Wanneer je slechts inlogt met een e-mailadres en een wachtwoord, is het - in het geval van een slecht wachtwoord - mogelijk dat kwaadwillenden onterecht toegang krijgen tot de persoonlijke gegevens van jouw achterban. Je kunt daarom binnen het Procurios-platform twee-factor-authenticatie (2FA) instellen voor gebruikers. Dit kan specifiek voor medewerkers in je backend, maar ook voor bijvoorbeeld een ledenomgeving op je website.
Wat is twee-factor-authenticatie?
Als je met persoonlijke gegevens werkt, of als je gewoon extra veilig in wilt loggen, kun je gebruik maken van zogenaamde tweestaps-authorisatie of 2-factor authentication (2FA). Je gebruikt dan naast je inloggegevens ook nog een code die ter plekke wordt gegenereerd, de 'tweede factor'. Je kent dit waarschijnlijk wel van diverse bank-apps of van DigiD.
Wanneer moet iemand met 2FA inloggen?
In de Procurios 2FA-module kun je in laten stellen of je gebruikers regelmatig of altijd met die tweede factor moeten inloggen. Belangrijk is om ook in te stellen of gebruikers ingelogd mogen blijven. Deze twee instellingen werken met elkaar samen. Je kunt er dus voor kiezen dat gebruikers regelmatig automatisch worden uitgelogd, maar als ze opnieuw inloggen geen 2FA te hoeven gebruiken. Of je kunt laten instellen dat gebruikers elke keer dat ze opnieuw moeten inloggen, ze dat met 2FA moeten doen.
Welke authenticatie-apps kunnen mensen gebruiken voor de verificatiecode?
Er zijn veel verschillende authenticator apps, zoals Google Authenticator, Microsoft Authenticator, Authenticator Plus, LastPass Authenticator, FreeOTP Authenticator, Sophos Authenticator, Yubico Authenticator, Salesforce Authenticator, Authy, MYDIGIPASS authenticator (Van VASCO, de maker van de chip op je pinpas). Nog meer apps vind je in de Play store of in de Appstore van Apple.
Zo'n authenticator app werkt op basis van een 'sleutel', die door middel van een QR code wordt doorgegeven van de site naar de app. De app genereert een code waarmee je kunt aantonen dat jij de rechtmatige gebruiker bent.
In deze video beschrijven we het proces met Google Authenticator op een Android telefoon.
Nadat het eenmalig is ingesteld, kunnen gebruikers bij het inloggen de app op hun smartphone openen en daar de tijdelijke verificatiecode vinden.
Hoe activeer ik twee-staps authenticatie (2FA)?
Maak je nog geen gebruik van 2FA binnen jouw Procurios implementatie? Dan kun je dit via een ticket aanvragen bij Procurios*. Wij zullen de module dan voor je activeren. Nadat dit is gebeurd kun je 2FA terugvinden onder 'My profile' in menu rechtsbovenaan het Procurios Platform.
Welke opties zijn er?
-
Voor wie is 2FA verplicht?
Je kunt zelf bepalen voor wie het verplicht is om met 2FA in te loggen en voor wie niet. Dit kun je doen op basis van een selectie gebruikers (bijvoorbeeld alle backend-gebruikers) of op basis van op welke website er wordt ingelogd. -
Gebruikers zonder smartphone uitsluiten
Zijn er gebruikers die niet over een smartphone beschikken? Dan zijn die individueel van 2FA te ontheffen. (Wijs hen dan extra op het belang van een sterk wachtwoord.) -
Hoelang wordt een apparaat vertrouwd?
Ook kun je zelf bepalen hoelang een apparaat van een gebruiker vertrouwd wordt. Moet de gebruiker iedere keer bij het inloggen 2FA gebruiken? Of bijvoorbeeld om de 30 dagen?
*Het aanzetten van de 2FA functionaliteit vergt specifieke kennis van een van onze medewerkers. Daar zullen we de opstartkosten voor berekenen. We zullen je na ontvangst van je aanvraag een inschatting hiervan geven.
Gebruikers informeren
Wanneer 2FA is geconfigureerd, is het verstandig om de gebruikers op de hoogte te gaan stellen (bijvoorbeeld per e-mail of met een bericht op je intranet). De eerstvolgende keer dat gebruikers inloggen, krijgen zij namelijk na het inloggen de mogelijkheid aangeboden om 2FA in te stellen. Wanneer je hebt ingesteld dat 2FA verplicht is, dwing je dat op dit moment af.
In het bericht kun je de termijn noemen waarin 2FA verplicht wordt (als dat de bedoeling is). Tot die tijd kun je vervolgens de optie bieden om het activeren nog even uit te stellen.
2FA activeren op een extra website
Staat 2FA al geactiveerd voor de backend van je Procurios Platform (standaard voor alle nieuwe klanten van Procurios), maar wil je dit ook activeren voor gebruikers van je ledenomgeving? Dan kun je dit zelf instellen via de site-instellingen.
Ga naar CMS > Manage > Sites&Domains en klik op het potlood-icoon nasat de website waarop je 2FA wilt afdwingen. Scroll vervolgens naar het onderdeel 'Twee-staps-authenticatie'. Vervolgens kun je aangeven hoe je op deze site met 2FA wilt omgaan.
Hoe los ik login-problemen van gebruikers met 2FA op?
Ondervindt een gebruiker van jouw platform, problemen bij het inloggen van 2FA? Dan is het mogelijk om de tweede factor voor deze persoon (tijdelijk) uit te zetten. Medewerkers met de rol SuperUser hebben hiertoe de rechten. Zij kunnen vanaf de relatiekaart van de gebruiker klikken op de drie puntjes naast de diverse knoppen bovenaan de relatiekaart.*
Nadat je op de button hebt geklikt, verschijnt er een pop-up waarin je kunt aangeven voor hoelang de twee-staps-authenticatie uitgeschakeld moet worden.
Zie je de knop '2FA uitzetten' niet tussen de opties en ben je wel SuperUser binnen jouw Procurios Platform? Dan kan het zijn dat de knop niet geactiveerd is voor de Weergave waarin je de relatie bekijkt. Als alleen backend-gebruikers met 2FA inloggen, zou het bijvoorbeeld zo kunnen zijn, dat de knop om 2FA uit te zetten alleen in deze relatieweergave verschijnt. Je kunt dit echter zelf naar wens aanpassen.
Zo maak je de knop beschikbaar
Ga naar CRM > Instellingen > Weergaven. Klik vervolgens op het icoontje van het potlood ('Wijzigen') naast de weergave waarin jij de knop '2FA uitzetten' beschikbaar wilt maken voor SuperUsers van jouw Procurios Platform.
Scroll naar het onderdeel 'Actie op relatiekaart' en selecteer bij 'Te tonen acties' het item Authenticatie: two-factor uitzetten.