UU stopt meer programma’s achter 2FA: ‘Veilig inloggen is echt noodzakelijk’
Sms-codes kosten de UU veel geld, studenten en medewerkers wordt gevraagd een app te gaan gebruiken. Afbeelding UU, DUB
“Kunnen we het even hebben over hoe matig die 2F-authenticatie op Osiris en nu Blackboard is? Waar zijn de tijden dat je nog zorgeloos kon inloggen zonder dat je weer per ongeluk dat whatsappgesprek opent (…) omdat je zit te wachten op die blauwe terrorpop-up? (…)”
In een humoristische post op Facebook gaf UU Confessions begin dit jaar uiting aan wat veel Utrechtse studenten dachten. Het bericht kwam een dag nadat de UU ‘twee-factor-authenticatie’ verplicht had gesteld voor toegang tot de digitale leeromgeving Blackboard. Die dubbele inlog was eerder al nodig voor het studieregistratiesysteem Osiris.
Afleidende telefoon
Studenten die hun cijfers willen zien of hun werkgroepopdrachten bekijken, kunnen niet meer volstaan met het inloggen met hun gebruikersnaam en wachtwoord. Ze moeten ook met een app (die blauwe notificaties laat zien) en een pincode of eventueel met een sms-code via hun telefoon bevestigen dat ze zijn wie ze zijn.
Dat is omslachtig én afleidend tijdens het studeren, meldden ook studentleden in een vergadering van de U-raad. Veel studenten leggen uit zelfbescherming hun telefoon weg voordat ze aan het werk gaan, zo legden de raadsleden uit.
Volgens Carol van der Palen, adjunct-directeur van de directie ITS, hoeft 2FA niet heel veel ergernis te geven. Hij raadt studenten aan om voordat ze begin met werken te bedenken welke programma’s ze gaan gebruiken om die dan allemaal te openen. Daarna kan de telefoon worden weggelegd, liefst in de niet-storen modus. “Je hoeft hem niet de hele tijd in je hand te houden.”
De voorlichtingscampagne rond 2FA probeert de zaken vrolijk voor te stellen. ‘Iets wat je weet én iets wat je hebt’, luidt de aanprijzende verklaring. Maar natuurlijk begrijpt de adjunct-directeur dat studenten en ook medewerkers 2FA vooral lastig vinden.
Hij wil daarom duidelijk maken hoe belangrijk de dubbele toegangsprocedure is. “We proberen de extra handelingen zoveel mogelijk te beperken. Maar zelfs als je tien keer per dag een 2FA-code nodig zou hebben, dan kost je dat maximaal een paar minuten per dag voor jouw en ieders digitale veiligheid.”
Fluitje van een cent
Nadat de Universiteit van Maastricht vorig jaar slachtoffer werd van ransomware, die alle IT-systemen platlegde, maakte de UU haast met de invoering van de dubbele login. Inmiddels schat Van der Palen dat 96 procent van de studenten en medewerkers 2FA geïnstalleerd heeft. Het aantal gebruikers steeg in 2020 van 4000 naar meer dan 45.000.
Van der Palen is blij met die ontwikkeling. De gevaren zonder 2FA zijn te groot. De mailadressen van studenten en werknemers zijn gemakkelijk te vinden. Voor criminelen is het een fluitje van een cent die te verzamelen en daar vervolgens grote bestanden met wachtwoorden op los te laten, zegt hij. Bij een eigen test in 2018 met veelgebruikte ‘zwakke’ wachtwoorden kwamen 14 accounts van UU-medewerkers naar boven, waaronder dat van een hoogleraar.
De adjunct-directeur verwijst ook naar CBS-cijfers waaruit blijkt dat vorig jaar 1,2 miljoen Nederlanders slachtoffer waren van digitale criminaliteit. Daarbij gaat het relatief vaak om jongeren tot en met 25 jaar.
“Zie de universiteit als een flatgebouw. Als inbrekers eenmaal door de voordeur van het portaal beneden zijn, kunnen ze binnen hun volgende stap zetten om uiteindelijk je voordeur te openen. Met de solisgegevens van studenten of medewerkers kunnen kwaadwillenden niet alleen bij de persoonlijke gegevens van de betrokkene, maar ook op zoek naar waardevollere informatie of meer toegangsrechten. Dat kan bijvoorbeeld ook door zich als iemand anders voor te doen, daar zijn legio voorbeelden van.”
Opnieuw inloggen na 30 minuten
De meeste studenten en medewerkers begrijpen volgens Van der Palen zijn boodschap wel. De recente grote hacks bij de UvA en HvA, bij Inholland en bij NWO maken nog eens duidelijk welke gevaren onderwijsinstellingen lopen om data kwijt te raken of om gegijzeld te worden.
De vragen van de studenten in de U-raad waren dan ook vooral gericht op het zo klein mogelijk maken van de overlast van 2FA voor studenten. Is het bijvoorbeeld daadwerkelijk nodig om opnieuw in te loggen als je 30 minuten niets met een programma doet?
Van der Palen: “Langer kan helaas niet, dan wordt het risico te groot. Als iemand even gaat lunchen en al zijn programma’s open laat staan, is dat gewoon een potentieel gevaar. We laten ook geen touwtje meer uit de voordeur hangen, toch?”
En dan is er nog de lange herstelcode die studenten zelf moeten bewaren nadat ze 2FA hebben aangevraagd. Die code hebben ze weer nodig als ze bijvoorbeeld een nieuwe telefoon kopen of hun telefoon kwijtraken en 2FA opnieuw moeten installeren.
Studenten zijn gewend overal online nieuwe wachtwoorden aan te vragen, maar dat kan hier niet. Ze moeten zich persoonlijk legitimeren, al kan dat in een Teamsgesprek. Er wordt gezocht naar alternatieven voor de herstelcode, maar die zijn nog niet gevonden. “We moeten er zeker van zijn dat we de code aan de juiste persoon geven. Je moet bij ons kunnen bewijzen dat je echt bent wie je zegt te zijn.”
Niet om te pesten
Per 23 maart wordt er nog een extra slot op de deur aangebracht. Dan zal er bij alle Office 365-applicaties, denk aan Word, Excel en Outlook en MS Teams, dubbel moeten worden ingelogd. Ook door de UU goedgekeurde nieuwe applicaties zullen steeds 2FA krijgen. In tijden van corona en van groei van het thuiswerken en online onderwijs is de vraag naar nieuwe programma’s groot.
“Het is niet leuk, maar helaas wel heel noodzakelijk”, zegt de adjunct-directeur. “We doen het niet om studenten en medewerkers te pesten.”
Studenten en medewerkers worden bovendien aangemoedigd om over te stappen van de 2FA via sms– indien zij daar nu gebruik van maken - naar 2FA via een app. De kosten van de sms-berichten rezen de afgelopen maanden de pan uit, omdat studenten en medewerkers die vanuit huis werken er meer gebruik van maken. Van der Palen spreekt van 200.000 euro op jaarbasis. “Dat is veel geld en daar kunnen we betere bestemmingen voor bedenken.”
Phishing bij hoogleraren
Twee-factor-authenticatie is onderdeel van het al enkele jaren lopende SecUUr-programma, gericht op het verbeteren van de digitale veiligheid Daarbij gaat het niet alleen om technische ingrepen en controles om de IT-omgeving van de universiteit minder kwetsbaar te maken, maar ook om bewustwording van studenten en medewerkers. Van der Palen: “Het grootste gevaar zit nog altijd tussen rugleuning en toetsenbord.”
Eind vorig jaar werd daarom de bewustwordingscampagne ‘switch on security’ gelanceerd die onder meer wijst op het belang van 2FA maar ook van veilige software en van het regelmatig updaten van die software. Studenten en medewerkers krijgen tips die duidelijk moeten maken dat ‘veilig werken’ niet moeilijk of omslachtig hoeft te zijn.
Medewerkers moeten bovendien oog houden voor verdachte mails. Met spamfilters weet de UU verreweg de meeste verdachte berichten te weren. In de afgelopen jaren zijn daar grote stappen in gemaakt. Van der Palen: “Hooguit 10 procent van de mails die aan jou gericht zijn, is echt. De rest is troep.”
Dat het toch nog mis kan gaan, bleek afgelopen oktober toen meerdere hoogleraren een phishing mail voor echt aanzagen en hun solisgegevens invoerden.. Dat leidde er bijna toe dat hun salaris werd overgemaakt op een ander rekeningnummer. Gelukkig waarschuwde een hoogleraar die twijfelde aan de echtheid van de mail net op tijd.
Van der Palen: “Die mails zien er tegenwoordig zo echt uit. Vroeger waren ze bijvoorbeeld vaak opgesteld in slecht Nederlands, maar dat is voorbij. Het is niet óf maar wannéér je erin trapt.”
“We doen dit echt allemaal om persoonlijke gegevens en data van de universiteit te beschermen”, concludeert de adjunct-directeur. “En bedenk ook eens hoe het is als jij straks degene bent die moet uitleggen dat door jouw onvoorzichtigheid de hele universiteit gegijzeld wordt. We moeten het echt samen doen.”