Wat is twee-factor authenticatie? Waarom heeft SIDN twee-factor authenticatie ingevoerd? Vanaf wanneer moet ik twee-factor authenticatie gebruiken? Wat verandert er aan de login-procedure? Welke tweede authenticatie-methoden zijn beschikbaar? Welke authenticatie-applicaties ondersteunt SIDN? Hoe kan ik de eerste keer inloggen? Welke authenticatie-methode kan ik het beste gebruiken? Hoe verloopt de authenticatie met een authenticatie-applicatie precies? Wat moet ik doen om een mobiele authenticatie-app te kunnen gebruiken? Welke mobiele authenticatie-app kan ik het beste gebruiken? Hoe verloopt de authenticatie via sms precies? Wat als ik, of mijn medewerkers, geen (zakelijk) mobiel nummer hebben dat wij hiervoor kunnen gebruiken? Wat als ik, of mijn medewerkers, geen smartphone hebben? Wat als ik geen (werkende) camera op mijn smartphone heb? Wat moet ik doen als ik mijn mobiele telefoon kwijt ben of een ander mobiel telefoonnummer heb? Wat moet ik doen als ik mijn gebruikersnaam of wachtwoord kwijt ben? Wat moet ik doen als de toegang is geweigerd? Wat moet ik doen als ik opnieuw het login-scherm krijg? Wat moet ik doen als de door de authenticatie-applicatie gegenereerde verificatie-codes niet meer geaccepteerd worden?
Twee-factor authenticatie is een uitgebreide login-procedure. Wij voeren deze in voor de webinterface van DRS5. Waar u voorheen toegang kreeg tot de webinterface op basis van gebruikersnaam en wachtwoord, is nu een extra authenticatie-stap vereist. Concreet houdt dit in dat na het eerste, bekende login-scherm een tweede authenticatie-scherm wordt getoond voordat u toegang krijgt tot de webinterface. Op dat tweede scherm moet u een verificatie-code invoeren die u via sms of een authenticatie-applicatie moet opvragen.
Twee-factor authenticatie verhoogt de veiligheid van de webapplicatie. Het voorkomt dat onbevoegden zich met een gestolen of geraden wachtwoord toegang kunnen verschaffen tot de applicatie. De introductie van twee-factor authenticatie is een logisch vervolg op de recentelijke uitsplitsing van algemene naar individuele gebruikersaccounts. Beide veranderingen maken deel uit van een bredere strategie om de toegankelijkheid van de webapplicatie te verhogen en de veiligheid te waarborgen. Twee-factor authenticatie wordt eind september 2015 ingevoerd.
Na het eerste, bekende login-scherm krijgt u een tweede authenticatie-scherm te zien voordat u toegang krijgt tot de webinterface. Op dat tweede scherm moet u een verificatie-code invoeren die u via een authenticatie-applicaties of sms kunt opvragen. Gebruik van een mobiele app heeft onze voorkeur, maar dat vereist -- in tegenstelling tot sms -- dat de gebruiker een smartphone heeft. We realiseren ons dat de introductie van twee-factor authenticatie een extra inspanning van u vraagt. Tegelijkertijd is deze maatregel noodzakelijk om de veiligheid van de webapplicatie te waarborgen, ook in uw belang. De volgende methodes zijn beschikbaar: Beschikt u over een smartphone, dan is het makkelijker om een authenticatie-app op uw toestel te installeren. Na de eerste aanmelding levert die voortaan de verificatie-codes. Wilt u een mobiele telefoon gebruiken die geen smartphone is, dan kunt in het tweede authenticatie-scherm op de sms-knop klikken om een verificatie-code naar uw mobiele nummer te laten sturen. We maken voor onze twee-factor authenticatie gebruik van de open OATH-standaard (RFC 6238). Dat betekent dat u elke authenticatie-applicatie die aan deze standaard voldoet kunt gebruiken. De eerste keer moet u altijd gebruikmaken van authenticatie via sms om in te loggen. Voor het gebruik van een authenticatie-applicatie is een geheime sleutel nodig, en die wordt pas getoond na volledig inloggen. Om uw authenticatie-app aan te melden, moet u op het tweede authenticatie-scherm de checkbox voordat u op de Login-knop drukt.
De daarna getoonde sleutel -- in de vorm van een QR code en in tekstformaat -- moet in een authenticatie-applicatie ingevoerd worden om deze voortaan te kunnen gebruiken voor het genereren van de verificatie-codes. Een mobiele authenticatie-app is wat ons betreft voor de meeste gebruikers de beste oplossing. Na het eenmalig inscannen van de geheime sleutel geeft deze elke keer een 6-cijferige verificatie-code voor snelle toegang tot de webinterface.
Authenticatie via sms -- waarbij je afhankelijk blijft van het mobiele telefoonnetwerk -- hoeft dan alleen de eerste keer gebruikt te worden. Deze manier van authenticeren blijft wel altijd beschikbaar. Gebruikt u een authenticatie-applicatie, dan genereert deze een 6-cijferige verificatie-code. Deze code is 30 seconden geldig. U vult die code in op het scherm en klikt vervolgens op de Login-knop. U komt daarna in de vertrouwde webinterface terecht. Voor het gebruik van een mobiele authenticatie-app moet eerst een geheime sleutel tussen de systemen van SIDN en de app worden uitgewisseld. Om een geheime sleutel te krijgen, moet u op het tweede authenticatie-scherm de checkbox aanvinken voordat u op de Login-knop drukt. In het daaropvolgende scherm krijgt u dan de nieuwe sleutel te zien in de vorm van een QR-code. Deze kunt u direct van het scherm inscannen met uw mobiele authenticatie-app.
Onderstaande afbeelding laat zien dat de geheime sleutel ook in tekstvorm boven de QR-code weergegeven wordt. Die kunt u ook handmatig invoeren om de sleutel in de mobiele authenticatie-app te plaatsen. Let op: Welke authenticatie-methode u ook wilt gebruiken -- een mobiele authenticatie-app of authenticatie via sms -- de eerste keer moet u altijd gebruikmaken van sms voor het toesturen van de verificatiecode. Pas na volledig inloggen (en het zetten van het vinkje) wordt immers de geheime sleutel getoond die nodig is om een authenticatie-applicatie te kunnen gebruiken. Elke authenticatie-applicatie die voldoet aan de open OATH-standaard (RFC 6238) kan worden gebruikt om in te loggen op de webinterface. Voorbeelden van mobiele authenticatie-apps die gebruikt kunnen worden zijn: Google Authenticator: inmiddels closed-source; FreeOTP: beschikbaar voor Android en ios; gebaseerd op de open source code van Google Authenticator, ondersteund door Red Hat.. sms is de optie voor gebruikers die wel een mobiele telefoon maar geen smartphone hebben. Voor de authenticatie via sms klikt u in het tweede authenticatie-scherm op de sms-knop. U ontvangt dan een 8- cijferige verificatie-code per sms op het mobiele nummer dat bij het betreffende account geregistreerd staat. Deze actie wordt ook bevestigd in het scherm. U vult de ontvangen code in op het scherm en klikt vervolgens op de Login-knop. U komt daarna in de vertrouwde webinterface terecht. De verificatie-code die u per sms ontvangt is één minuut geldig.
Bij het ontwerp van ons loginproces voor DRS, zijn wij ervan uitgegaan dat iedere DRS-gebruiker over een mobiele telefoon beschikt, zakelijk dan wel privé. Zonder mobiele telefoon kunt u niet meer inloggen in DRS.. Hoewel authenticatie via sms alleen de eerste keer gebruikt hoeft te worden om in te loggen, blijft deze mogelijkheid van authenticeren wel altijd beschikbaar, voor het geval u niet over een smartphone beschikt. De geheime sleutel die nodig is om een authenticatie-applicatie te kunnen gebruiken wordt niet alleen in de vorm van een QR-code getoond maar daarboven ook in tekstformaat.
Bent u niet de admin-gebruiker, neem dan contact op met de admin-gebruiker binnen uw organisatie. Bent u zelf de admin-gebruiker, neem dan contact op met onze support-afdeling. Hiervoor heeft u de zogenaamde SIDN-identificatiecode (SID) nodig. Bent u niet de admin-gebruiker, neem dan contact op met de admin-gebruiker binnen uw organisatie. Bent u zelf de admin-gebruiker, neem dan contact op met onze support-afdeling. Hiervoor heeft u de zogenaamde SIDN-identificatiecode (SID) nodig. Na het resetten van het wachtwoord moet u een nieuwe geheime sleutel aanvragen om weer gebruik te kunnen maken van een authenticatie-applicatie. Daarvoor moet u de eerste keer dus weer via sms. Dit kan onder andere voorkomen als de status van uw registrar-account niet actief is, of als u als gebruiker gedeactiveerd bent door SIDN of als uw admin-gebruiker uw account heeft ingetrokken. Neem contact op met de admin-gebruiker binnen uw organisatie. De sessietijden van de login- en authenticatie-schermen zijn kort. U moet de login-procedure dus in één keer zonder onderbreking doorlopen. Bent u niet de admin-gebruiker, neem dan contact op met de admin-gebruiker binnen uw organisatie. Mogelijk heeft hij uw wachtwoord gereset. Bent u zelf de admin-gebruiker en heeft SIDN uw wachtwoord gereset, dan moet u een nieuwe geheime sleutel aanvragen om weer gebruik te kunnen maken van een authenticatie-applicatie. Daarvoor moet u de eerste keer dus weer via sms inloggen.