk zijn, beveiligd moet worden door middel van 2-factor authenticatie.
p

Wat moet u doen?

Eén van de eerste stappen is dat u de App ‘Google Authenticator’ op uw smartphone of tablet installeert. Zie https://support.google.com/accounts/answer/1066447?hl=nl voor hulp bij het installeren van de app op verschillende typen smartphones en tablets. Als u deze App al hebt, dan hoeft u deze niet opnieuw te installeren. U moet de volgende stappen dan wel uitvoeren. Als u geen App wilt of kunt installeren, kunt u een programma op uw computer installeren. Bij voorbeeld Winauth (Windows) of OTP Manager (Mac).

Sleutel aanvragen

Navigeer met uw browser naar het inlogscherm van Track Verzuim, en klik op de tekst <sleutel vergeten>. Vul vervolgens uw inlognaam of e-mail adres in, en klik op <versturen>. Track stuurt u een mail met een QR-code en een sleutel. Met de QR-code kunt u uw geheime sleutel gemakkelijk in de App installeren. Nadat u de sleutel in uw code-generator hebt ingevoerd, kunt u met de combinatie van uw gebruikersnaam, uw wachtwoord én uw persoonlijke code inloggen. Doordat u meer informatie moet invoeren, is de kans ook wat groter dat u zich vergist. Als het inloggen niet lukt:

  • Probeer het nog een keer (met een nieuwe code uit de code generator)
  • Vergelijk de tijd op uw telefoon of computer met een andere klok. Het is belangrijk dat de tijd juist is ingesteld.
u

Veel gestelde vragen

Ik heb problemen met het installeren van de App op mijn smartphone
Zie https://support.google.com/accounts/answer/1066447?hl=nl voor hulp bij het installeren van de app op verschillende typen smartphones en tablets.
Ik werk in een gebouw waar mijn telefoon geen ontvangst heeft
Gelukkig is dat geen probleem. De Authenticator App heeft geen verbinding met een telefoonnetwerk nodig. U kunt de Authenticator dus ook installeren op uw Android tablet of iPad.
Ik heb geen smartphone
U kunt elke applicatie die voldoet aan RFC 6238 gebruiken voor het genereren van de code. Op Windows kunt u bijvoorbeeld WinAuth gebruiken, zie https://winauth.com/. Voor de Mac is er o.a. OTP Manager (te vinden in de Mac App Store). Deze programma’s zijn gratis te gebruiken. U moet de geheime sleutel in de applicatie invoeren (of plakken) in plaats van de QR code te scannen. Omdat u nu geen apart apparaat hebt, zoals bij gebruik van een telefoon of een tablet, is het wel verstandig om de code generator zelf extra te beveiligen met een wachtwoord en encryptie, dit soort tools bevatten hiervoor dan ook voorzieningen.
Kunt u mij helpen WinAuth te installeren?
In de bijlage kunt u de handleiding voor installatie en gebruik van WinAuth dowloaden. Handleiding WinAuth