TOTP toevoegen aan accounts

Ik heb met geen van beide ervaring buiten de experimenteerfase.

Welk van die systemen de voorkeur heeft ligt natuurlijk aan de situatie. Het voordeel van zelf beheren is dat het minder werk is voor de systeembeheerders en gebruikers niet hoeven te wachten op hun. Als dat echter betekent dat alle medewerkers een uur kwijt zijn om uit te zoeken hoe het werkt dan heb je daar natuurlijk niks aan.

Aangezien je dat beheer via de CLI moet doen is het voor 99% van de gebruikers soweiso niet geschikt tenzij je hele organisatie uit IT'ers bestaat (en zelfs dan zullen er een paar zijn die de CLI te eng vinden).

Nog een nadeel van zelfservice is dat een kraker er ook bij kan en zo het inloggen onmogelijk kan maken voor de legitieme gebruikers.

Wanneer er meerdere systemen zijn waarop gebruikers moeten kunnen inloggen dan is het beter om het centraal te laten beheren. Je wil niet dat gebruikers moeten gaan nadenken over met welke token ze waar moeten inloggen of zelf de configuraties gelijk proberen te houden.


Overigens ben ik een groot voorstander van 2FA. De tijd dat we op alleen wachtwoorden konden vertrouwen is echt wel voorbij. Zelfs in het meest ideale geval is alleen een wachtwoord eigenlijk niet veilig. In praktijk hebben we niet met het ideale geval te maken maar met gebruikers die lui, dom, vergeetachtig én gemakzuchtig zijn (net mensen dus). Je kan trainen en opleiden zoveel je wil maar mensen blijven mensen. Een tweede factor is een erg eenvoudige manier om een hoop veiligheid toe te voegen zonder het vervelend te maken voor je gebruikers en zonder afhankelijk te zijn van de goede wil en de oplettenheid van je gebruikers.

Als je aan zo'n traject begint moet je wel nadenken over hoe je omgaat met problemen zoals verloren tokens. In principe is dat niet anders dan een procedure voor een verloren wachtwoord maar je moet het wel van te voren hebben uitgedacht. Je zou niet de eerste zijn die z'n telefoon laat vallen en vervolgens niet meer kan inloggen op de beheerdersaccount.

Een tweede punt dat je niet uit het oog moet verliezen dat een tweede factor een aanvulling is op een wachtwoord maar dat je nog steeds goed met wachtwoorden om moet gaan. Soms wordt gedacht dat je weer wachtwoorden met een post-it op de monitor mag plakken omdat je 2FA hebt. Vergelijkbaar is het punt dat je wel goed op je tokens moet passen. Als je medewerkers hun token in de eerste de beste kroeg laten liggen of hun wachtwoord met viltstift op de token schrijven dan heb je nog niks bereikt.