Overgenomen van de website van SURF 21 november 2016
SURFconext Sterke Authenticatie: Avans Hogeschool Avans Hogeschool gebruikt de online toetsapplicatie Remindo. Om het risico op fraude zo klein mogelijk te maken, is gekozen voor een extra veiligheidscheck met SURFconext Sterke Authenticatie. De ervaringen van Avans Hogeschool zijn positief. Lees ze in deze best practice.
SURFconext Sterke Authenticatie
Soms zijn een gebruikersnaam en een wachtwoord niet genoeg om veilig online in te loggen. Banken en overheden gebruiken daarom sterke authenticatie, een extra check om te controleren of de gebruiker wel is wie hij zegt te zijn. Ook voor hoger onderwijs instellingen is sterke authenticatie relevant. Je moet er niet aan denken dat de verkeerde persoon bijvoorbeeld alle toetsen van een faculteit in handen krijgt, of toegang heeft tot de cijferadministratie. Daarom introduceert SURFnet SURFconext Sterke Authenticatie.
Digitaal toetsen
Bij Avans Hogeschool worden steeds meer toetsen digitaal afgenomen met behulp van de online toetsapplicatie RemindoToets. Digitaal toetsen is handig, maar het risico op fraude moet zo klein mogelijk zijn. Senior functioneel beheerder Anita Vervaart van Avans Hogeschool zegt: “We willen voorkomen dat iemand op een onbewaakt moment toegang krijgt tot de toetsvragen, bijvoorbeeld doordat een docent zijn scherm open laat staan als hij even wegloopt.”
Samen met leverancier Paragin BV en SURFnet voerde Avans Hogeschool in het voorjaar van 2016 een pilot uit met SURFconext Sterke Authenticatie. Voordat docenten toetsen in RemindoToets kunnen aanmaken of beheren, moeten ze tweefactor authenticatie gebruiken. Dat betekent dat ze naast hun instellingsaccount een extra authenticatiemiddel nodig hebben, in de vorm van een SMS of de Tiqr-app. Tiqr is opensource software van SURFnet, waarmee je inlogt met behulp van een QR-code.
Eerst legitimeren
Om tweefactor authenticatie werkelijk veilig te maken, is het noodzakelijk dat de docenten en functioneel beheerder zichzelf eerst legitimeren bij de servicebalie van de instelling. Pas wanneer het telefoonnummer van de mobiele telefoon waarmee zij zichzelf in RemindoToets willen identificeren door een servicebaliemedewerker officieel aan de juiste persoon is gekoppeld, kunnen zij sterke authenticatie gebruiken. Vervaart: “Het is vervelend voor de medewerkers dat zij eenmalig de gang naar de servicebalie moeten maken, maar ze begrijpen het belang van deze handeling. Sterke authenticatie heeft pas zin als je zeker weet dat de juiste persoon de code per SMS krijgt of de Tiqr-app gebruikt.”
Alle toetsen vervangen
De ervaringen van de pilotdeelnemers zijn overwegend positief, zegt Vervaart. “Iedereen ziet wel in dat het belangrijk is om RemindoToets extra te beveiligen aan de beheerkant. Een docent heeft toegang tot alle toetsen van zijn vak, een functioneel beheerder zelfs tot alle toetsen van de instelling. Als iemand anders daar per ongeluk bij zou komen, hebben we een groot probleem.” Om te voorkomen dat de toetsvragen alsnog zichtbaar zijn wanneer de docent zijn computer verlaat, is het beheerscherm beveiligd met een tijdslot. Als de gebruiker een tijdje inactief is, moet hij opnieuw dubbel inloggen.
Eén platform
Voor Paragin BV bood de pilot een uitgelezen kans om aan te sluiten op SURFconext Sterke Authenticatie. “Voor ons was het weinig werk,” vertelt ontwikkelaar Remko Nolten. “Het enige wat wij hoefden te doen, was het maken van een tweede verbinding met SURFconext Sterke Authenticatie voor de dienst waarmee we verbinding maken. Het is een handige manier om alle externe leveranciers op één platform te laten aansluiten.”
Voor andere leveranciers heeft Nolten nog een tip. “We hebben sterke authenticatie nu geïmplementeerd voor de hele omgeving. Je kunt er echter ook voor kiezen om alleen bepaalde delen van de applicatie af te schermen met sterke authenticatie. Dan hoef je mensen alleen extra handelingen te laten verrichten voor het gedeelte dat extra beveiliging behoeft. Bij RemindoToets heb je als docent zodra je inlogt toegang tot veel vertrouwelijke gegevens, maar voor andere producten is dat mogelijk interessant.”
Instellingsbrede uitrol
Inmiddels werkt Avans aan een instellingsbrede uitrol van SURFconext Sterke Authenticatie met RemindoToets. In de overgangsfase hebben medewerkers zowel met als zonder tweefactor authenticatie toegang tot RemindoToets. Binnenkort moet iedereen SMS of Tiqr gebruiken om toetsen aan te maken en te beheren. Voor de studenten verandert er niets. Om een toets af te nemen in RemindoToets, volstaat ook in de toekomst inloggen met de instellingsgegevens.