In de hedendaagse digitale wereld is het onontbeerlijk om een goed, gedegen authenticatie beleid te hebben, om daarmee toegang tot allerlei gevoelige informatie te beveiligen en onbevoegden buiten de deur te houden. De keerzijde is evenwel dat er van gebruikers extra stappen gevraagd worden om op correcte wijze door deze beveiliging heen te komen, iets dat ten koste gaat van gebruiksvriendelijkheid. Grote organisaties zoals Microsoft en Google zien dit ook en zijn daarom ook actief bezig om Multi-Factor Authenticatie (MFA) steeds meer uit te rollen richting eindgebruikers.

Op basis van de twee genoemde uitgangspunten van beveiliging en gebruiksvriendelijkheid bieden we vanuit Skool B.V. een standaard MFA oplossing aan. Deze bestaat uit de volgende onderdelen:

• Primaire authenticatie van een gebruiker die op de Microsoft of Google omgeving van de school of stichting inlogt, vindt plaats op basis van een e-mail adres en een wachtwoord, zoals traditioneel al het geval is, of in het geval van jonge leerlingen middels een versimpelde plaatjes inlog;

• Op basis van de rol of locatie van de gebruiker wordt dan beoordeeld wat er vervolgens moet gebeuren:
• Voor een leerkracht of medewerker volgt een tweede authenticatie (de zogenaamde MFA) middels de Microsoft Authenticator en/of Google Authenticator. Dit is een app die op de mobiele telefoon van de leerkracht of medewerker geïnstalleerd moet worden; de instructies voor die installatie worden in een apart document verstrekt. Via deze app kan de gebruiker vervolgens de inlogpoging authentiseren en toegang krijgen tot de gewenste data en omgevingen;

• Voor een leerling zal geen verdere interactie gevraagd worden, mede omdat leerlingen lang niet altijd over een eigen mobiele telefoon beschikken, iets dat met name in de lagere klassen speelt. Toegang tot de schoolomgeving wordt voor leerlingen middels zogenaamde geo-blocking alleen toegestaan vanuit Nederland, België en Duitsland;

• Voor inlogpogingen waarbij MFA wordt toegepast, worden veilige locaties gedefinieerd. Inlogpogingen vanuit deze veilige locaties vereisen dan voor leerkrachten en medewerkers slechts eens in de twee weken een authenticatie via MFA. Voor alle inlogpogingen vanuit andere locaties is altijd MFA vereist voor iedere inlogpoging.

In de basis zijn deze veilige locaties de netwerken op de scholen zelf. Desgewenst kan het overzicht van veilige locaties uitgebreid worden, met bijvoorbeeld het bestuurskantoor als deze niet in een school gevestigd is, of in uitzonderlijke gevallen het netwerk van een medewerker thuis, indien deze veel vanuit huis werkt. Dit gaat op basis van overleg.

Het is mogelijk om in deze standaard oplossing in samenspraak toevoegingen en/of aanpassingen aan te brengen, om zo klant-specifieke wensen en vereisten tegemoet te komen. Dit kan afhankelijk van deze wensen en vereisten wel meer werk opleveren, dat in overleg moet worden vastgesteld.

Wachtwoord beleid

Een ander aspect van een veilig toegangsbeleid tot gevoelige informatie betreft de wachtwoord complexiteit van de gebruikte useraccounts binnen de organisatie. Microsoft is hierin leidend, in de zin dat vereisten aan dit wachtwoord vanuit deze organisatie worden afgedwongen. Als Skool B.V. kunnen wij daarin slechts geringe zaken configureren. Hieronder volgt een overzicht van deze waardes:

• Wachtwoordlengte:
  • Minimaal 8 karakters;
  • Maximaal 256 karakters;

• Het moet minimaal drie van de volgende vier categorieën bevatten:
  • Een kleine letter (a-z)
  • Een hoofdletter (A-Z)
  • Een cijfer (0-9)
  • Een symbool (@ # $ % ^ & * – _ ! + = [ ] { } | \ : ‘ , . ? / ` ~ ” ( ) ; < >) + spatie

• Het mag geen aanzienlijk deel van de gebruikersnaam of de accountnaam bevatten;

• Het wachtwoord stel je in met een verloopdatum;

• Vergrendeling van het account vindt plaats na 5 opeenvolgende mislukte inlogpogingen;

Vergrendeling van het account op deze manier duurt 15 minuten, waarna de teller van het aantal mislukte inlogpogingen weer op 0 wordt gezet en het account automatisch weer actief