Met de unieke tweecijferige code weet je zeker dat jíj inlogt

Inlogprocedure AFAS Pocket app op AFAS Online aangescherpt met nummerkoppeling

Digitale veiligheid is in zekere zin een continu kat-en-muisspel met hackers. Als wij extra beveiligingsmaatregelen nemen, proberen zij die weer te omzeilen. Dat is ook het geval bij tweestapsverificatie. Tot op heden keur je je inlogpoging via de AFAS Pocket App met push notificatie en een groen vinkje goed. In de nieuwe situatie die in de week van 22 april 2024 ingaat, moet je een tweecijferige code invoeren die bij het inloggen wordt gegenereerd. Iets meer werk, maar wel weer een stukje veiliger.

Maar is er dan iets mis met de huidige inlogprocedure? Als je inlogt met de pushnotificatie zoals we die nu kennen, dan weet je nooit helemaal zeker of het wel echt jouw inlogpoging is. Ben je het wel zelf of is het toch iemand die met jouw gestolen gegevens inlogt?

Timen van het inlogmoment door hackers

Wanneer een hacker jouw inloggegevens heeft gestolen, kan hij het inloggen proberen te timen, bijvoorbeeld om half 9 ’s morgens. Iemand die standaard rond die tijd inlogt, denkt een eigen inlogpoging goed te keuren en geeft daarmee per ongeluk de hacker toegang in plaats van zichzelf. In het ergste geval realiseer je je dit helemaal niet en doe je een nieuwe poging om vervolgens wel succesvol in te loggen.

Tweestapsverificatie bombardement om je in te laten loggen

Een andere methode die wordt gebruikt is het tweestapsverificatie bombardement. Een hacker gaat met jouw gestolen inloggegevens honderden keren kort achter elkaar inloggen. Je wordt daardoor overspoeld met push notificaties in de hoop dat je er toch eentje accepteert om er maar vanaf te zijn. Wanneer ze dit midden in de nacht doen, dan is de kans nog iets groter dat dit lukt. Je wordt er waarschijnlijk wakker van en bent dan niet helemaal scherp of geïrriteerd.

Basisbeveiliging aanscherpen op AFAS Online

Door een tweecijferige code te genereren bij het inloggen die je in AFAS Pocket moet invoeren, koppelen we de inlogpoging aan de pushnotificatie. Dan weten we zeker dat je alleen je eigen inlogpoging kunt goedkeuren. Wil je weten hoe het precies werkt? Dat lees je in ons Help-artikel.

Nieuwe inlogmethode
Oude inlogmethode

 

 

We hebben deze extra beveiligingsstap overigens niet zelf bedacht. We letten goed op wat er in de markt gebeurt en hebben geleerd van Microsoft, die deze optie ook aanbiedt. Wanneer je Microsoft Entra ID als identity provider gebruikt, kun je deze inlogmethode dus ook toepassen op AFAS Online zonder dat je AFAS Pocket gebruikt. Met een eigen identity provider bepaal je als organisatie zelf hoe ver je gaat met je beveiliging en hoe je dat inricht. Wanneer je geen eigen identity provider gebruikt en inlogt met AFAS Pocket ontkom je niet aan deze wijziging. 

"Wij vinden dat deze maatregel de minimale basis is in de beveiliging van AFAS Online"

Zijn we dan helemaal veilig?

In ieder geval veiliger, maar zoals gezegd in het kat-en-muisspel met hackers moeten we altijd op onze hoede zijn. Gelukkig kunnen we zwakheden steeds sneller ontdekken en adequate maatregelen nemen. In de praktijk halen ook hackers steeds alles uit de kast om toch weer een nieuwe achterdeur te vinden. Hierbij blijven wachtwoorden altijd kwetsbaar. Daarom wordt er gewerkt aan de ontwikkeling van passkeys om een wachwoordloze toekomst te realiseren. Met deze phishingbestendige sleutels behoren wachtwoorden tot de verleden tijd. Maar tot die tijd zorgen we dat je zo veilig mogelijk kunt inloggen met de bestaande inlogmethodes. Deze extra stap met de tweecijferige code helpt daar zeker bij.

Inloggen op AFAS Online

Vanaf de week van 22 april 2024 log je via de AFAS Pocket app in op AFAS Online met een tweecijferige code. Ignaece, Security Officer (CISO) bij AFAS, legt je in dit artikel uit waarom we deze extra beveiligingsstap invoeren.