MFA voor álle SaaS, niet alleen M365: de achterhoede-aanpak

M365 + Google hebben MFA gemakkelijk. Dropbox, Slack, GitHub, Trello ook. Maar die losse SaaS-tools? Daar ontbreekt vaak MFA. Hier de inhaal-operatie.

Je hebt M365 MFA afgedwongen. Geweldig. Wat doe je met de 35 andere SaaS-abonnementen? Die zijn waarschijnlijk niet-MFA'd.

Inventariseer

Vanuit je SaaS-inventaris: per tool kolom "MFA mogelijk?" en "MFA aan voor alle users?".

Prioriteer

1. Tools met klant-data (CRM, customer-portal).
2. Tools met financiële data (boekhouding, facturatie, banking).
3. Tools met broncode (GitHub, GitLab).
4. Tools met admin-rechten over andere tools (SSO-provider, password manager).
5. Rest.

Per tool patronen

• SSO waar mogelijk: tool aan je M365/Google SSO hangen. Dan heb je de MFA van de SSO automatisch.
• Tool-eigen MFA: enable in account settings. Vaak afdwingbaar voor alle team-users.
• Tool zonder MFA: overweeg vervangen, of accepteer het risico + sterkere wachtwoord-policy + kortere review-cyclus.

Recovery-codes

Bij elke MFA-setup krijg je recovery-codes. Die MOETEN in een vault (password manager) of zelfs fysieke kluis. Als je telefoon stukgaat en je hebt geen recovery-codes, ben je uitgesloten.

MFA bij shared accounts

Zie gedeelde wachtwoorden beheer. Gebruik password-manager met shared TOTP of YubiKey die je fysiek kunt uitgeven.

Zie ook: MFA uitrollen in M365, security-pillar.