Multifactorauthentificatie schaadt studenten

Geen enkele student aan de KU Leuven kan er nog onderuit: het zogenaamde 'multifactorauthenticatie'-systeem (MFA) is vanaf november verplicht voor al wie op Toledo wil inloggen. Hoewel de KU Leuven cyberveiligheid terecht prioriteert, is het huidige systeem schadelijk voor het welzijn van studenten. De universiteit zou er goed aan doen een gsm-vrij alternatief aan te bieden voor de MFA zonder daarbij cyberveiligheid in gevaar te brengen.

Een recente studie van een internationaal psychologisch onderzoeksteam heeft uitgewezen dat afleiding door mobiele telefoons averse gevolgen heeft voor academische prestaties. Voor studenten is dit al lang een publiek geheim: als je serieus moet blokken, leg je eerst je gsm weg. Het huidige inlogsysteem van de KU Leuven maakt dit echter onmogelijk.

Op basis van een enquête onder 914 Chinese universiteitsstudenten blijkt zelfs dat er een positieve correlatie is tussen gsm-afleiding en cognitieve emotionele preoccupatie. Meer afleiding door gsm’s schaadt dus het psychologische welzijn van studenten.

Naast het feit dat de MFA voor serieuze afleiding zorgt en het welzijn van studenten in gevaar brengt, is het ook nog eens onhandig. Als je gsm plat is of je je telefoon simpelweg niet op zak hebt, kun je niet inloggen op het digitale leerplatform.

De universiteit beargumenteert dat de multifactorauthenticatie nodig is om haar accounts te beschermen tegen cyberaanvallen. Deze angst blijkt gegrond, zoals eerder dit jaar duidelijk werd bij een grootschalige cyberaanval op hogeschool Vives. Een verbeterde inlogprocedure wordt dus terecht nodig geacht om de gegevens van studenten en de functionaliteit van de online leeromgeving te waarborgen.

De vraag is echter of de huidige tweestapsverificatie noodzakelijk is om de cyberveiligheid te beschermen. Er bestaat momenteel al een uitzondering voor studenten zonder smartphone, die een SMS ontvangen ter identificatie. Het zou goed zijn om deze uitzonderingsregel uit te breiden naar een optionele tweestapsverificatie via email.

Ook een pop-up verificatie of een tweede wachtwoord kunnen alternatieven zijn. Bovendien lijkt het overbodig om elke Toledo-login via twee stappen te laten verlopen. Een dagelijkse Authenticator-verificatie zou al kunnen volstaan om de cyberveiligheid te garanderen.

De spanning tussen veiligheidsoverwegingen en gebruikersvriendelijkheid zal blijven bestaan. Toch mag de cyberveiligheid niet afdoen aan productiviteit en mentaal welzijn. Dat voelen ook de studenten zelf. Een online petitie die pleit voor de afschaffing van het huidige systeem heeft bij datum van deze publicatie al meer dan 4.000 handtekeningen verzameld.

Samuel Vandeputte is student in de Master of European Policies and Public Administration en tevens studentenvertegenwoordiger in de POC Politieke Wetenschappen. Heb jij ook een mening die de wereld moet horen? Stuur een mail met je idee of stuk naar opinie@veto.be en word gepubliceerd schrijver.