Verificatie in 2 stappen (2FA)
Multifactor-authenticatie (MFA, ook wel 2FA)
Multifactor-authenticatie of Verificatie in 2 stappen is inloggen met een extra drempel.
Dit maakt het voor anderen lastiger om in een account in te breken.
Het idee is dat:
je iets wat je weet
inlognaam en wachtwoord
moet combineren met iets wat je hebt
een apparaat (telefoon, laptop, dongle) of
een specifiek gegeven (sms-code, vingerafdruk, de plaats waar je bent, de tijdelijke code in een authenticatie-app).
Met alleen het wachtwoord kom je dus niet binnen.
Bedrijven die gevoelige gegevens over jou opslaan, vragen of verplichten je soms om MFA te gebruiken. Voorbeelden:
De bank wil een pincode en soms ook gegevens van de digipas weten voor je geld kunt overmaken.
De belastingdienst wil dat je met DigiD inlogt.
Voor inloggen met DigiD heb je een pincode en een koppelcode nodig en moet je een QR-code scannen.
Ook bedrijven als Google, Microsoft, Bitwarden en Facebook adviseren je om 2-staps authenticatie te gebruiken (een sms of een melding in de smartphone).
Afhankelijk van de organisatie heb je bepaalde mogelijkheden.
Bij mijn Google-account heb ik ze allemaal in gebruik (ook om te proberen hoe het allemaal werkt).
- Mijn smartphone is mijn beveiligingssleutel.
- Als dat niet werkt, kan mijn smartphone een inlogmelding tonen waarop ik moet reageren (Google prompt).
- Als ik mijn smartphone niet kan gebruiken, kan de Bitwarden authenticatie-app een code maken (zie verderop).
- Als dat ook niet werkt, kan ik op twee nummers een sms ontvangen met een code.
- Ik heb ook nog ergens back-upcodes op papier staan.
Authenticatie-apps
Een veilig alternatief voor een sms-code of een e-mail met code is de authenticatie-app.
Een authenticatie-app genereert voortdurend codes voor de websites die aan de app gekoppeld zijn.
Voorbeelden van authenticatie-apps zijn:
de Google Authenticatie-app;
de Microsoft Authenticatie-app;
Authy↗, met apps voor Android, iOS, Windows en Linux (helaas niet voor de Chromebook);
de Bitwarden↗-apps en extensie (in de betaalde versie).
In principe zijn alle 2FA-apps prima.
Authy en Bitwarden hebben als voordeel dat ze niet gebonden zijn aan het apparaat waarop ze staan.
Even uitleggen:
Als je een 2FA-app aan een website koppelt, moet je met de app een QR-code op de site scannen.
De app gebruikt die QR-code om een sleutel te maken.
Als je daarna inlogt op die site, moet je een code invullen.
De 2FA maakt die code op basis van de sleutel.
Zo'n code is maar 30 seconden geldig, daarna maakt de app een nieuwe.
Google slaat de 'sleutels' van 2FA-sites op de smartphone op.
Als je die kwijtraakt of vervangt, ben je de sleutels kwijt.
Als je geen alternatieve inlogmethode voor die site(s) hebt aangegeven, kun je daar niet meer inloggen.
Authy en Bitwarden synchroniseren de (versleutelde) sleutels naar jouw account.
Hierdoor zijn de sleutels overal beschikbaar waar je met Bitwarden en Authy inlogt.
Uiteraard is het wel zaak om bij Authy en Bitwarden zelf ook met 2FA of WebAuthn in te loggen (zie verderop).
2FA voorbereiden
Allereerst kies je welke authenticatie-app je wilt gebruiken.
Ik geef mijn eigen situatie als voorbeeld om een idee te krijgen.
Ik gebruik Bitwarden als wachtwoordbeheerder en als authenticatie-app voor alle websites waar ik 2FA wil gebruiken.
Ik heb Bitwarden beveiligd met:
- WebAuthn op mijn Chromebook en smartphone.
- 1e reserve: mijn e-mailadres.
- 2e reserve: een herstelcode voor als dit allemaal niet werkt (die heb ik ergens veilig opgeschreven).
Tips
Zorg er altijd voor dat je minimaal twee controlemiddelen hebt: een telefoonnummer en je e-mailadres.
Nóg veiliger is om daar bovenop ook het telefoonnummer en e-mailadres van je partner op te nemen als alternatieve controlestap, voor het geval dat je jouw smartphone en/of laptop kwijtraakt.
Als je in kunt stellen dat je een waarschuwing krijgt als er op jouw account wordt ingelogd op een nieuw apparaat, zet dat dan aan.
Zo krijg je snel een melding als er iets verdachts gebeurt.