Universiteit Utrecht staat welwillend tegenover ‘slimmere’ 2FA

Body: 

Volgens een groep informaticastudenten levert de huidige 2FA-authenticatie van de Universiteit Utrecht veel overlast op. Daarom zijn zij afgelopen week een petitie gestart om de methode zo aan te passen dat hij gebruiksvriendelijker wordt maar net zo veilig blijft. De universiteit is bereid om de oplossing die zij voorstellen te overwegen.

Read in English

Sinds een paar jaar wordt de IT-veiligheid van de Universiteit Utrecht onder meer gewaarborgd door de zogeheten 2FA – wat staat voor tweefactor authenticatie. Hierdoor moeten studenten en werknemers iedere keer hun identiteit aantonen via hun telefoon wanneer zij toegang willen tot bepaalde delen van de universitaire infrastructuur zoals hun e-mail, studievoortgangsoverzicht of Blackboard. Volgens een groep informaticastudenten kan dit proces slimmer worden geregeld zodat de gebruiksvriendelijkheid verbetert. Zij stellen een methode voor waarbij UU’ers kunnen aangeven welke apparaten zij vertrouwen. Daarop hoeven zij dan nog maar één keer per maand met 2FA in te loggen. Om hun voorstel te bekrachtigen begonnen zij een petitie.

Op de eerste dag haalde de petitie voor een ‘slimmere’ 2FA al 1500 handtekeningen op en nu gaan ze richting de 2000. Volgens Evan Handgraaf, een van de initiatiefnemers van de petitie, toont dit aan hoeveel overlast studenten ondervinden van de huidige methode. Volgens hem wordt dit vaak onderschat. “Ik heb vaak mijn telefoon niet in de buurt als ik studeer zodat ik niet kan worden afgeleid door bijvoorbeeld Whatsapp, maar om in te loggen op blackboard,  moet ik hem gaan halen. En wanneer ik dan mijn telefoonscherm open, komen ook  alle Whatsapp-berichten binnen. Dan ben ik afgeleid en ben ik zo een half uur verder zonder dat ik het doorheb.”

Evan zegt dat veel van zijn vrienden dezelfde problemen ervaren. Toen hij erover sprak met een vriend die in Eindhoven studeert, kwam hij erachter dat ze daar een speciale ‘onthoudknop’ hebben zodat studenten minder vaak hoeven in te loggen. “Zo kwamen we op het idee.” Evan heeft al contact gehad met mensen van de universiteit die welwillend staan tegenover het idee. “Komende week gaan we verder met hen praten. Hoe meer handtekeningen we hebben, hoe duidelijker ons punt zal overkomen.”

Ook Simon Kort, Coordinator Security Operations van de directie ITS, vindt het geen slecht idee en spoort de informaticastudenten aan om om eerst eens met hen te komen praten. Hij zegt dat ze bij IT-beveiliging altijd een afweging moeten maken tussen bruikbaarheid en veiligheid. Volgens Kort willen ze bij ITS best overwegen en kijken of het technisch haalbaar is om in te stellen dat UU’ers op sommige apparaten maar eens in de dertig dagen via 2FA hoeven in te loggen, maar dan alleen voor systemen die niet heel gevoelig zijn voor de universiteit. Daar houdt de IT-beveiliging nu ook al rekening mee in het kader van gebruiksvriendelijkheid. Voor het intranet hebben medewerkers bijvoorbeeld helemaal geen 2FA nodig.

Volgens Kort zijn er de laatste tijd veel veranderingen en maatregelen doorgevoerd – onder andere de 2 factor authenticatie – die de IT-infrastructuur van de UU een stuk veiliger maken. 2FA verlaagt bijvoorbeeld het risico dat uitgelekte wachtwoorden van medewerkers en studenten door hackers gebruikt worden om de universitaire infrastructuur binnen te dringen. Het voordeel daarvan is dat het IT-veiligheidsteam de regels op sommige punten wat soepeler kan maken. Sinds maart 2022 hoeven UU’ers bijvoorbeeld nog maar één keer per jaar hun wachtwoord te veranderen in plaats van twee. “We willen mensen natuurlijk nooit opzettelijk in de weg zitten.”

Studenten en medewerkers kunnen de petitie ondertekenen op https://petitie2fa-uu.nl/

Facebook Twitter Whatsapp Mail