Two-factor Authentication (2FA) instellen

Verschillende online diensten, waaronder Digid, Google en Twitter bieden 2FA of tweestapsverificatie aan als extra beveiligingslaag bovenop je wachtwoord. Als je deze functie inschakelt, wordt naast je wachtwoord ook om een tweede authenticatiemethode gevraagd. 

Eenmalige code

Deze tweede methode (factor) is meestal een eenmalige code die wordt gegenereerd door een authenticatie-app zoals Authy, of door een hardwarematige “two factor authentication” sleutel die eruit ziet als een kleine USB stick.

Waarom moet ik 2FA gebruiken?​

Een wachtwoord is altijd een gangbare vorm van authenticatie geweest. Maar wachtwoorden kunnen in de verkeerde handen vallen. Hier zijn wat feiten over wachtwoorden:

-90% van de wachtwoorden kan worden gekraakt in minder dan zes uur.
-35% van de Nederlanders gebruikt hetzelfde wachtwoord voor meerdere accounts .

De kwetsbaarheid van wachtwoorden is de belangrijkste reden om 2FA te gebruiken.

Door 2FA in te schakelen, maak je het iemand een stuk lastiger om je gegevens te stelen. Met 2FA ingeschakeld heeft deze persoon namelijk niets aan alleen jouw wachtwoord. Net zoals dat niemand iets heeft aan alleen jouw bankpas.

Je mag alles van me weten

Wanneer je gaat pinnen heb je twee dingen nodig om jezelf te identificeren.

1. Een pinpas
2. Een pincode

Dit is een vorm van 2FA. Het is een manier om je te identificeren met iets dat je weet zoals een wachtwoord of een pincode en iets dat je bezit zoals een pasje of een hardware token.

Er zijn drie algemeen erkende onderdelen voor verificatie:

  1. Iets dat je weet (je wachtwoord, beveiligings-PIN etc)
  2. Iets dat je bezit (smartphone, SIM-kaart, USB-beveiligingssleutel)
  3. Iets dat fysiek uniek is voor jou (vingerafdruk, iris)

Two-Factor Authentication vereist een combinatie van twee van de bovengenoemde onderdelen en alleen dan spreek je van two-factor authentication.

SMS valt hier niet onder. (Hierover later meer).

Zijn er nadelen van 2FA?

Er is een risico om van je account te worden geblokkeerd als je bijvoorbeeld je telefoon kwijt raakt, want dan heb je zelf geen toegang tot je authenticatie-app. 

Om deze reden bieden veel 2FA-diensten een korte lijst met eenmalige “back-up”- of “herstel”-codes aan. Iedere code is slechts één keer te gebruiken om in te loggen op je account en is daarna niet meer bruikbaar. Als je jezelf zorgen maakt over het verlies van de toegang tot je telefoon of een ander authenticatietoestel, print deze codes dan uit en bewaar ze op een veilige plek.

Let wel: mocht iemand je wachtwoord én de lijst met codes in zijn bezit krijgen kan hij of zij alsnog toegang krijgen tot je account. Houd dit soort zaken dus goed van elkaar gescheiden. Je hebt overigens altijd mogelijkheid om een nieuwe lijst met back-upcodes te genereren en daarmee vervallen de andere back-upcodes. 

Sim-swapping

SMS wordt niet echt gezien als 2FA, omdat zowel je wachtwoord als de code in dezelfde categorie iets dat je weet vallen. SMS-authenticatie wordt minder veilig geacht als authenticatie methode.

Bij sim-swapping belt een hacker de telecomprovider van het slachtoffer
op en overtuigt hij de medewerker om het 06-nummer over te zetten naar
een simkaart die in zijn bezit is.

Telecomproviders stellen een aantal beveiligingsvragen om te controleren
of degene die belt ook daadwerkelijk de klant is. Het gaat dan om je
naam, woonadres, geboortedatum en soms de laatste vier cijfers van je
rekeningnummer.

Dat soort informatie verzamelen hackers online,
bijvoorbeeld door in datalekken te neuzen waar dit soort informatie te
vinden is. Tegenwoordig zijn er steeds meer datalekken.

Als je jezelf daarover zorgen maakt dan kun je sms-authenticatie uitzetten en een authenticatie-app zoals Authy of Authenticator (iOS) gebruiken. Helaas is deze optie niet bij iedere 2FA-dienst beschikbaar. DigiD biedt deze optie bijvoorbeeld wel aan.

Daarnaast geeft je met SMS-authenticatie ook je telefoonnummer weg
aan bedrijven zoals Twitter, Google en Facebook. Dat maakt SMS qua
privacy een minder geschikte methode.

Gebruik ALTIJD sterke wachtwoorden (of wachtzinnen)

Je zou kunnen denken dat je met 2FA ingeschakeld geen sterk wachtwoord meer nodig hebt, maar dat is niet het geval. Wanneer het om beveiliging en privacy gaat is iedere zwakke schakel er één teveel. Maak het jezelf makkelijk en gebruik een wachtwoordmanager zoals Bitwarden.

2FA instellen

Steeds meer diensten bieden 2FA (dubbele verificatie) aan. Op Linkedin vind je dat bijvoorbeeld bij Instellingen en privacy -> Account.  Je moet hiervoor wel even een 2FA app installeren. Het instellen is vrij gemakkelijk. Vaak hoef je in de app alleen een QR-code te fotograferen. Vergeet alleen niet om je herstelcodes uit te printen en in je kluis te leggen.

Authenticators en privacy

Wanneer je een app gebruikt zoals Authy is het verstandig om hun privacyvoorwaarden even door te nemen. Voor iOS raden wij OTP Auth van Roland Moers of 2FAS aan omdat deze apps geen data verzamelen en een duidelijk privacybeleid hebben. Voor Android raden wij andOTP aan

andOTP
andOTP (Android)
Authenticator iOS
Authenticator (iOS)
authy
authy

Ga voor een uitgebreide lijst van sites die 2FA ondersteunen naar https://twofactorauth.org/.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Artikel delen

X (Twitter)
LinkedIn