Een extra slot op je accounts: hoe begin je met 2FA?

Je gebruikersnaam en wachtwoord zijn goud waard voor een cybercrimineel. Daarmee kan die op je account inloggen en je gegevens of geld stelen. Je maakt het criminelen moeilijker met een extra slot: tweestapsverificatie. Wat is dat precies en hoe gebruik je zo’n slot?

Tweefactorauthenticatie, multifactorauthenticatie, tweestapsverificatie. Korter gezegd: 2FA of MFA. Allemaal woorden voor hetzelfde idee. Je logt in met je wachtwoord plus een extra veiligheidsstap: je bewijst met een vingerafdruk of een code dat je de eigenaar van het account bent. De code ontvang je bijvoorbeeld via sms of in een app. Met 2FA zijn je accounts veiliger. Een hacker die je gebruikersnaam en wachtwoord weet, komt je account dan niet eenvoudig meer binnen.

Zwakke wachtwoorden

2FA is volgens cybersecurityexpert Erwin Hasenpflug van het Digital Trust Center (DTC) belangrijk omdat de wachtwoorden die we gebruiken niet altijd veilig zijn. “Het is moeilijk om voor elk account een uniek, sterk wachtwoord te gebruiken. De favoriete voetbalclub staat helaas nog steeds hoog op de lijst van veelgebruikte wachtwoorden. En mensen hergebruiken wachtwoorden bij verschillende accounts.”

Inloggegevens zoals wachtwoorden liggen ook regelmatig op straat door een datalek. Gebruik je alleen een wachtwoord? Dan kan de crimineel dankzij het datalek zo naar binnen. Met 2FA zet je een extra slot op je account.

Van sms tot sleutelbos

2FA heb je in veel soorten en maten. Beveiligen via codes van een ‘identifier’ is heel normaal bij internetbankieren. Accounts op grote platforms als Google en LinkedIn beveilig je extra met een sms-code of via een app. Je kunt soms ook je vingerafdruk gebruiken. Er zijn verschillende gratis authenticator-apps voor je telefoon. En er bestaan fysieke apparaatjes die je aan je sleutelbos hangt. Dat noem je ‘hardware keys’. Wil je inloggen op een account? Dan steek je de key in de usb-poort van je laptop.

Die paar seconden zijn de extra veiligheid meer dan waard.

Welke 2FA kies je?

Bedenk dat een code ontvangen via sms minder veilig is dan via een authenticator-app. Een aanvaller kan een sms onderscheppen door middel van SIM-swapping. Toch ben je ook met 2FA via sms al veiliger dan met alleen je wachtwoord. “Het kost extra tijd om in te loggen, dat is een nadeel. Maar die paar seconden zijn de extra veiligheid meer dan waard”, zegt Hasenpflug.

Begin bij e-mail

Stel voor zo veel mogelijk accounts multifactorauthenticatie in. Dat is het veiligst. Begin in elk geval bij je e-mail. Van Facebook tot je boekhoudpakket: je gebruikt bijna overal je e-mailadres als gebruikersnaam. Zodra criminelen toegang hebben tot je e-mail, kunnen ze al die accounts in.

Telefoon kapot

Een nadeel van 2FA kom je soms pas tegen als het te laat is. Bijvoorbeeld wanneer je telefoon kapot gaat of gestolen is. Dan kun je geen codes via de authenticator-app of sms ontvangen. De app installeren op een nieuwe telefoon heeft geen zin, want de app is gekoppeld aan het toestel dat kapot of kwijt is. Ook andere 2FA-methodes, zoals een hardware key, kun je verliezen. In al deze gevallen kun je niet meer inloggen op je account. Tenzij je van tevoren een herstelmanier hebt ingesteld.

Herstelcodes

Kies je voor een authenticator-app? Controleer dan meteen hoe je de app herstelt. Daar zijn verschillende manieren voor. Sommige apps geven je een back-up in de cloud of werken met herstelcodes. Zo’n code noteer je en bewaar je op een veilige plaats, bijvoorbeeld in een kluis. Gaat je telefoon kapot? Dan koppel je met de herstelcode je authenticator-app aan een nieuw apparaat.

Kies je voor 2FA-methodes zoals een hardware key of een smartcard? Zorg ook dan voor een herstelplan. Dat kan een herstelcode zijn of een andere 2FA-methode zoals een authenticator-app. Ben je de hardware key of smartcard kwijt? Dan log je in via de authenticator-app en schakel je het verloren apparaatje direct uit als inlogmanier. Dit voorkomt misbruik. Daarna koppel je eventueel een nieuwe key aan je account via de herstelcode.

Nooit 100% veilig

Volledig veilig bestaat niet. Ook met 2FA kan het misgaan. Een cybercrimineel kan bijvoorbeeld via een nepwebsite je gebruikersnaam, wachtwoord én 2 FA-code onderscheppen. Die hackt daarmee alsnog je account.

Een account met 2FA is wel altijd veiliger dan zonder 2FA. Dit was in 2023 dan ook de door ondernemers meest uitgevoerde veiligheidsmaatregel. Ook aanbieders van software en online diensten weten dat 2FA veiliger is. Verificatie in twee stappen is daarom op steeds meer accounts mogelijk. Maak daar gebruik van.

2FA op eigen website

Heb je een eigen website of webshop waarop klanten inloggen? Ook dat gaat veiliger met 2FA. Hoe je 2FA aanzet voor je klanten, hangt af van het platform waarop je website of webshop staat. En of je die software zelf beheert.

In eigen beheer

Beheer je je eigen website met een contentmanagementsysteem (CMS) zoals WordPress, Joomla of Drupal? Of heb je een webshop op een e-commerce platform zoals Shopify, Wix of Lightspeed? Kijk dan bij de instellingen van die software en schakel 2FA voor je klanten in. Ook zijn er vaak plug-ins beschikbaar die 2FA mogelijk maken op deze platforms. Hoe je dit precies instelt, vind je online door te zoeken naar de naam van het platform en "2fa". Bijvoorbeeld "shopify 2fa", of "wordpress 2fa plugin".

Beheerd door een ander

Beheert een ICT-leverancier of webbouwer je website of webshop? Vraag die dan om 2FA aan te zetten voor je klanten. Of om een plug-in te installeren die 2FA voor hen mogelijk maakt.