Mijn Communities
Help

2-factor authenticatie (2FA) - Veel gestelde vragen voor beheerders

01-02-2023 11:04 (Bijgewerkt op 01-02-2023)
  • 0 Antwoorden
  • 0 kudos
  • 1166 Weergaven

Inloggen algemeen

Q: Hoe log je in op Youforce?

A: Dit zijn de opties:

  • Youforce accounts
    Je logt in met je gebruikersnaam, wachtwoord en - verplicht - de 2-factor authenticatie van Youforce.
  • Single Sign-On (SSO)
    Je logt in met je gebruikersnaam, wachtwoord en optioneel de 2-factor authenticatie van jouw organisatie.

Q: Wat is Single Sign-On (SSO)?

A: SSO betekent dat je dezelfde gebruikersnaam, wachtwoord en 2-factor authenticatie gebruikt voor zowel Youforce als andere applicaties binnen jouw bedrijfsomgeving. Je logt in via het inlogproces van jouw organisatie. Vaak is dat Active Directory. SSO betekent ook dat je niet nog een keer moet inloggen om andere applicaites te gebruiken als je al bent ingelogd op een systeem. Als je vanaf een bedrijfssysteem Youforce start, kun je vaak zonder opnieuw in te inloggen met Youforce werken. Dit hangt echter af van de gebruikte technologie en de inrichting van jouw bedrijfprocessen.

Q: Wat is 2-factor authenticatie?

A: Met 2-factor authenticatie bevestig je na het invullen van je gebruikersnaam en wachtwoord (iets wat je weet) je identiteit met bijvoorbeeld je telefoon (iets wat je hebt).

Q: Waarom voegt Visma | YouServe verplicht 2-factor authenticatie toe aan Youforce Accounts?

A: Visma | YouServe voegt verplicht 2-factor authenticatie toe voor extra beveiliging van Youforce. Wij voegen deze controle toe voor een optimale bescherming van de persoonsgegevens van jouw organisatie en zodat de je blijft voldoen aan de eisen van de Europese privacywet AVG.

 

Youforce zit namelijk vol met gevoelige persoonsgegevens als burgerservicenummers, verzuiminformatie, salarisinformatie, etc. De AVG verplicht tot het nemen van beveiligingsmaatregelen, ‘rekening houdend met de stand van de techniek’. Dit betekent vandaag de dag: inloggen mét een 2-factor authenticatie.

 

De toegangsbeveiliging is een gedeelde verantwoordelijkheid. Bij het inloggen via Youforce accounts ligt er een grote rol voor veilig inloggen bij Visma |YouServe . Zo vereist Visma | YouServe al jaren een 2-factor authenticatie voor HR Professionals in de vorm van een certificaat.

 

Tot voor kort was 2-factor authenticatie inloggen via Youforce Accounts voor medewerker en managers optioneel. Door toegenomen risico's en nieuwe beveiligingstechnieken wordt ook de toegang van medewerkers en managers via Youforce Accounts verplicht met 2-factor authenticatie beveiligd. Op deze manier blijft je ook als klant voldoen aan de AVG.

Q: Wij willen geen 2-factor authenticatie voor medewerkers en managers. Wat nu?

A: Als jullie geen 2-factor authenticatie willen gebruiken, moeten jullie overstappen naar Single Sign-On (SSO). SSO biedt een grotere vrijheid maar ook een grotere verantwoordelijkheid voor jullie als klant om jullie medewerkers veilig te laten inloggen. Jullie regelen zelf de gepaste inlogbeveiliging met zijn eigen 2-factor authenticatie-oplossing in jullie inlogsysteem. Jullie kunnen als klant zelf bepalen waar en wanneer de gebruiker met een 2-factor authenticatie moet inloggen. Zo kun je inlogsystemen inregelen dat medewerkers alleen buiten het bedrijfsnetwerk via een 2-factor authenticatie moeten inloggen.

 

We kunnen, indien gewenst, jullie zo laat mogelijk migreren. Dit geeft de mogelijkheid over te stappen als jullie IT infrastructuur SSO nog niet ondersteund. Zie 'Wij willen op een specifiek moment overstappen, kan dat?'

Q: Welke inlogmethode adviseert Visma | YouServe?

A: Visma | YouServe adviseert je om SSO te gebruiken voor toegang tot Youforce. Dit geeft de beste gebruikerservaring: 

  • Eén login voor alle applicaties
    Slechts één keer inloggen om toegang te krijgen tot verschillende applicaties.
  • Eén 2-factor authenticatie voor alle applicaties
    Geen verschillende apps op je telefoon of desktop.
  • Centraal beveiligingsbeleid
    Slechts op één applicatie moet het beveiligingsbeleid worden onderhouden.
  • Tijdbesparing
    Ook bespaart het de applicatiebheerders veel tijd voor het afhandelen van inlogproblemen door vergeten gebruikersnamen en wachtwoorden.

Q: Wat is het verschil tussen Youforce accounts en Single Sign-On?

A: De verschillen:

Bij Youforce accounts regelt Visma | YouServe de toegangsbeveiliging inclusief de 2-factor authenticatie.

  • De 2-factor authenticatie is beperkt tot Youforce.
  • De 2-factor authenticatie is verplicht.
  • Visma | YouServe bepaalt welke soorten 2-factor authenticatie worden gebruikt.
  • Visma | YouServe bepaalt wanneer de 2-factor authenticatiewordt gebruikt.

Bij Single Sign-On regelt de klant de inlogbeveiliging inclusief de 2-factor authenticatie:

  • De 2-factor authenticatie geldt in principe voor de volledige klantomgeving: webmail, Youforce, et cetera. De klant bepaalt welke applicaties 2-factor authenticatie hebben.
  • De 2-factor authenticatie is niet verplicht maar wordt geadviseerd voor een optimaal beveiligingsniveau.
  • De klant bepaalt welke soorten 2-factor authenticatie de gebruikers kunnen gebruiken.
  • De klant bepaalt wanneer de 2-factor authenticatie wordt gebruikt.

Q: Kan ik Youforce accounts in combinatie met Single Sign-On gebruiken?

A: Ja, je kunt binnen één omgeving zowel Youforce accounts als SSO toepassen. Ook kan een medewerker zowel via SSO als Youforce accounts inloggen.

Q: Kan een gebruiker zijn wachtwoord wijzigen?

A: Ja, op het inlogscherm heeft de gebruiker de optie om het wachtwoord te wijzigen.

Q: Met welke 2-factor authenticatie-methoden werken de Youforce accounts?

A: Youforce ondersteunt:

  • Een app op de mobiele telefoon (voor Apple of Android)
  • Een app op de desktop/laptop (voor Windows of de Mac)
  • Een fysieke sleutel: Security key op basis van FIDO2 of een Yubikey

Meer informatie over deze oplossing vind je onder het kopje 'PingID'.

Q: Kan ik mijn 2-factor authenticatiemethode kiezen?

A: Nee, dat kan niet. Visma | YouServe bepaalt welke 2-factor authenticatiemethoden worden ondersteund. 

Q: Kan ik meerdere 2-factor authenticatiemethoden koppelen aan één gebruiker?

A: Ja, je kunt meerdere mobiele telefoons koppelen aan je account. 

Ook kun je de verschillende methoden door elkaar gebruiken.

Q: Is voor de nieuwe 2-factor authenticatieoplossing straks een mobiel telefoonnummer nodig?

A: Nee, de oplossing werkt met meerdere methoden: een mobiele telefoon app, een desktop app of een fysieke sleutel.

Q: Waarom bieden jullie geen SMS als 2e factor meer aan?

A: Het Nationaal Cyber Security Center (NCSC) en het National Institute of Standards and Technology (NIST) adviseren internet aanbieders terughoudend te zijn met het publieke telefoonnetwerk (SMS en spraak) als authenticatiemiddel voor tweefactor authenticatie. NCSC geeft dit advies vanwege de waarschijnlijke ontwikkelingen van dreigingen. Zo is het relatief eenvoudig SMS berichten te ondervangen. Daarnaast is SMS is gevoelig voor phishing. Zie factsheet Gebruik tweefactorauthenticatie van het NCSC. Bij de introductie van het nieuwe inloggen houden daarom rekening met dit advies. 

Q: Hoe koppelt een gebruiker zijn mobiele telefoon aan zijn account?

A: Bekijk deze korte video: https://www.youtube.com/watch?v=w7dh-YwsZUQ

Q: Wat als de gebruiker zijn mobiele telefoon kwijt is?

A: Als een gebruiker zijn mobiele telefoon kwijt is, kan hij via een andere 2-factor authenticatie methode toch inloggen. Als hij geen andere methode heeft, kan hij op dit moment zijn 2-factor authenticatie herstellen via zijn beheerder. 

Q: Een nieuwe mobiele telefoon, wat nu?

A: Zolang de gebruiker zijn oude mobiele telefoon heeft, kan hij daarmee zijn nieuwe telefoon koppelen. Dit kan op de volgende manieren:

  • Vanuit de mobiele app via Apparaat wijzigen
  • Door tijdens het inloggen Instellingen te selecteren

Q: Hoe gaat de 2-factor authenticatie bij inloggen van de professional omgeving?

A: Via de app op de mobiele telefoon of met een fysieke sleutel. HR Professionals moeten echter vaker (max. 8 uur)  hun 2-factor authenticatie bevestigen dan managers en medewerkers.

Q: Hoe vaak moeten medewerkers de 2-factor authenticatie gebruiken?

A: Als medewerkers inloggen via hetzelfde apparaat is dit één keer per 30 dagen.

Q: Kan ik een Youforce account tijdelijk blokkeren?

A: Ja, in het User account management scherm, kan je het inloggen via een Youforce account tijdelijk blokkeren.

 

De gebruikersnaam, wachtwoord en de 2-factor authenticatie blijven bestaan. De beheerder moet de blokkering opheffen; de gebruiker kan in dit geval niet zelf deblokkeren.

Q: Kan ik het aanmaken van Youforce accounts automatiseren?

A: Ja, dat kan een beheerder instellen. Alle nieuwe medewerkers krijgen bij onboarding automatisch een e-mail over hun account.

Q: Zijn Youforce accounts automatisch te blokkeren zodra de gebruiker via SSO kan inloggen?

A: Nee, dat is op dit moment niet mogelijk. Het is nu dus een handmatige handeling om de Youforce accounts te blokkeren nadat de Youforce gebruiker is gekoppeld aan de gebruiker in het inlogsysteem van de klant.

PingID

Q: Wat is PingID?

A: PingID is de 2-factor authenticatie oplossing die wij voor Youforce accounts aanbieden om gebruikers te laten inloggen via hun mobiele telefoon, hun desktop applicatie of een fysieke sleutel. Dit systeem wordt aangeboden door Ping Identity, een leverancier van oplossingen op het gebied van inloggen. Meer informatie over deze oplossing kan je vinden op deze pagina: https://www.pingidentity.com/en/platform/multi-factor-authentication.html

Deze oplossing wordt niet gebruikt voor Single Sign-On.

Q: Welke persoonsgegevens verwerkt PingID in verband met het nieuwe inloggen?

A: PingID heeft enkele technische sleutels van de gebruiker. Daarnaast verwerkt PingID het e-mailadres van de gebruiker, als hij daarvoor kiest bij het aanmaken van zijn account. Alle andere gegevens voor Youforce accounts worden opgeslagen in de data centers van Visma | YouServe.

Q: Waar wordt het e-mailadres opgeslagen?

A: Dit persoonsgegeven wordt opgeslagen in Europa. Dit is conform de AVG.

Q: Hebben jullie een verwerkersovereenkomst met Ping Identity?

A: Ja, Visma | YouServe heeft een formele overeenkomst.

Beveiligingsbeleid

Q: Hoe garandeert Visma | YouServe veilig inloggen?

A: Visma | YouServe baseert zijn inlogbeleid op de NIST 800-63. Dit is een standaard in toegangsbeveiliging die beschrijft:

  • waar wachtwoorden aan moeten voldoen
  • wanneer 2-factor authenticatie moet worden gebruikt
  • welke 2-factor authenticatie login methoden veilig zijn
  • hoe vaak je opnieuw moet inloggen
  • welke protocollen veilig zijn
  • hoe je gebruikersaccounts veilig uitgeeft
  • hoe je op een veilige manier Single Sign-On koppelingen maakt (federeren)

Visma | YouServe heeft gekozen voor de NIST 800-63 als uitgangspunt voor toegangsbeveiliging van Youforce omdat dit een gevalideerd en samenhangend pakket is van concrete beheersmaatregelen, en staat bekend als een industrie standaard en wordt onderschreven door Nederlandse overheid.

 

Daarnaast is Youforce, net als de inlogprocedure, onderdeel van regelmatige audit door externe partijen. Lees meer...

Q: Hoe relateert de NIST 800-63 aan de Nederlandse overheid?

A: De Nederlandse overheid schrijft geen concrete beveilgingsmaatregelen voor maar adviseert om op basis van een gedegen risico afweging passende beveiligingsmaatregelen te treffen. Deze adviezen zijn door de Nederlandse overheid nader uitgewerkt in gepubliceerde richtlijnen en handreikingen. In dergelijke richtlijnen wordt veelvuldig verwezen naar bestaande richtlijnen, waaronder de NIST 800-63. Zie bijvoorbeeld de factsheet Gebruik tweefactorauthenticatie van het NCSC.

 

Het is mogelijk dat NIST 800-63 niet overeenstemming is met het toegangsbeveiliging beleid van jouw organisatie. We gaan graag in gesprek met je als je het idee hebt dat de nieuwe oplossing minder veilig is. Neem in dat geval contact op met je account manager. 

Daarnaast heb je via Single Sign-On wél de volledige controle én verantwoordelijkheid over de toegangsbeveiliging. We adviseren dan ook SSO toe te passen.

 

Q: Hoe vaak moet een gebruiker zijn wachtwoord wijzigen?

A: Nooit, tenzij we ontdekken dat het wachtwoord is uitgelekt.

De NIST 800-63b beschrijft in artikel 5.1.1.2 dat het veiliger is om wachtwoorden niet te laten verlopen. Bij het verlopen van wachtwoorden hebben mensen namelijk de neiging om simpele wachtwoorden te kiezen.

Q: Waarom hoeven gebruikers hun 2-factor authenticatie niet bij elke login te gebruiken?

A: Als de gebruiker inlogt via een nieuw apparaat moet hij altijd een 2-factor authenticatie gebruiken. Maar wanneer hij hetzelfde apparaat gebruikt, hoeft hij dat maar eenmaal per 30 dagen te doen. Dit maakt de applicatie toegankelijker.

 

Dit is vergelijkbaar met het proces op je mobiele telefoon om een app van de bank in gebruik te nemen. De eerste keer koppel je hem bijvoorbeeld via je bankpas aan je mobiel, daarna zijn de gegevens te benaderen met slechts een 1-factor authenticatie, bijvoorbeeld een toegangscode.

 

Dit is in lijn met de NIST 800-63b. Deze beschrijft dat een gebruiker zich elke 12 uur moet authenticeren en dat bij een dergelijke 'her-authenticatie' een 1-factor authenticatie voldoende is. Qua beleid gaat Visma | YouServe hier dus net iets verder dan wat NIST 800-63b voorschrijft.

 

Voor HR professionals geldt dat ze wel elke dag een 2-factor authenticatie moeten gebruiken.

Q: Kan ik eisen aan wachtwoorden en andere beveiligingsregels aanpassen?

A: Nee, dat is niet mogelijk. Voor Youforce bepaalt Visma | YouServe de beveiligingsregels. Dit is een samenhangend pakket van maatregelen op basis van de NIST 800-63.

Over Single Sign-On heb je wél de volledige controle.

Q: Ondersteunt Youforce het werken van personen op dezelfde computer?

A: Ja, dat is mogelijk. Zolang ze op de gedeelde computer met verschillende user accounts werken (bijvoorbeeld als users piet@bedrijf.nl & arie@bedrijf.nl). Let op: dit zijn de user accounts van het besturingssysteem.

 

Het gebruik van een gedeeld user account (bijvoorbeeld de user: receptie@bedrijf.nl) leidt vrijwel altijd tot het lekken van gegevens. De kans is namelijk groot dat de medewerkers elkaars HR informatie zien.

Oorzaken

  • Het uitloggen gebeurt in de praktijk niet
  • Het sessiegedrag van de browser is niet altijd helder: "ik had de browser toch afgesloten!?" terwijl de sessie op de achtergrond actief bleef
  • Documenten als salarisstroken of contracten worden opgeslagen in de voor iedereen bereikbare download folder

Let op: Het gebruik van gedeelde computers en de inrichting daarvan is de verantwoordelijkheid van de klant.

Q: Is het mogelijk om een geografische of IP beperking te configureren?

A: Nee, dit is bij Youforce accounts niet mogelijk. Het is vaak wél mogelijk via Single Sign-On. Dit is echter afhankelijk van de mogelijkheden van uw identity systeem (zoals active directory).

Medewerkers