Er zijn een aantal aandachtspunten waar een instelling bij het inrichten van het registratieproces rekening mee moet houden:
Geldige legitimatiebewijzen
- Paspoort
- Rijbewijs
- Identiteitskaart
NB: een collegekaart, bankpas of OV-jaarkaart zijn dus GEEN geldig legitimatiebewijs.
Controle legitimatiebewijs gebruiker
- Of de gebruiker lijkt op de foto op het legitimatiebewijs
- Of het legitimatiebewijs nog geldig is
- Of gegevens op het scherm overeen komen met hetgeen je in het legitimatiebewijs ziet
Tokenregistraties intrekken
Elke instelling dient processen in te richten voor het intrekken (=revocatie) van verloren, gestolen of gecompromitteerde SURFsecureID tokens. Revocatie zou bij voorkeur binnen 72 uur na het betreffende incident plaats te vinden, om het risico op misbruik van tokens te minimaliseren.
Het revocatieproces kan gestart worden door:
Gebruiker | De gebruiker kan inloggen met zijn instellingsaccount (i.e. username/password) op de SURFsecureID Registratieportal om de koppeling tussen zijn instellingsaccount en zijn token (SMS, Tiqr, YubiKey) te verwijderen. SURFsecureID logt deze actie. |
RA(A) | De RA(A) van een instelling mag de binding tussen het instellingsaccount van de gebruiker en zijn token (SMS, Tiqr, YubiKey) verwijderen wanneer er vermoedens zijn van misbruik. De gebruiker zal een notificatie van deze actie per mail krijgen, en SURFconext Sterke Authenticatie logt deze actie. De RA mag de binding tussen het instellingsaccount van de gebruiker en zijn token (SMS, Tiqr, YubiKey) ook verwijderen als de gebruiker niet langer staat ingeschreven bij de instelling. De gebruiker zal een notificatie van deze actie per mail krijgen, en SURFsecureID logt deze actie. |
SURFnet | SURFnet is geauthoriseerd om een token te verwijderen wanneer het gecompromitteerd is. SURFnet zal deze extreme maatregel alleen nemen in overleg met de RAA van de instelling. De gebruiker zal een notificatie van deze actie per mail krijgen, en SURFsecureID logt deze actie. |
Gebruik SMS niet voor password reset
Sommige instellingen gebruiken SMS ook als middel voor gebruikers om een password reset te doen. Gebruikers die een password reset aanvragen, bijv. via een self-service portal, ontvangen dan via SMS een nieuw wachtwoord. Een dergelijk scenario verlaagt echter de security SMS als tweede factor tot slechts een enkele factor.
SMS mag daarom nooit gebruikt worden voor password reset, wanneer SMS ook als authenticatiemiddel voor sterke authenticatie wordt ingezet.
Schakel SMS niet door naar e-mail
Zorg dat je instelling SMS-jes niet doorstuurt naar een e-mail adres, wanneer je SMS als authenticatiemiddel voor sterke authenticatie inzet. Een dergelijk scenario verlaagt echter de security SMS als tweede factor tot slechts een enkele factor.