Zorgen over multifactorauthenticatie en tweefactorauthenticatie? Belangrijkste vragen en voordelen om te kennen

Tweefactorauthenticatie (2FA) vereist twee verschillende vormen van identificatie voordat toegang wordt verleend tot een account, applicatie of gevoelige gegevens. Hiermee wordt het loginproces uitgebreid met meer dan één stap en is het veiliger dan vertrouwen op alleen een gebruikersnaam en wachtwoord. Dit beschermt accounts door ervoor te zorgen dat zelfs als iemand een wachtwoord bemachtigt, diegene zonder de tweede verificatiestap nog steeds geen toegang krijgt tot de informatie.

Soorten authenticatiefactoren zijn onder meer:

• Iets wat de gebruiker weet (wachtwoord, pincode)

• Iets wat de gebruiker heeft (telefoon, beveiligingssleutel)

• Iets wat uniek is voor de gebruiker (vingerafdruk, gezichtsscan)

• Een plek waar de gebruiker is (locatie)

Deze scheiding tussen de twee factoren is wat de accounts van gebruikers beschermt, omdat een aanvaller beide zou moeten compromitteren, niet alleen een wachtwoord, om toegang te krijgen.

2FA voegt een essentiële beveiligingslaag toe aan accounts. Dit zijn de belangrijkste voordelen:

• Sterkere bescherming tegen gestolen wachtwoorden: Zelfs als iemand een wachtwoord verkrijgt via een datalek of phishingaanval, kan diegene zonder de tweede factor nog steeds geen toegang krijgen tot het account.

• Bescherming tegen veelgebruikte aanvalsmethoden: 2FA blokkeert veel tactieken die aanvallers gebruiken, van credential stuffing tot brute-forcepogingen.

• Moeilijker voor aanvallers om te omzeilen: Inbreken op een account wordt aanzienlijk moeilijker wanneer meerdere verificatiestappen vereist zijn.

• Minder risico op accountovername: Persoonlijke, financiële en werkaccounts blijven beter beveiligd, waardoor gegevens en identiteit worden beschermd.

• Ondersteunt naleving en best practices voor beveiliging: Veel organisaties vereisen 2FA om aan regelgeving te voldoen en een sterke beveiligingsaanpak te handhaven.

• Geeft gemoedsrust: Accounts profiteren van een extra beveiligingslaag.

Tweefactorauthenticatie (2FA), tweestapsverificatie (2SV) en multifactorauthenticatie (MFA) verwijzen over het algemeen allemaal naar hetzelfde proces waarbij er meer dan één stap nodig is om in te loggen op een account. Hoewel deze termen vaak door elkaar worden gebruikt, zijn er technische verschillen die het waard zijn om te begrijpen.

Multifactorauthenticatie (MFA) is de breedste categorie. Het verwijst naar elk beveiligingsproces waarvoor twee of meer verschillende typen verificatiefactoren nodig zijn om toegang te krijgen tot een account. MFA kan elke combinatie van factoren omvatten — iets wat een gebruiker weet, iets wat een gebruiker heeft of iets wat een gebruiker is.

Tweefactorauthenticatie (2FA) is een specifieke vorm van MFA die precies twee factoren uit verschillende categorieën gebruikt. Bijvoorbeeld een wachtwoord (iets wat een gebruiker weet) gecombineerd met een code van de telefoon (iets wat een gebruiker heeft).

Tweestapsverificatie (2SV) vereist twee stappen om in te loggen, maar die stappen kunnen hetzelfde type factor gebruiken. Bijvoorbeeld het invoeren van een wachtwoord en vervolgens het ontvangen van een code op je geregistreerde e-mailadres — beide zijn gebaseerd op iets wat een gebruiker weet of waartoe diegene toegang heeft, in plaats van op twee duidelijk verschillende factortypen.

In de praktijk gebruiken de meeste diensten deze termen vrij losjes. Het belangrijkste is dat een gebruiker een extra verificatielaag toevoegt naast alleen een wachtwoord.

Tweefactorauthenticatie kan qua beveiliging verschillen afhankelijk van de gebruikte methode. Over het algemeen bieden beveiligingssleutels de sterkste bescherming, gevolgd door authenticator-apps en daarna e-mail, waarbij sms de minst veilige optie is. Hieronder volgt een overzicht van de meestgebruikte 2FA-methoden, met hun voor- en nadelen.

Hieronder staan de meestgebruikte 2FA-methoden, gerangschikt van wat doorgaans als het veiligst tot het minst veilig wordt beschouwd, met hun voor- en nadelen:

Beveiligingssleutel

Voordeel: extra veilig als zelfstandig hardwareapparaat Nadeel: zonder aanvullende tweefactormethoden kan een verloren beveiligingssleutel een gebruiker onbedoeld buitensluiten van diens accounts

Authenticator-app

Voordeel: eenvoudig, makkelijk in te stellen; sommige kunnen op meerdere platforms worden gebruikt Nadeel: als de authenticator-app niet op meerdere apparaten beschikbaar is, kunnen gebruikers geen toegang meer krijgen tot accounts als een apparaat verloren raakt, wordt gestolen of wordt gewist voordat gebruikers kopieën van de authenticatiesleutels hebben gemaakt

E-mail

Voordeel: eenvoudig, makkelijk in te stellen Nadeel: als e-mail ook is gecompromitteerd, biedt dit geen bescherming

Spraakgebaseerde authenticatie

Voordelen: eenvoudig, handsfree en handig voor toegankelijkheid Nadelen: kwetsbaar voor aanvallen met spraakopnames of deepfakes

Sms

Voordeel: eenvoudig, standaardoptie voor veel websites Nadeel: deze methode is kwetsbaar voor simjacking-aanvallen

Het gebruik van tweefactorauthenticatie in welke vorm dan ook is beter dan het helemaal niet gebruiken, ongeacht de methode.

Passkeys zijn een nieuwere authenticatiemethode die cryptografische sleutels gebruikt die op een apparaat zijn opgeslagen om de identiteit te verifiëren. In tegenstelling tot fysieke beveiligingssleutels die gebruikers op een apparaat aansluiten of ertegenaan houden, zijn passkeys digitale inloggegevens die op telefoons, computers of in wachtwoordbeheerders staan. Gebruikers ontgrendelen ze met biometrische gegevens zoals vingerafdrukken of gezichten, of met de pincode van een apparaat.

Passkeys zijn ontworpen om zowel wachtwoorden als traditionele 2FA in één stap te vervangen. Bij inloggen met een passkey tonen gebruikers zowel aan dat ze het geautoriseerde apparaat hebben (iets wat ze hebben) als dat ze het kunnen ontgrendelen (iets wat ze weten of zijn). Zo worden meerdere factoren gecombineerd in één gestroomlijnde handeling. 

In de meeste gevallen is 2FA niet nodig bij het gebruik van passkeys, omdat passkeys standaard multifactorbeveiliging bieden. Sommige services bieden echter nog steeds extra beveiligingsopties, zoals het vereisen van een tweede apparaat of een back-upverificatiemethode voor risicovolle acties. 

Lees dit artikel over wat passkeys zijn.

Niet alle accounts hebben hetzelfde risiconiveau. Richt je eerst op het beveiligen van deze accounts:

E-mailaccounts: E-mail is de toegangspoort tot al het andere. Aanvallers kunnen e-mail gebruiken om wachtwoorden voor andere accounts opnieuw in te stellen, waardoor dit een van de belangrijkste dingen is om te beschermen. 

Financiële accounts: Banken, creditcards, beleggingsplatforms en betaaldiensten zoals PayPal of Venmo moeten altijd 2FA of passkeys ingeschakeld hebben. Een inbreuk hier kan leiden tot direct financieel verlies. 

Wachtwoordbeheerders: Als een wachtwoordbeheerder inloggegevens voor alle accounts opslaat, is het essentieel om deze te beveiligen met 2FA of een passkey. Als dit ene account wordt gecompromitteerd, kan al het andere worden blootgelegd. 

Werk- en cloudopslagaccounts: Accounts die aan werk zijn gekoppeld of gevoelige documenten, foto’s of back-ups opslaan, verdienen extra bescherming.

Sociale media en communicatieplatforms: Hoewel ze misschien minder cruciaal lijken, kunnen deze accounts worden gebruikt voor identiteitsdiefstal, scams of om gebruikers te imiteren.

Elk account met gevoelige persoonsgegevens: Zorgportalen, overheidsdiensten en accounts met privégegevens moeten veilig zijn om identiteitsdiefstal of fraude te voorkomen. 

De reden dat deze accounts het belangrijkst zijn, is eenvoudig: ze zijn op zichzelf zeer waardevol of kunnen worden gebruikt om andere accounts te compromitteren. Door ze te beveiligen, wordt het totale risico aanzienlijk verlaagd. 

Op zoek naar een veilige manier om al deze inloggegevens te beheren? Bekijk de gratis Bitwarden-wachtwoordbeheerder voor persoonlijk gebruik. 

Als je een 2FA-code ontvangt waar je niet om hebt gevraagd, betekent dit meestal dat iemand probeert in te loggen op het account. Die persoon heeft het wachtwoord en probeert het aanmeldproces te voltooien.

Dit moet je doen:

• Deel de code niet: Geef deze nooit aan iemand, ook niet als diegene beweert van de ondersteuning te zijn.

• Keur geen loginprompts goed: Als je een pushmelding ontvangt waarin wordt gevraagd een login goed te keuren, wijs deze dan af.

• Wijzig het wachtwoord onmiddellijk: Gebruik een sterk, uniek wachtwoord dat nergens anders is gebruikt.

• Controleer accountactiviteit: Kijk of er ongeautoriseerde toegang of wijzigingen zijn.

• Schakel extra beveiligingsmaatregelen in: Overweeg over te stappen op een veiligere 2FA-methode als je sms gebruikt.

TOTP-codes die door authenticatie-apps worden gegenereerd, zijn veiliger dan sms-codes, maar ze zijn niet volledig waterdicht. Aanvallers kunnen ze nog steeds phishen via social-engineeringaanvallen of onderscheppen via realtime aanvallen.

Veelvoorkomende methoden zijn:

• Valse loginpagina’s: Aanvallers maken overtuigende kopieën van legitieme sites. Wanneer gebruikers hun wachtwoord en TOTP-code invoeren, onderscheppen ze beide en gebruiken ze deze meteen om in te loggen.

• Relay-aanvallen: De aanvaller fungeert als tussenpersoon en stuurt inloggegevens en de TOTP-code in realtime door naar de echte site voordat de code verloopt.

• Social engineering: Oplichters kunnen gebruikers misleiden om de TOTP-code telefonisch of via een bericht door te geven. Lees voor meer informatie over social-engineeringaanvallen deze blog over social-engineeringaanvallen.

Om het risico te beperken:

• Controleer altijd de URL voordat je inloggegevens invoert

• Gebruik passkeys of hardwarebeveiligingssleutels waar mogelijk

• Wees kritisch op dringende verzoeken om in te loggen of accounts te verifiëren

• Schakel extra bescherming in, zoals loginmeldingen

Een MFA-fatigue-aanval, ook wel prompt bombing genoemd, vindt plaats wanneer een aanvaller herhaaldelijk goedkeuringsverzoeken voor logins naar een apparaat stuurt — soms tientallen of honderden keren. Het doel is gebruikers te overweldigen en te irriteren totdat ze er per ongeluk of bewust één goedkeuren, alleen maar om de meldingen te laten stoppen.

Dit type aanval werkt omdat de aanvaller het wachtwoord al heeft. De aanvaller wacht alleen nog op goedkeuring van de toegang.

Zo blijf je beschermd:

• Keur nooit een loginverzoek goed dat je niet zelf hebt gestart: Als prompts blijven verschijnen, wijs ze dan af en onderzoek dit onmiddellijk.

• Wijzig het wachtwoord meteen: Iemand heeft deze en probeert binnen te komen.

• Gebruik nummermatching of contextbewuste prompts: Sommige services tonen een nummer op het loginscherm dat in de app moet worden ingevoerd, waardoor het voor aanvallers moeilijker wordt om gebruikers te misleiden.

• Stap over op hardwarematige beveiligingssleutels of passkeys: Deze methoden zijn niet afhankelijk van goedkeuringsprompts en kunnen niet via vermoeidheid worden omzeild.

Schakel loginmeldingen in: Ontvang meldingen van verdachte activiteit, zodat je snel kunt handelen.

Aanvallers kunnen 2FA-codes niet rechtstreeks 'delen' zoals ze gestolen wachtwoorden delen bij datalekken. Ze kunnen de 2FA-instelling echter wel misbruiken als ze toegang krijgen tot gekoppelde accounts of services.

Bijvoorbeeld:

• Als ze toegang krijgen tot het e-mailaccount, kunnen ze 2FA-codes ontvangen die via e-mail worden verzonden, of dit gebruiken om wachtwoorden opnieuw in te stellen en 2FA op andere accounts uit te schakelen.

• Als ze controle hebben over het telefoonnummer (via sim-swapping), kunnen ze sms-codes onderscheppen.

• Als ze de back-ups van de authenticator-app die in cloudservices zijn opgeslagen compromitteren, kunnen ze mogelijk TOTP-codes op hun eigen apparaat herstellen.

De belangrijkste les: het beveiligen van de accounts en apparaten die aan de 2FA-instelling zijn gekoppeld, is net zo belangrijk als 2FA zelf. Gebruik unieke wachtwoorden voor elk account en schakel sterke 2FA in voor e-mail, je account bij je mobiele provider en eventuele cloudback-upservices.

Ben je gehackt, handel dan snel om weer controle te krijgen en accounts te beveiligen. Zie voor meer informatie wat je moet doen als je gehackt bent.

Wachtwoordbeheerders stroomlijnen 2FA door het zware werk van beveiligingsbeheer uit handen te nemen. Ze kunnen complexe wachtwoorden voor alle accounts genereren en opslaan, waardoor de mentale belasting van het onthouden van tientallen unieke inloggegevens afneemt. Veel wachtwoordbeheerders slaan ook 2FA-herstelcodes veilig op één beveiligde plek op, zodat back-upcodes georganiseerd en toegankelijk zijn wanneer dat nodig is — zonder inboxen of documenten vol te zetten.

Het resultaat? Gelaagde beveiliging zonder gedoe, waarbij authenticatie-instellingen en herstelopties centraal en versleuteld blijven.

Gebruik sterke, unieke wachtwoorden voor elk account — hergebruik nooit wachtwoorden op verschillende sites. Houd software, besturingssystemen en apps up-to-date om je te beschermen tegen beveiligingskwetsbaarheden. Kies bij het instellen van 2FA altijd de sterkste beschikbare methode: hardwarematige beveiligingssleutels of passkeys zijn het beste, gevolgd door authenticator-apps, met sms als laatste redmiddel.

Bewaar herstelcodes veilig op een veilige plek, indien mogelijk gescheiden van apparaten voor dagelijks gebruik. Of je ze nu bewaart in een versleuteld bestand, een beveiligde notitie in een wachtwoordbeheerder of opgeschreven op een fysieke locatie: zorg dat ze toegankelijk zijn wanneer dat nodig is. Goede hygiëne voor accountherstel betekent dat je back-upcodes regelmatig controleert en nagaat of ze nog steeds toegankelijk zijn.

Volg deze belangrijke best practices om de meeste bescherming uit 2FA te halen:

• Kies de sterkste beschikbare 2FA-methode: Gebruik waar mogelijk passkeys of hardwarematige beveiligingssleutels, en daarna authenticator-apps. Vermijd sms als er betere opties zijn.

• Schakel 2FA eerst in voor de meest kritieke accounts: Geef prioriteit aan e-mail, financiële accounts, wachtwoordbeheerders en werkaccounts.

• Gebruik sterke, unieke wachtwoorden voor elk account: 2FA werkt het beste in combinatie met inloggegevens die niet worden hergebruikt en niet makkelijk te raden zijn.

• Bewaar herstelcodes veilig: Bewaar back-upcodes op een veilige plek, gescheiden van apparaten voor dagelijks gebruik, en controleer of je er toegang toe hebt.

• Deel nooit 2FA-codes en keur geen onverwachte loginverzoeken goed: Legitieme services zullen nooit om codes vragen.

• Houd software en apparaten up-to-date: Regelmatige updates beschermen tegen kwetsbaarheden die de 2FA-instelling kunnen compromitteren.

• Test het accountherstelproces: Probeer periodiek in te loggen vanaf een nieuw apparaat om ervoor te zorgen dat je toegang hebt tot accounts als er iets misgaat.

• Beveilig de accounts die aan 2FA zijn gekoppeld: Bescherm e-mail, je account bij je mobiele provider en back-ups van authenticator-apps met sterke wachtwoorden en 2FA.

Bitwarden maakt het eenvoudig om zowel wachtwoorden als extra beveiligingslagen op één plek te beheren.

2FA-ondersteuning in Bitwarden:

Bitwarden kan Time-based One-Time Passwords (TOTP) rechtstreeks in de app genereren, waardoor een aparte authenticator niet nodig is. Wanneer je inlogt op een site, kan Bitwarden zowel het wachtwoord als de 2FA-code automatisch invullen, wat het proces stroomlijnt zonder in te leveren op beveiliging. 2FA-herstelcodes kunnen ook veilig naast login-gegevens worden opgeslagen, zodat alles georganiseerd en toegankelijk blijft wanneer dat nodig is.

Ondersteuning voor passkeys in Bitwarden:

Bitwarden ondersteunt passkeys, zodat gebruikers deze op verschillende apparaten kunnen maken, opslaan en gebruiken. Wanneer een website of app een login met passkey aanbiedt, kan Bitwarden de passkey opslaan en automatisch invullen wanneer je terugkeert, waardoor authenticatie zonder wachtwoord eenvoudig en veilig wordt. Passkeys worden gesynchroniseerd op alle apparaten waarop Bitwarden is geïnstalleerd, zodat gebruikers naadloos kunnen inloggen, of dat nu op een telefoon, tablet of computer is.

Klaar om je online beveiliging te versterken? Bitwarden helpt sterke wachtwoorden, 2FA-codes, herstelcodes en passkeys te beheren in één veilige kluis. Begin vandaag nog met het beschermen van accounts met een oplossing die beveiliging eenvoudig maakt.