Q&A Authenticatie Het Nieuwe Studielink

Q&A Authenticatie Het Nieuwe Studielink

Hieronder staan de meest gestelde vragen mét antwoord over Authenticatie in Het Nieuwe Studielink. Mocht jouw vraag er niet tussen staan, mail deze dan naar nieuw@studielink.nl, dan beantwoorden wij de vraag zo snel mogelijk.

Heeft iedere medewerker een smartphone nodig?

Ja, een smartphone is nodig voor de sterke authenticatie. Als de medewerker geen smartphone heeft, of geen gebruik wenst te maken van een eigen smartphone, kan specifiek voor dit doel een simpele smartphone worden aangeschaft. Voor iedere medewerker moet een eigen smartphone beschikbaar zijn.

Is de smartphone app overdraagbaar of te delen met een andere medewerker?

Nee, iedere gebruiker van het Studielink dasboard dient te beschikken over een eigen app op een eigen smartphone.

Wat zijn de kosten ten opzichte van de huidige situatie?

Momenteel zijn er aan ieder token maandelijkse kosten van 14 euro verbonden. De eerste 5 tokens worden niet in rekening gebracht naar de instelling. Deze kosten worden door Studielink gedragen.

Aan de smartphone app zijn er geen kosten verbonden, behalve eventueel de eenmalige aanschaf van een smartphone (verkrijgbaar voor onder de 100 euro). Een telefoonabonnement is niet nodig waardoor er verder geen maandelijkse kosten zullen zijn.

Tot welke gegevens op de smartphone heeft de Google Authenticator app toegang?

Deze app vraagt geen toegang tot gegevens op de smartphone. Wel is toegang nodig tot de camera voor het scannen van de QR code bij het koppelen van de app aan het Studielink account. Het koppelen kan echter ook zonder de camera plaatsvinden door een code over te typen.

Worden er wachtwoorden onversleuteld gecashed in de app?

Er is geen sprake van caching of de opslag van wachtwoorden door de app. De app slaat een sleutel op om de verificatiecodes te kunnen generen. Deze sleutels worden in een beveiligd deel van de telefoon opgeslagen en gaat bijvoorbeeld niet mee met een back-up van de telefoon.

Deelt de Google Authenticator app ook informatie?

Nee, door deze app wordt geen informatie gedeeld.

Kan er op een Windows phone ook gebruik gemaakt worden van de Google app?

Nee, deze app werkt alleen op IOS en Android. Naast Google Authenticator kan ook gebruik gemaakt worden van de app Microsoft Authenticator. Deze is wel beschikbaar voor Windows Phone.

Hoe is het proces ingericht voor het geval dat de smartphone gereset moet worden?

Er is een (omslachtige) procedure om sleutels over te zetten. Het meest praktisch is echter om de smartphone te ontkoppelen en opnieuw te koppelen, vergelijkbaar met de situatie dat de smartphone is verloren of stuk is gegaan. Zie hiervoor ook het antwoord op ‘Hoe wordt het smartphone token gekoppeld aan de gebruiker’.

Hoe wordt het smartphone token gekoppeld aan de gebruiker?

De eis is uitgesproken dat de soft-token niet op basis van de 1ste factor authenticatie alleen wordt toegekend.  We verwachten de volgende mogelijkheden met Studielink te introduceren:

  • De gebruiker kan zelf een smartphone koppelen aan zijn account als er nog geen smartphone is gekoppeld.
  • De gebruiker kan alleen inloggen met een verificatiecode van een gekoppelde smartphone
  • De beheerder van de instelling kan een gekoppelde telefoon ontkoppelen
  • De beheerder van de instelling kan de rol(len) van de gebruiker wijzigen of verwijderen

Dit betekent dat het proces zo ingericht kan worden dat de beheerder bij de gebruiker verifieert dat de telefoon correct is gekoppeld voordat de beheerder de gebruiker een rol (en daarmee rechten in het systeem) toekent. Tot dat moment heeft de gebruiker geen rol en kan daarmee na het inloggen niets inzien of wijzigen in het systeem.

Het opnieuw koppelen van een smartphone kan plaatsvinden doordat de gebruiker aan de beheerder vraagt de smartphone te ontkoppelen. Indien het opnieuw koppelen op dat moment meteen plaatsvindt onder het toeziend oog van de beheerder is het in principe niet nodig om de gebruiker zijn rol(len) te ontnemen. Indien dit niet het geval is, kan de beheerder voor het ontkoppelen de gebruiker zijn rollen ontnemen en pas weer toekennen als de gebruiker aan de beheerder heeft laten zien dat de nieuwe telefoon correct is gekoppeld.

Wie mag er medewerkers toevoegen als gebruiker in het SL dashboard?

Net als in het huidige Studielink mag alleen de beheerder van de instelling andere medewerkers gebruikersrechten geven op het dashboard.

Hoe lang is voorzien dat we werken met deze manier van sterke authenticatie?

We zullen de overgang naar SURFconext 2FA gaan plannen zodra deze dienst bij SURF gereed is om op deze manier in te zetten. Momenteel is deze dienst geschikt om als instelling af te nemen. De inzet door een dienst, zoals Studielink, voor meerdere instellingen bestaat nu nog niet. SURF werkt momenteel aan een onderzoek om deze business propositie vorm te kunnen geven.

Kan Studielink aansluiten op onze eigen manier van sterke authenticatie?

Nee, Studielink zal nu en in de toekomst één manier van sterke authenticatie ondersteunen. Wanneer dit SURFconext 2FA is en dit in de instelling ook gebruikt wordt dan is de Studielink 2FA op dezelfde manier te gebruiken als binnen de instelling het geval is.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *