2FA: wat is het en waarom gebruik je het?

3 min lezen - gepubliceerd op 8 augustus 2019

Wie zich een beetje verdiept in online security, komt al snel de term ‘2FA’ tegen. Voor veel mensen geen bekende afkorting, al is de kans groot dat ze deze techniek dagelijks gebruiken. Bijvoorbeeld tijdens het online bankieren of werken op het bedrijfsnetwerk. In dit artikel lees je wat 2FA inhoudt, hoe het er in de praktijk uitziet en wat het gebruik je oplevert.

Deze blog is origineel gepubliceerd in oktober 2017.

Twee keer is scheepsrecht

De afkorting 2FA staat voor ‘twee-factor-authenticatie’. Dit is een beveiligingssysteem dat de gebruiker niet slechts om een gebruikersnaam en wachtwoord vraagt, maar om nog een extra gegeven. Met 2FA is er dus sprake van een tweede beveiligende laag, om de identiteit te controleren van de persoon die toegang probeert te verkrijgen. Onbevoegden die in het bezit zijn van alleen de eerste factor (meestal een wachtwoord) krijgen geen toegang tot persoonlijke data.

Een goed voorbeeld van 2FA vinden we bij het internetbankieren: voor het uitvoeren van een betaalopdracht heb je een gebruikersnaam en wachtwoord nodig én een tan-code die je ontvangt per sms. Deze code op zich heeft geen waarde, maar bewijst dat de opdrachtgever in het bezit is van de mobiele telefoon die ooit werd gekoppeld aan de rekening. Dit systeem maakt het zeer waarschijnlijk dat deze persoon de juiste identiteit heeft.

Alleen een wachtwoord

Waarom zou je niet vertrouwen op alleen een wachtwoord? Het lijkt veel gebruikers de meest simpele, snelle en veilige methode. Het blijkt echter niet makkelijk te zijn om een sterk wachtwoord te verzinnen en te beheren. Een wachtwoord is kwetsbaar voor bedreigingen, zowel van binnenuit (de collega met inloggegevens op een post-it in de bureaula) als van buitenaf (hackers). Een wachtwoord kan dus zeker onderdeel uitmaken van een solide beveiliging, maar een systeem dat gebruikmaakt van meer dan één factor is vele malen veiliger.

Verschillende vormen van 2FA

Authenticatie kan plaatsvinden op basis van allerlei factoren. Ze zijn te verdelen in drie categorieën:

  1. Iets wat de gebruiker weet. Bijvoorbeeld een wachtwoord, pincode, andere informatie die de gebruiker eerder heeft gedeeld met het systeem.
  2. Iets wat de gebruiker heeft. Denk hierbij aan een mobiele telefoon, een lijst met codes of een toegangspas.
  3. Iets wat de gebruiker is. Hij of zij kan herkend worden aan de hand van bijvoorbeeld een vingerafdruk, het gezicht of de stem.

Er is pas sprake van 2FA als een systeem factoren uit twee verschillende categorieën combineert: bijvoorbeeld ‘iets weten’ met ‘iets zijn’. Een systeem dat drie factoren afdwingt is ook voorstelbaar. Elke stap zorgt voor grote zekerheid over de identiteit van de gebruiker.

Verschillende vormen in de praktijk

Er bestaan ook systemen die om twee wachtwoorden vragen, bijvoorbeeld bij het inloggen op een account en daarna bij het openen van een bestand. Hoewel het in deze situatie gaat om twee verschillende wachtwoorden, is dit strikt genomen geen 2FA maar SFA (single-factor-authenticatie). Dit is zo omdat er maar één soort factor wordt gebruikt. De keuze voor deze vorm van authenticatie maakt men in sommige gevallen vanwege het gebruiksgemak. Het grootste nadeel blijft dat als de gebruiker ook het wachtwoord met anderen deelt, zij toegang hebben tot het bericht.

Authenticatie met twee factoren vraagt de gebruiker een extra stap uit te voeren, maar dit is wel een stuk veiliger. Wij merken dat gebruikers nog niet gewend zijn om die extra stap te zetten en daarom zien we de ‘echte’ vorm nog niet veel terug in de praktijk.

Authenticatie op basis van biometrische gegevens (‘wat de gebruiker is’) als tweede of derde factor wordt in de praktijk ook nog weinig toegepast, alleen bij grote corporates en overheidsinstanties. Medewerkers op Schiphol bijvoorbeeld hebben om achter de douane te komen een pas, een wachtwoord én een succesvolle irisscan nodig. We zien wel steeds vaker het gebruik van een vingerafdruk (of met de komst van de nieuwe iPhone: gezichtsherkenning)  als SFA om apparaten te ontsluiten.

Kleine moeite, groot plezier

ZIVVER raadt altijd aan om twee factor authenticatie toe te passen. Wie online gevoelige informatie deelt, wil zeker weten dat die bij de juiste ontvanger belandt en bij niemand anders. De extra stap is een kleine prijs voor de zekerheid dat je geen data lekt. Zéker sinds de handhaving van de GDPR (AVG) in mei 2018 is gestart: onder deze wetgeving ben je verplicht om de juiste technische maatregelen te treffen om een datalek te voorkomen. 

Ontdek hoe een groot ziekenhuis met succes veilig mailt

Datalekken kunnen imagoschade en een hoge boete opleveren. Nieuwe software heeft echter altijd wat voeten in de aarde en van een soepele implementatie hangt veel af. Daarom is het fijn om te weten dat andere organisaties dit traject succesvol hebben doorlopen. Annemiek Knipscheer (ISO) vertelt waarom en hoe SJG Weert nu gebruikmaakt van ZIVVER. Wat zijn haar ervaringen met veilig mailen en de implementatie?

Klik hier om de klantcase van SJG te downloaden

Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.