Landschap voor identiteits- en toegangsbeheer

Om te kunnen groeien, moet elk bedrijf of elke organisatie een systematische methode hebben om medewerkers of leden te organiseren. Tegenwoordig valt die methode vaak onder de noemer Identity and Access Management (IAM), of soms ook Identity Credential Access Management (ICAM). In beide gevallen beschrijft het algemene raamwerk hoe nieuwe medewerkers in de organisatie worden opgenomen en hoe opvolging en het intrekken van accounts zo nodig worden beheerd.

Elementen van identiteits- en toegangsbeheer zijn relevant voor bedrijven van elke omvang. Het is nooit te vroeg om na te denken over hoe een organisatie medewerkers of leden moet beheren en ondersteunen.

In dit document bespreken we de zes belangrijkste elementen van identiteits- en toegangsbeheer en hoe je ze kunt toepassen in je organisatie.

Elke organisatie begint met één of meer personen, en het is logisch om te starten met wachtwoordbeheer en medewerkers vanaf het begin goed te ondersteunen.

Bijvoorbeeld: zelfs voordat mensen nieuwe accounts gaan instellen, moeten ze de mogelijkheid hebben om lange en unieke wachtwoorden te genereren voor elke website of service die ze nodig hebben. Een wachtwoordbeheerder met een ingebouwde wachtwoordgenerator maakt dit eenvoudig. Zo zetten medewerkers zichzelf vanaf dag één in de beste positie om succesvol te zijn door accounts gescheiden en veilig te houden met lange en unieke wachtwoorden.

Zodra mensen een wachtwoordbeheerder hebben om lange en unieke wachtwoorden te genereren, en deze te bewaren voor eenvoudige toegang, kun je doorgaan met het veilig delen van referenties binnen een team. 

Zakelijke wachtwoordbeheerders maken beheer van organisaties en veilig, gestructureerd delen tussen groepen gebruikers mogelijk. Die groepen kunnen worden toegewezen aan verschillende verzamelingen gevoelige items, zoals bedrijfslogins, gedeelde creditcards of wifiwachtwoorden op kantoor.

Door een end-to-end versleuteld platform voor veilig delen in te richten, legt elke organisatie de juiste basis voor de beveiliging van medewerkers en het bedrijf.

Met een lang, complex, willekeurig en uniek wachtwoord per account zetten gebruikers zichzelf in een sterke positie om beschermd te blijven. Een nog sterkere stap is het toevoegen van tweestapslogin, of tweefactorauthenticatie, aan zowel de login voor je wachtwoordbeheerder als aan andere websites en services.

Bij je wachtwoordbeheerder kan tweestapslogin worden geconfigureerd met authenticatie-apps, beveiligingssleutels, e-mail of sms. Houd er rekening mee dat sms tegenwoordig wordt beschouwd als een van de kwetsbaardere methoden voor hacks, vanwege de opkomst van simjacking als inbraakmethode.

Welke route gebruikers ook kiezen, zorg dat iedereen de gevolgen van tweestapslogin begrijpt, een kopie bewaart van herstelcodes voor tweestapslogin van websites als die worden aangeboden, en een methode heeft om een back-up te maken van de authenticatiesleutels die tijdens het registratieproces voor tweestapslogin worden aangeboden.

Sommige wachtwoordbeheerders bieden ingebouwde authenticators. Dit biedt gebruikers enorm veel gemak, vooral in gedeelde omgevingen. Gebruikers kunnen nu een login delen, inclusief de tweestapsloginreeks, zonder elkaar te hoeven bellen of appen om de geheime code te achterhalen.

Natuurlijk vragen sommigen zich misschien af wat het nut is van een ingebouwde authenticatiestap in je wachtwoordbeheerder en of dat de waarde van authenticatie tenietdoet. Uiteindelijk hebben gebruikers keuzes, en werkgevers kunnen voorlichting geven over voorkeurspraktijken. Dit zijn de redenen om te kiezen voor een geïntegreerde aanpak

1. De kluis van je wachtwoordbeheerder moet zelf tweestapslogin gebruiken via een andere methode. (Belangrijk: je moet de ingebouwde authenticator van je wachtwoordbeheerder niet gebruiken om je wachtwoordbeheerder-account te beschermen.) Je kluis en accounts zijn daardoor momenteel beschermd met een hoog beveiligingsniveau en, in feite, tweestapslogin.

2. Tweestapslogin inschakelen voor websites en applicaties biedt meer beveiliging dan het niet inschakelen ervan. Een nauwere integratie van tweestapslogin maakt het gemakkelijker om dit vaker te gebruiken, wat betere beveiligingspraktijken bevordert.

3. Als je een item moet delen, kun je het delen met tweestapslogin ingeschakeld, wat opnieuw betere beveiliging bevordert. Dit is een sterke zet voor samenwerking én tweestapslogin.

4. Je hoeft niet te onthouden welke authenticatie-app je hebt gebruikt, omdat deze ingebouwd blijft.

5. Je kunt altijd per geval kiezen welke login je intern binnen de authenticator van je wachtwoordbeheerder wilt authenticeren, of extern met een aparte authenticator-app.

Nu de wereld overstapt op wachtwoordloos werken, is het belangrijk dat je wachtwoordbeheerder en je algemene strategie voor identiteits- en toegangsbeheer wachtwoordloze opties omvatten. Bijvoorbeeld:

• Zorg dat je met biometrie kunt inloggen op apparaten en schakel ook automatisch invullen van aanmeldgegevens met biometrie in

• Verken voor Single Sign-On, dat later ook wordt besproken, opties die wachtwoordloze ervaringen bieden

• Overweeg het gebruik van beveiligingssleutels binnen je hele organisatie

• Houd bij de implementatie van beveiligingssleutels rekening met redundante opties en met back-up- en herstelprocedures als sleutels kwijtraken of als sleutels zijn gekoppeld aan bedrijfskritieke gebruikersaccounts

• Het kan bijvoorbeeld zinvol zijn dat een medewerker de locatie van eventuele back-upbeveiligingssleutels vermeldt in de kluis van de wachtwoordbeheerder, alleen zichtbaar bij accountovername en noodtoegang

Hoe sneller medewerkers op gang komen binnen een nieuw bedrijf, hoe sneller ze productief kunnen zijn en kunnen bijdragen aan succes. Het is dan ook niet verrassend dat provisioning een groot deel van het budget voor identiteits- en toegangsbeheer in beslag neemt, maar nog steeds is verspreid over meerdere systemen en tools. 

Bedrijven passen hun onboardingprocessen vaak aan op basis van de belangrijkste systemen die in gebruik zijn, zoals e-mail, berichtenapps, directoryservices en Single Sign-On, dat binnenkort uitgebreider wordt besproken.

Om medewerkers de beste onboardingervaring te bieden en ervoor te zorgen dat de wachtwoordbeheerder binnen een algemeen framework past, kies je voor wachtwoordbeheerders die het volgende bieden

• Een robuuste application programming interface (API) voor integratie met bestaande systemen

• Een volledig uitgeruste command-line-interface waarmee scripting voor aangepaste processen mogelijk is

• De mogelijkheid om te integreren met bestaande systemen voor identiteits- en toegangsbeheer, zoals 

  • Directoryservices

  • Single Sign-On 

  • Auditing en logins

Grotere bedrijven implementeren vaak directoryservices om medewerkers per afdeling te organiseren. Er kunnen bijvoorbeeld groepen zijn op basis van sales, marketing, engineering, IT en finance. Deze bestaande directoryservices bieden een manier om medewerkers op functie in te delen, nieuwe medewerkers snel aan de juiste groepen toe te voegen en accounts te deprovisioneren wanneer dat nodig is.

Wachtwoordbeheerders op ondernemingsniveau integreren met directoryservices om groepen gebruikers binnen de organisatiekluis voor wachtwoordbeheer in te delen. Als een groep financiële medewerkers toegang heeft tot een specifieke set aanmeldgegevens voor belastingdiensten, krijgt een nieuw lid van die groep automatisch toegang tot die aanmeldgegevens.

Sommige bedrijven gebruiken directorygroepen ook om ad-hoc teams te ondersteunen. Er kan bijvoorbeeld een afdelingsoverschrijdend tiger team worden gevormd rond een nieuw bedrijfsinitiatief. Het team kan een eigen wachtwoordbeheergroep aanvragen. Met directory-integratie kan dit nieuwe tiger team worden gesynchroniseerd met de wachtwoordbeheerapplicatie en snel een set veilige aanmeldgegevens inschakelen.

Door de sterke groei van software-as-a-service (SaaS)-applicaties hebben veel bedrijven Single Sign-On benut om uniforme toegang tot websiteaccounts mogelijk te maken. Uiteraard vereist Single Sign-On dat de website of service die functie beschikbaar heeft. Hoewel veel websites voor bedrijven Single Sign-On aanbieden, is er nog steeds een hele wereld aan websites en services die dat niet doen. Een wachtwoordbeheerder vult dat gat en biedt meer.

Sommige wachtwoordbeheerders kunnen ook integreren met Single Sign-On, waardoor bedrijven gebruikers automatisch in een organisatie kunnen provisioneren. 

Natuurlijk is een end-to-end versleutelde applicatie zoals een wachtwoordbeheerder net iets anders dan je typische SaaS-dienst. Omdat een beveiligingsmodel voor wachtwoordbeheerders met zero-knowledge-versleuteling garandeert dat de provider niets in je kluis kan zien, krijgt Single Sign-On in deze context een andere invulling.

Het uitgangspunt van een wachtwoordbeheerder is dat de eindgebruiker de sleutel bezit om zijn gegevens te versleutelen en te ontsleutelen. De wachtwoordbeheerder kent de sleutel niet en kan deze niet aan de gebruiker verstrekken als die verloren gaat. Op dezelfde manier kan een wachtwoordbeheerder niet zomaar blindelings de ontsleutelingssleutel van een eindgebruiker aan een andere dienst van een derde partij geven (zoals een identityprovider) en erop vertrouwen dat die andere provider de sleutel veilig bewaart.

Met dit in gedachten maakt een veilig model voor integratie met bestaande identityproviders authenticatie via de identityprovider mogelijk, terwijl versleuteling en ontsleuteling behouden blijven met een hoofdwachtwoord dat door de gebruiker wordt beheerd en specifiek is voor de wachtwoordbeheerder. Zo heeft geen enkele derde partij toegang om de kluis van de eindgebruiker te ontsleutelen. Dit betekent ook dat het hoofdwachtwoord voor versleuteling en ontsleuteling uniek moet zijn voor de wachtwoordbeheerder.

Deze aanpak zorgt er ook voor dat gebruikers kunnen profiteren van elke clientapplicatie die de wachtwoordbeheerder aanbiedt voor browsers, mobiele besturingssystemen, desktopbesturingssystemen, webtoegang en command-line-interfaces.

Op grotere schaal moeten bedrijven hun systemen monitoren, inclusief de toegang en het gebruik door medewerkers. Bedrijven implementeren vaak logging- en auditoplossingen als ontvangers van informatie uit uiteenlopende bronnen. Populaire logging- en analysesystemen voor ondernemingen zijn onder andere Splunk en Kibana van Elastic. 

Robuuste wachtwoordbeheersystemen leveren logginginformatie via application programming interfaces (API’s) die de bestaande loggingsystemen kunnen voeden. Dit biedt

• Eén centrale plek waar IT- en beveiligingsteams informatie kunnen verzamelen

• De mogelijkheid om gebeurtenissen te correleren tussen een wachtwoordbeheerder en andere elementen van een algemene aanpak voor identiteits- en toegangsbeheer

• De optie om bestaande waarschuwingen te voeden

Bedrijven hebben keuzes bij het implementeren van de juiste mix van tools voor identiteits- en toegangsbeheer, en kunnen uitbreiden naarmate ze groeien. Waar je je ook bevindt in dit traject, alle bedrijven zouden medewerkers in staat moeten stellen om aanmeldgegevens veilig te beheren, lange en willekeurige wachtwoorden te genereren wanneer dat nodig is, en end-to-end versleuteld delen van gevoelige informatie mogelijk te maken.

Wil je deze mogelijkheden naar je eigen bedrijf brengen? Start vandaag nog met een gratis Bitwarden Business-proefperiode.