Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 30 reacties

Een lezer vroeg me:

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat ik dit niet op privetelefoons mag zetten, maar het hele kantoor zakelijke telefoons moet geven enkel voor deze apps. Dat vind ik nogal wat qua kosten en beheer (een bedrijf met 80 man, iedereen heeft een eigen mobiel en men werkt op kantoor dus geen mobiele bereikbaarheid nodig). Is de wet werkelijk zo streng?

Ik heb inderdaad in het verleden altijd gesteld dat een werkgever niet mensen kan verplichten op hun privételefoon een app te installeren die voor het werk nodig is. De werkgever moet de gereedschappen leveren waarmee het werk wordt gedaan.

Uitzondering op deze wettelijke regel is als het normaal is dat de werknemer zulk gereedschap zelf meeneemt. Het clichevoorbeeld is de kapper met eigen scharen of de chefkok met eigen messen. Maar daar zit eigenlijk altijd achter dat die werknemer dat prettiger vindt dan wat de werkgever heeft liggen. Niet dat de werkgever dan goedkoper uit is.

Dat gezegd hebbende zie ik het dilemma wel bij een organisatie als deze. Je wilt het goed doen maar ook geen enorme kosten maken. En als er dan een app is die je één keer per werkdag nodig hebt (bij het inloggen voor de dag) en die verder geen rare dingen doet, wat is dan het probleem?

Je komt dan in het gebied van goed werknemerschap. Een goed werknemer doet dingen voor het werk, ook als dat niet letterlijk op papier staat of zelfs hem in geringe mate op kosten of moeite jaagt. Ik zou dat bij een simpele app als deze wel zien, als je als werkgever zegt, gebruik die alsjeblieft.

Daar staat tegenover dat een goed werkgéver ook weer rekening houdt met de belangen van werknemers. Als iemand echt bezwaar maakt (of geen mobiel heeft, om welke reden dan ook) dan zoek je een andere oplossing.

Wel zou je als werkgever iets moeten bedenken voor het geval de werknemer z’n telefoon gestolen wordt, of gewoon kapot is. Want je kunt niet verwachten dat hij binnen een dag een nieuwe telefoon heeft, en hij zal in de tussentijd toch moeten werken?

Arnoud

Deel dit artikel

    • Nou ja, in het artikel staat duidelijk dat het bedrijf uit 8o mensen bestaat en dat deze allemaal vanuit kantoor werken. Er is dus blijkbaar geen mogelijkheid tot thuiswerken en dus dal de betreffende app alleen op kantoor gebruikt worden.

      En als die applicatie dus alleen op kantoor gebruikt wordt en de leverancier is een grote speler op de 2FA markt, zal er ongetwijfeld ook een desktop versie van de 2FA applicatie zijn. Ik weet van meerdere bedrijven die deze dienst (en ook de 2FA hardware tokens) dat zij ook gewoon Windows en Apple varianten van de softtokens kunnen aanleveren. Hier zal wellicht een kleine meerprijs aan vast zitten, maar je neemt daarmee wel de noodzaak weg dat de medewerkers de app op hun telefoon moeten installeren.

      Ik weet het, ik denk weer in technische oplossingen, maar deze technische oplossing is net zo functioneel als de app op een smartphone.

  1. Het organisatie-culturele antwoord is: iemand die serieus nadenkt over zo’n vraag, zal niet snel tegen gedoe aanlopen in de implementatie ervan. Arnoud geeft wel gratis het meest voor de hand liggende risico aan. Privé-mobiel vraagt mobiel bij, opgeladen, werkend. Is dat waar je als werkgever afhankelijk van wil zijn. Kun je niet bijna net zo’n fijne oplossing met keys, dongels of pasjes verkrijgen? Natuurlijk, nadeel daarvan is dat er iemand aan onderhoud moet doen en dat zelfs dat voor een klein bedrijf een belasting kan zijn. Maar uiteindelijk kun je eigen bedrijfsbezit veel gemakkelijker vervangen en onderhouden dan het leunen op privébezit.

  2. Ik zou er sowieso een probleem mee hebben als mijn werkgever zou willen dat ik mijn prive-mobiel voor werk-gerelateerde zaken zou gebruiken. Ik geef ook vrijwel nooit mijn mobiele nummer door om die reden. En ook belangrijk: eenmaal thuis gaat mijn mobiel in de oplader en ben ik er ver vandaan en hoor ik het meestal ook niet als hij afgaat. En dan zie ik af en toe dat er toch gemiste telefoontjes zijn. Tja, ik heb ook een vast nummer, hoor! Daar ben ik prima op te bellen!

    De reden dat ik mijn mobiele nummer niet meer doorgeef zijn apps zoals WhatsApp. Iemand kan dan mijn telefoonnummer invoeren om mij zo toe te voegen aan een WhatsApp groep en ik weiger om daaraan mee te doen! Mijn mobiel is voor mijzelf als ik b.v onderweg met pech kom te staan en de wegenwacht moet bellen.

    Maar de betere oplossing wordt eigenlijk al gegeven: een beveiligings-token. Een simpele RFID tag met RFID-reader zou een goed middel zijn als tweede authenticatie.

    Maar er is ook een ander alternatief: de bedrijfstelefoon! Veel werknemers hebben ook wel een vaste telefoon op hun bureau staan met bijbehorend doorkiesnummer. Laat de App daar maar mee samenwerken. De medewerker krijgt dan een gesproken code te horen via die telefoon. En de medewerker die thuis wil werken? Die geeft dan maar zijn mobiele nummer door! Dat is dan niet verplicht, maar anders kun je niet werken. En voor thuiswerk gebruik je meestal je eigen apparatuur…

  3. Al eerder genoemd zijn de hardware tokens maar je kunt ook de boel zo dicht zetten dat alleen op kantoor ingelogd kan worden. Met 80 personeelsleden heb je nog door wie waar thuis hoort en een goede beveiliging van het pand kom je ook een heel eind en is het risico klein dat er zomaar iemand achter de pc kruipt en een beetje passwords gaat zitten proberen (waar je dan ook nog lockout op zet na 5 pogingen).

    Maar hardware tokens. 🙂

  4. Zoals anderen ook al gezegd hebben, deze is technisch makkelijk op te lossen. Gebruikt TOTP, dan maakt het niet uit of je Google Authenticator, FreeOTP, OTP Auth, Enpass of een van de vele andere apps gebruikt. Je kan het zelfs op je desktop draaien, maar dan moet je afspraken maken dat het wachtwoord en OTP niet op hetzelfde apparaat staan (andere wordt de 2-factor toch nog een 1-factor authenticatie 🙂 ). OTP via SMS is ook een eenvoudige oplossing, dat kan op elke telefoon (handig voor de mensen die geen telefoon hebben, dat kan voor < €10/maand inclusief domme telefoon en SIM kaart). Maar er zijn ook genoeg (goedkopere) hardware oplossingen ipv een app op een telefoon. Yubikey is al genoemd, maar in de zorg zie je veel oplossingen met RFID kaart. Kortom er zijn meer dan genoeg oplossingen beschikbaar dat dit geen probleem zou hoeven te zijn.

  5. Wij hebben 2FA een tijd geleden ingevoerd als optie. Met de invoering van AVG hebben wij besloten dat bij al onze klanten verplicht te stellen, aangezien zij ook bijzondere persoonsgegevens verwerken.

    Wij ondersteunen alleen RFC 6238 en van de vele honderden gebruikers heeft er nog geen enkele gewijgerd bij ons of zijn werkgever dat hij een app moest installeren. Wij hebben wel eens de vraag gekregen of het nu nodig is, dan zeg ik alleen ‘als het jouw data was, zou je dan tevreden zijn als de enige beveiliging een wachtwoord is? Hoe vakk heb je jouw wachtwoord gewijzigd?’

    Wachtwoord policy laten wij over aan de werkgever die tussen ons en de gebruikers zitten en de reactie is eigenlijk altijd dat ze hun password nog nooit hebben gewijzigd en ja dat het wel goed is dat dat dus niet de enige bescherming is.

    Vervolgens zeg ik er altijd bij dat ze die zelfde app ook kunnen gebruiken om hun eigen privé accounts te beveiligen, aangezien het een standaard is en wordt men razend enthusiast.

    Ik heb daarna nog nooit iemand horen klagen dat het zijn privé telefoon is en dat hij die ‘werk app’ er niet op wil hebben. Er zit ook geen enkele privacy gevolgen aan die app vast, dus ik snap niet goed wat werknemers die hierover jammeren bezielt. Mij bekruipt meer het gevoel dat ze moeilijk doen in de hoop dat de werkgever een telefoon voor ze koopt.

      • Je wilt bij een RFC 6238 implementatie de geheime sleutel niet op een publiek toegankelijke server hebben staan maar bij voorkeur op een apparaatje dat de gebruiker bij zich draagt. Het algoritme is vrij simpel te implementeren in verschillende programmeertalen, maar voor de beveiliging is het essentieel dat de sleutel (het “gedeelde geheim”) alleen bij de autorisatie-toepassingen van de gebruiker en van de server bekend is.

        Een “hardware token” is qua beveiliging beter dat een app op een mobiele telefoon, het is afhankelijk van de waarde van de gegevens hoeveel je wilt/moet investeren in de beveiliging daarvan.

        • Ik volg je 100% over een “hardware token”, maar de beveiliging van de gemiddelde mobiele telefoon is quasi onbestaande. Ik ga er dan ook vanuit dat een gemiddelde intranetserver veel beter beveiligd is dan de privé mobiele telefoons. Met rfc 6238 kan je trouwens niet afdwingen dat de gebruiker zijn mobiele telefoon gebruikt, er kan door de gebruiker ook gekozen worden voor een eigen webserver.

          Ik zie trouwens niet hoe een werkgever een deftige beveiligings audit kan “overleven” met het gebruik van privé telefoons.

          • Ik ben het met je eens dat je er van uit moet gaan dat er op de gemiddelde smartphone spyware staat en dat daarmee de sleutel (potentieel) uitgelezen kan worden. Deze sleutel is echter maar een van de authenticatiefactoren, het wachtwoord is nog steeds een effectieve factor. Ook als de gebruiker zijn toegang via een webserver laat regelen is er nog sprake van authenticatie via zijn wachtwoord, maar het effect van 2FA is dan wel weg.

            Een tweede punt waar je naar moet kijken is de koppeling die een aanvaller kan maken tussen de sleutel en de server/gebruikersnaam combinatie waar de sleutel toegang tot geeft. Standaard spyware weet niet voor welke server een sleutel bedoeld is en zonder die kennis is de sleutel een losse verzameling bits. Het is zeer gevaarlijk om vanaf de smartphone in te loggen op de server die door de 2FA app beschermd wordt omdat op dat moment alle inloginformatie op de smartphone beschikbaar is. (server, loginnaam, wachtwoord en 2FA sleutel).

  6. Ik ben wel geïnteresseerd naar de beveiligingsanalyse van deze privé GSM’s? Ik ben echt geïnteresseerd in een veilige GSM, maar heb er nog geen gevonden (of ooit ruim meer dan 1000 euro en die zullen de aangehaalde app waarschijnlijk niet toelaten.). Welke bekwame werkgever gaat dit risico op zich nemen? Een specifiek hardware token wordt dan wel een zeer aantrekkelijk alternatief.

  7. Ik ben het met je oneens. De werknemer moet zich wel eens waar als goed werknemer gedragen, maar daaruit volgt nog niet dat de werknemer software van de werkgever op zijn privé apparatuur moet installeren. Met software komen altijd risico’s. Daarnaast kunnen persoonsgegeven worden verwerkt. En het kan ook nog zo zijn dat je die software voor je zelf wilt gebruiken en dat dan mogelijk niet meer zou kunnen.

    Bovendien, zijn er hier te weinig argument aangedragen. Ja, een mobiele telefoon kost geld, maar je hebt er al een voor 80 euro. Als ik uitga van vijf jaar met vijf werkdagen per week en 25 vakantiedagen, dan hebben we het over een investering van 6,5 cent per werkdag per werknemer. En waarom zou er niet één telefoon gekocht kunnen worden die vervolgens door de medewerkers onderling worden gedeeld? Daarnaast zijn ook gratis VM software en Android images te downloaden. Kan deze app daar niet op draaien?

    • En waarom zou er niet één telefoon gekocht kunnen worden die vervolgens door de medewerkers onderling worden gedeeld?

      Dat haalt het principe van 2FA onderuit: combinatie van iets wat je weet met iets wat je bezit. Zodat, als je een van de twee “factoren” kwijtraakt aan iemand anders, die persoon nog niet bij je account kan, omdat hij de andere factor van de twee niet heeft.

      Bij het delen van een telefoon hebben alle collega’s al beschikking over een van de twee factoren (“wat je hebt”). Als ze op een of andere wijze dan ook nog achter je wachtwoord kunnen komen (“wat je weet”) zijn ze binnen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS