Hoe werkt 2FA?
Bij tweeledige verificatie zijn twee vormen van identificatie vereist om uw identiteit te verifiëren en u toegang tot uw account te geven. 2FA gebruikt twee van de volgende drie factoren om uw identiteit te verifiëren: iets wat u weet (zoals een wachtwoord), iets wat u heeft (zoals een sleutel) of iets wat u bent (zoals een vingerafdruk). Door een extra verificatiestap toe te voegen, versterkt 2FA de beveiliging van uw accounts aanzienlijk.
Wanneer u zich bij een van uw online accounts aanmeldt, heeft u op het basisverificatieniveau alleen uw wachtwoord nodig voor de aanmelding. Dat is stap één ter verificatie van uw identiteit. 2FA vereist een tweede stap voordat u toegang tot uw account krijgt. De tweede stap is gebaseerd op iets wat u weet, iets wat u heeft of iets wat u bent. Naast uw wachtwoord moet u bij 2FA bijvoorbeeld ook een eenmalige pincode invoeren die via sms wordt verzonden om uw identiteit te verifiëren.
Hoe 2FA precies werkt
Bij 2FA-verificatie is naast uw wachtwoord een tweede stukje informatie vereist. Omdat voor 2FA twee ongerelateerde gegevens nodig zijn, is de kans zeer klein dat iemand anders toegang krijgt tot beide. Het type informatie dat voor de verificatie wordt gebruikt, hangt af van de online service die u gebruikt, bijvoorbeeld Facebook, iCloud, Yahoo of Google.
Gmail biedt u bijvoorbeeld verschillende mogelijkheden bij het instellen van 2FA:
-
Een fysieke beveiligingssleutel: Deze optie werkt als een slot met sleutel, die u meestal moet kopen.
-
De Google Authenticator-app: U moet eerst de app op uw telefoon installeren. Telkens wanneer u zich bij uw e-mailaccount aanmeldt, verschijnt een melding op uw telefoon. Tik op de melding om te verifiëren dat u het bent.
-
Verificatiecode: Hierbij ontvangt u een eenmalige numerieke code, meestal via een sms, die u moet invoeren om uw identiteit te verifiëren.
Zo werkt 2FA wanneer u toegang wilt tot uw account: u typt uw gebruikersnaam en wachtwoord in en klikt op Verzenden. Vervolgens vraagt de online service waarbij u zich aanmeldt automatisch om een tweede stukje informatie, zoals een sms-bericht met een verificatiecode, een melding van Google Authenticator of een andere 2FA-methode die u heeft ingesteld. Nadat het tweede gegeven is geverifieerd (d.w.z. de tweede verificatiefactor), krijgt u toegang tot uw online account.
Bij tweeledige verificatie zijn twee vormen van identificatie vereist om uw account te verifiëren.
Een hacker die uw account probeert te kraken, komt er zonder dat tweede gegeven niet in – ook niet als hij of zij uw wachtwoord heeft.
Tweeledige verificatie kan het best worden omschreven als veiligheidsmaatregel die twee verschillende soorten verificatie vereist om toegang tot een account te krijgen. Dus als u een bericht krijgt met een toegangscode ter verificatie en u heeft niet onlangs geprobeerd in te loggen, is uw account nog steeds veilig als u hier niets mee doet. Het is echter raadzaam onmiddellijk uw wachtwoord te veranderen in iets unieks en een programma voor veilig wachtwoordbeheer te gebruiken om al uw wachtwoorden bij te houden.
Als u meer wilt weten over 2FA en hoe u daarmee uw digitale identiteit kunt beschermen, kijk dan naar de uitleg van Michael McKinnon over tweeledige verificatie en wachtwoordbeveiliging en waarom dat belangrijk is voor uw online beveiliging.
De drie basisfactoren voor verificatie
De extra verificatielaag in 2FA bestaat gewoonlijk uit een van deze drie basisfactoren: iets wat u weet, iets wat u heeft of iets wat u bent. Deze drie verificatiecategorieën omvatten het volgende:
-
Iets wat u weet: Dat kan een pincode zijn, het antwoord op een beveiligingsvraag of natuurlijk een wachtwoord.
-
Iets wat u heeft: Hiermee wordt doorgaans een tastbaar voorwerp bedoeld, zoals een creditcard, een beveiligingstoken (een apparaatje) of een id-kaart. Het kan ook uw telefoon zijn, waarvan u door middel van een sms-code of een speciale app als Google Authenticator kunt bewijzen dat deze u deze in bezit heeft.
-
Iets wat u bent: Hierbij gaat het om biometrische gegevens, gewoonlijk in de vorm van uw vingerafdruk of een gezichtsscan (zoals bij Touch ID of Face ID van Apple).
Elke keer dat u een pinautomaat gebruikt, vindt 2FA plaats. Wanneer u geld pint bij een pinautomaat, combineert u iets wat u heeft (uw bankpas) met iets wat u weet (uw pincode). Maar wanneer u zich met uw gebruikersnaam en wachtwoord bij een online account aanmeldt, voldoen die twee items, ook al zijn het twee stukjes informatie, niet aan de criteria voor 2FA. Het zijn allebei namelijk zaken die u weet. Gelukkig kunt u bij de meeste e-mailaccounts een tweede laag toevoegen, zoals een bewijs dat u uw telefoon bij u heeft.
Uw vingerafdruk is een van de beste kenmerken om u te identificeren. Ieders vingerafdruk is uniek en verandert nooit. Maar wat als u te horen krijgt dat dit juist belangrijke redenen zijn om nooit gebruik te maken van vergrendelen met vingerafdruk? Het klinkt tegenstrijdig maar dit type vergrendeling kan een beveiligingsrisico vormen.
Maar voor 2FA worden meestal geen vingerafdrukken gebruikt, zoals u hier kunt lezen.
Soorten tweeledige verificatie (2FA)
Accounts met 2FA lopen veel minder risico dan accounts zonder 2FA, en 2FA is eenvoudig in te stellen en te gebruiken. Dit zijn enkele soorten tweeledige verificatie die u online kunt vinden:
Hardwaretokens voor tweeledige verificatie (2FA)
Een hardwaretoken is een klein apparaatje dat met uw website of netwerk wordt gesynchroniseerd. Het genereert willekeurige cijferreeksen. Bij het aanmelden vraagt de site of het netwerk naar de cijferreeks die op dat moment op het token staat, en alleen die reeks geeft toegang.
Het is niet ideaal, omdat deze kleine tokens kunnen worden gehackt. Bovendien zijn de meeste mensen er minder voorzichtig mee dan met hun iPhone of Android-telefoon, waardoor ze gemakkelijker kwijtraken.
Op sms en spraak gebaseerde 2FA
2FA met een smartphone is een van de meest voorkomende vormen van 2FA, omdat de meeste mensen hun telefoon altijd bij zich hebben. De website stuurt via een sms of spraakoproep een code naar uw telefoon en u meldt zich aan door de code in te voeren. Als u uw account beschermt met een sterk wachtwoord en uw telefoon vergrendelt met een totaal ander wachtwoord, is de kans klein dat een hacker beide kan kraken.
Maar 2FA via sms wordt steeds minder veilig. Met een techniek die sim-swapping wordt genoemd, kunnen hackers nu de controle over uw telefoonnummer krijgen. Deze techniek is nog vrij ongebruikelijk, maar bedrijven hebben er al op gereageerd door zich op andere methoden te richten. Daarom zijn apps voor beveiligde berichtuitwisseling ook in opmars.
Softwaretokens voor 2FA
Het voordeel van op sms gebaseerde 2FA was altijd dat een hacker waarschijnlijk niet in staat was uw telefoon en uw wachtwoord te bemachtigen. Nu sms'en kunnen worden onderschept, is dit voordeel verdwenen.
Dat is waar de softwaretokens voor 2FA om de hoek komen kijken. Ze zijn gekoppeld aan het apparaat, niet aan het telefoonnummer. Dus als u de software op uw telefoon of laptop installeert, kan alleen de persoon met toegang tot dat apparaat zich aanmelden.
Pushmelding voor 2FA
Pushmeldingen zijn nog veiliger dan sms'en of softwaretokens. Een pushmelding wordt rechtstreeks naar uw telefoon gestuurd, waardoor het onmogelijk is dat een sms wordt onderschept of iemand op afstand toegang krijgt tot uw apparaat. Ze zijn bij uitstek geschikt om man-in-the-middle-aanvallen te voorkomen, en dat is slechts één manier waarop e-mailaccounts kunnen worden gehackt.
Andere vormen van tweeledige verificatie
2FA met biometrische gegevens is in opkomst. Hierbij kunt u uw vingerafdruk, gezichtsherkenning of een oogscan gebruiken voor toegang tot uw apparaten. Maar deze methode is niet perfect. Daarom werken ontwikkelaars hard aan technologieën die stemprofielen, typesnelheid en zelfs uw omgevingsgeluid kunnen herkennen.
Voorbeelden van tweeledige verificatie
Apple maakt vaak gebruik van tweeledige verificatie op de apparaten van klanten. Ze profiteren van de robuuste beveiliging van de iCloud en de iCloud-verbindingen met al uw apparaten. Als ze zien dat u zich probeert aan te melden en niet weten of u het bent, sturen ze een 2FA-code naar een van uw andere Apple-apparaten, zoals uw iPad.
Veel bedrijven hebben speciaal ontworpen 2FA-oplossingen om de activiteiten van hun werknemers zo veel mogelijk verborgen te houden. Een hardwaretoken is een veilige verificatieoptie voor mensen die een belangrijke rol spelen in een bedrijf.
Waarom zou ik tweeledige verificatie gebruiken?
Het is raadzaam 2FA te gebruiken, omdat het waterdichte bescherming biedt waar zelfs de sterkste wachtwoorden niet voldoende zijn. Ook al maakt u een sterk wachtwoord, de kans blijft bestaan dat het uitlekt. Maar zelfs wanneer uw wachtwoord door iemand wordt achterhaald, kan de boosdoener geen toegang krijgen tot uw account als u 2FA heeft ingesteld.
Vroeger kwamen we met wachtwoorden een heel eind, maar tegenwoordig hebben hackers allerlei innovatieve manieren om ze te kraken. Dit zijn enkele manieren waarop geslepen hackers uw wachtwoord kunnen achterhalen:
-
Gegevenslekken: Wanneer er bij een grote organisatie gegevens uitlekken, kunnen er miljoenen gebruikersnamen en wachtwoorden (en andere vertrouwelijke gegevens) van mensen als handelswaar op het dark web belanden. Cybercriminelen kunnen lijsten met deze gebruikersnamen en wachtwoorden kopen en proberen de aanmeldingsgegevens te recyclen. Daarbij proberen ze die aanmeldingsgegevens overal op het web uit om te zien tot welke accounts ze toegang kunnen krijgen. Een goede reden om wachtwoorden nooit opnieuw te gebruiken voor meerdere accounts.
-
Spyware: Met deze geniepige soort schadelijke software kunt u worden bespioneerd en kunnen al uw activiteiten worden vastgelegd. Met keylogging-software kan alles wat u typt ongemerkt worden vastgelegd, inclusief uw gebruikersnamen en wachtwoorden, en worden teruggestuurd naar de hackers die de malware op uw apparaat hebben geïnstalleerd.
-
Phishing: Phishing is een vorm van social engineering waarbij cybercriminelen zich voordoen als bedrijf of betrouwbare contactpersoon om u over te halen persoonlijke gegevens prijs te geven. In dit geval kan het een vals e-mailbericht zijn waarin u wordt gevraagd uw gebruikersnaam en wachtwoord te bevestigen voor een online service die u gebruikt. Als u deze gegevens intypt, worden ze direct naar de oplichter gestuurd.
-
Social media: Hoewel het misschien geen geraffineerde methode is, loopt u zonder 2FA het risico dat uw Instagram wordt gehackt. Heeft u dit jaar uw moeder gefeliciteerd met haar verjaardag? Een puppy geadopteerd? Een huis gekocht? Een hacker kan openbare berichten zien en informatie verzamelen om tegen u te gebruiken, ongeacht of die informatie betrekking heeft op uw wachtwoorden. Controleer uw Facebook-profiel op lekken en let op signalen dat uw telefoon gehackt is.
Daarom is 2FA zo belangrijk. Als uw wachtwoord in handen van een hacker valt, maar u gebruikt 2FA, is uw account nog steeds veilig. Door de extra verificatiestap is 2FA een krachtige veiligheidsmaatregel.
Tweeledige verificatie instellen
Voor het instellen van tweeledige verificatie moet u eerst controleren of de online service waarvoor u 2FA wilt gebruiken (zoals uw e-mail-, bank- of socialmedia-apps) die mogelijkheid biedt. Klik op deze link voor uitgebreide instructies voor het instellen van 2FA voor uw Gmail-account.
Ter illustratie laten we hier zien hoe u 2FA instelt voor uw Facebook-account.
-
Ga naar Facebook en meld u aan bij uw account. Klik op uw profielfoto in de rechterbovenhoek en selecteer Instellingen en privacy > Instellingen.
-
Selecteer Beveiliging en aanmelding in het linkervenster en ga naar Tweeledige verificatie gebruiken. Klik op Bewerken.
-
Facebook heeft verschillende opties om 2FA in te stellen: via een verificatie-app, een sms of een beveiligingssleutel. Kies de gewenste optie.
-
Wilt u Google Authenticator gebruiken maar heeft u de app nog niet, ga dan naar Google Play of de App Store van Apple en download de app.
-
Open Google Authenticator op uw telefoon en scan de QR-code op het scherm.
-
Bevestig op uw telefoon dat u 2FA wilt toevoegen aan uw Facebook-account. Klik op Doorgaan op uw computerscherm.
-
Facebook vraagt u een code uit Google Authenticator in te voeren. Deze code verandert om de paar seconden, zodat alleen u er toegang toe hebt. Voer het zescijferige getal in en klik op Doorgaan.
-
Facebook bevestigt dat 2FA nu is ingeschakeld.
Beveiligingstip: Schakel 2FA in voor elk account dat u heeft en zeker voor uw online bankrekening en andere gevoelige accounts.
Tweeledige verificatie uitschakelen
Bij de meeste accounts wordt tweeledige verificatie net zo uitgeschakeld als ingeschakeld, doorgaans via de instellingen voor accountbeveiliging en privacy. Op Facebook kunt u tweeledige verificatie uitschakelen via Beveiliging en aanmelding > Tweeledige verificatie gebruiken > Uitschakelen. U moet uw wachtwoord invoeren, waarna u wordt gevraagd uw keuze te bevestigen.
Dit kan nodig zijn als u bijvoorbeeld een nieuw telefoonnummer krijgt of als het op dat moment even niet goed uitkomt. Vergeet het alleen niet weer in te schakelen zodra het weer mogelijk is.
Is tweeledige verificatie veilig?
2FA biedt aanzienlijk meer beveiliging voor uw online accounts, maar heeft ook enkele tekortkomingen. Ten eerste vereisen veel services geen 2FA bij het opnieuw instellen van een wachtwoord. Maar voor gemiddelde gebruikers is 2FA veel veiliger dan het gebruik van alleen een wachtwoord.
Een ander voorbeeld van een probleem met 2FA blijkt uit de gebeurtenissen bij RSA Security. Het hele bedrijfsmodel van RSA Security berustte op het leveren van 2FA-beveiliging aan klanten zoals het Pentagon, tot ze zelf werden gehackt. Alle tokens lekten uit, waardoor de binnenlandse veiligheidsdiensten op het hoogste niveau een makkelijk doelwit werden.
Dat is een extreem voorbeeld. Voor gewone mensen is 2FA veilig. De meeste hackers hebben het niet gemunt op specifieke mensen, maar op prominente of gemakkelijke slachtoffers met een zwakke beveiliging. En als een account moeilijk te kraken is, kiezen hackers meestal eieren voor hun geld. Daarom is 2FA meer dan voldoende, in combinatie met een sterk wachtwoord en goede beveiligingssoftware.
Hackers die uw persoonlijke gegevens in handen hebben gekregen (wachtwoorden, burgerservicenummers of bankgegevens), bieden deze vaak te koop aan op het dark web. Gebruikt u internet zonder 2FA, dan is het slim om een dark web-scan uit te voeren om te zien of er gegevens van u zijn uitgelekt.
Het is natuurlijk ondoenlijk om het dark web voortdurend in de gaten te houden. Gelukkig kan een privacybewakingsservice zoals AVG BreachGuard u automatisch waarschuwen als uw privégegevens online zijn uitgelekt. Met AVG BreachGuard profiteert u 24/7 van webbewaking, meldingen over gegevenslekken en tips en adviezen over het verbeteren van uw privacy en beveiliging online.
Definitie van meervoudige verificatie
Tweeledige verificatie is een type meervoudige verificatie (MFA). MFA verwijst naar het gebruik van twee (of meer) verificatiefactoren. Wanneer u 2FA heeft ingeschakeld, maakt u dus ook gebruik van MFA. MFA met meer dan twee verificatiefactoren wordt gewoonlijk gebruikt in gebouwen met de hoogste veiligheidsnormen, zoals overheidsgebouwen of andere instellingen waar zeer vertrouwelijke informatie wordt bewaard.
Soms moet u een pincode (iets wat u weet) invoeren, een pasje of badge (iets wat u heeft) laten zien en een vingerafdruk- of netvliesscan (iets wat u bent) laten maken om toegang te krijgen.
Sommige techbedrijven, banken of andere zwaarbeveiligde ondernemingen vereisen soms ook drieledige verificatie voor online accounts. Maar voor het beveiligen van gebruikersaccounts is 2FA ruim voldoende.
Zijn er weleens aanmeldingsgegevens van u uitgelekt?
Door 2FA in te stellen voor al uw online accounts, kunt u uw online beveiliging drastisch verbeteren. Maar hoe zit het met al die jaren waarin u zich zonder 2FA bij uw persoonlijke accounts heeft aangemeld? Misschien is het u helemaal ontgaan dat uw wachtwoorden zijn uitgelekt. AVG BreachGuard kan helpen door het web voortdurend te controleren op gegevenslekken. Als uw persoonlijke informatie ooit is uitgelekt, laat AVG u dat meteen weten en helpt u passende maatregelen te treffen.
Bovendien wordt uw huidige beveiliging op deugdelijkheid beoordeeld en ontvangt u suggesties om uw wachtwoorden te verbeteren en uw instellingen aan te passen ter verhoging van de beveiliging. In de strijd tegen hackers is AVG BreachGuard dan ook een cruciaal wapen dat niet in uw arsenaal mag ontbreken. Begin vandaag nog met het beschermen van uw persoonlijke gegevens.