Hoe beveilig je je applicatie?

Iedereen gebruikt applicaties voor zijn bedrijfsvoering. Denk aan ticketsystemen, urenregistratie-tools of e-mailprogramma’s. Het is belangrijk om deze applicaties goed te beveiligen tegen inbreuk van onbevoegden. In dit artikel lees je onze tips voor applicatiebeveiliging.

Wat is applicatiebeveiliging?

Beveiliging van applicaties betekent het beschermen van deze applicaties tegen externe bedreigingen. Dan kun je denken aan het hacken van je e-mail of het stelen van klantgegevens uit de database. Omdat applicaties steeds vaker in de cloud worden gehost, zijn ze vaak kwetsbaar voor verschillende bedreigingen.

Applicatiebeveiliging is een pakket van maatregelen die je kunt treffen om de risico’s op die bedreigingen te verkleinen. Het gaat bijvoorbeeld om het beveiligingen met wachtwoorden en tweestapsverificatie, maar ook om het bepalen tot welke specifieke bronnen in de applicatie een individuele gebruiker toegang heeft. Niet iedereen hoeft overal bij te kunnen.

One time password (OTP)

Een one time password is een eenmalig wachtwoord. Simpel. Bij elk gebruik wijzigt het wachtwoord. Zo is het een stuk moeilijker voor ongeautoriseerden om toegang te krijgen tot vertrouwelijke data.
Het verschil met een statisch wachtwoord is dat deze laatste zelden wordt gewijzigd, en daardoor makkelijker te achterhalen is. Wanneer een wachtwoord steeds verandert, zoals met het OTP het geval is, vermindert dat risico aanzienlijk.

Username password

Dit is wel de meest bekende vorm van applicatiebeveiliging. Je ziet het bij veel diensten op internet, zoals Facebook, je internetbankieren of je webmail. De gebruiker logt in met een gebruikersnaam een wachtwoord.

Daarnaast worden vaak nog extra gegevens ingevuld om een profiel samen te stellen. Voor gebruik moet men telkens de gebruikersnaam en het bijbehorende wachtwoord invoeren. Deze manier van beveiligen kan riskant zijn, zeker wanneer iemand voor meerdere accounts hetzelfde wachtwoord gebruikt.

2 of multi-factor authentication (2FA en MFA)

Twee-factor authenticatie of 2FA is een methode om de identiteit van een gebruiker te verifiëren, waarbij twee van de drie mogelijke authenticatie factoren worden gecombineerd. Deze factoren zijn:
Iets wat de gebruiker weet Iets wat de gebruiker heeft Iets wat de gebruiker is
We lichten deze factoren hieronder verder toe:

Iets dat de gebruiker weet

Dit is vaak een wachtwoord, een passphrase (een wachtwoordzin), een PIN-code of een geheime vraag. Om aan deze authenticatie-uitdaging te voldoen, moet de gebruiker informatie verstrekken die overeenkomt met de antwoorden die eerder door die gebruiker zijn verstrekt, zoals "Noem de stad waarin u bent geboren".

Iets wat de gebruiker heeft

Hierbij moet een eenmalig wachtwoord worden ingevoerd dat wordt gegenereerd door een hardware-authenticator. Gebruikers dragen een authenticatie-apparaatje bij zich dat op commando een eenmalig wachtwoord genereert. Gebruikers authenticeren zich vervolgens door deze code te verstrekken. Tegenwoordig bieden veel organisaties software authenticators aan die op het mobiele apparaat van de gebruiker kunnen worden geïnstalleerd, zoals de Google Authenticator..

Iets wat de gebruiker is

Deze derde authenticatie factor vereist dat de gebruiker zich authenticeert met biometrische gegevens. Het gaat dan om vingerafdrukscans, gezichtsscans, gedragsbiometrie en nog veel meer. Dit zie je terug op moderne mobiele telefoons, die vaak met biometrie en vingerafdrukken ontgrendeld kunnen worden.

2FA versus MFA

Vaak gebruik je dus twee van de drie factoren om je ergens aan te melden. Denk aan het internetbankieren, waarbij je bijvoorbeeld een bankpas en een pincode gebruikt. Dat is dus ‘iets wat de gebruiker heeft’ en ‘iets wat de gebruiker weet’. Dit is een voorbeeld van twee-factor authenticatie. Twee-factor authenticatie wordt ook wel sterke authenticatie, tweestapsverificatie of 2FA genoemd.

Het belangrijkste verschil met Multi-Factor Authentication (MFA) is dat MFA gebruik kan maken van twee of meer van deze authenticatie factoren.

YubiKey

Een andere, sterke manier van beveiligen die met een usb-sleutel, ook wel een YubiKey genoemd. Dit proces is vrij eenvoudig. In de instellingen van een account kun je de optie voor twee-factor authenticatie kiezen en een beveiligingssleutel als oplossing selecteren. Dan kun je daarna de YubiKey in een usb-poort van je computer plaatsen om eenvoudig en snel in te loggen.

Het is ook mogelijk om de YubiKey te gebruiken met je mobiele device. Dit kan in de vorm van bijvoorbeeld de USB-C-variant van de YubiKey, of de traditionele USB-versie voorzien van NFC. Voor de USB-C zit je bij Android smartphones goed, maar bij Apple iPhones niet.

Trouwens, voor NFC ben je bij dit merk ook aan het verkeerde adres. De YubiKey is eigenlijk niet bruikbaar op je iPhone. Neem je een Samsung Galaxy S9 als voorbeeld dan kun je hier NFC gebruiken en activeer je de YubiKey door hem tegen de achterkant van je toestel aan te houden.

Hulp nodig bij het beveiligingen van je applicaties?

Bij Thoughtline kunnen we je helpen met je applicatiebeveiliging. We hebben sinds 2008 ervaring met het ontwikkelen van maatwerk oplossingen voor diverse sectoren en ook met de beveiliging daarvan.

Wil je eens sparren over de mogelijkheden voor de optimale beveiliging van jouw applicaties?

Neem contact op met Maurice

Overstappen van software-leverancier: voorkom een vendor lock-in

Software testen: waarom en hoe?