Tweefactorauthenticatie instellen: waarom en hoe
Als je in je hele bedrijf maar één beveiligingsmaatregel zou mogen nemen, dan is het deze: tweefactorauthenticatie. Geen enkele andere maatregel beschermt zo veel tegen zo weinig moeite. Het blokkeert de overgrote meerderheid van de accountovernames, het kost vrijwel niets, en het is voor elk bedrijf in te voeren. Toch werken nog veel bedrijven zonder, vaak omdat het "gedoe" lijkt of omdat niemand het ooit heeft aangezet.
In dit artikel lees je waarom tweefactorauthenticatie zo krachtig is, hoe het werkt, en hoe je het in je bedrijf invoert zonder je medewerkers tegen je in het harnas te jagen. Want de techniek is het makkelijke deel; de kunst zit in een soepele invoering die mensen meekrijgt in plaats van frustreert.
Wat tweefactorauthenticatie is
Tweefactorauthenticatie, vaak afgekort als 2FA of MFA, betekent dat je voor het inloggen twee dingen nodig hebt in plaats van één: iets wat je weet (je wachtwoord) plus iets wat je hebt (meestal je telefoon). Na het invoeren van je wachtwoord moet je een tweede stap doen, bijvoorbeeld een melding goedkeuren op je telefoon of een code invoeren uit een app.
Het idee is simpel maar krachtig: zelfs als een aanvaller je wachtwoord heeft buitgemaakt, kan hij niet inloggen, want hij heeft je telefoon niet. Die tweede factor is de barrière die de meeste aanvallen tegenhoudt.
Waarom het zo effectief is
De kracht van tweefactorauthenticatie zit in het soort aanvallen dat het blokkeert. De meeste accountovernames draaien om gestolen, gelekte of geraden wachtwoorden. Wachtwoorden lekken voortdurend bij datalekken, mensen hergebruiken ze, en phishing is er specifiek op gericht ze te ontfutselen.
Met alleen een wachtwoord is een lek of een phishing-misser direct toegang voor de aanvaller. Met tweefactorauthenticatie is dat gestolen wachtwoord waardeloos zonder de tweede factor. Daarmee blokkeer je in één klap het overgrote deel van de aanvallen die op accounts gericht zijn. Het is geen overdrijving dat dit de meest kosteneffectieve beveiligingsmaatregel is die bestaat: minimale moeite, maximaal effect.
De vormen van de tweede factor
Niet alle tweede factoren zijn even sterk of even handig. De belangrijkste vormen, van handig naar sterk:
Een melding in een app. Je krijgt op je telefoon een melding die je goedkeurt of afwijst. Gebruiksvriendelijk en sterk, dit is voor de meeste bedrijven de aanrader.
Een code uit een app. Een app genereert elke 30 seconden een nieuwe code die je invoert. Sterk en betrouwbaar, werkt ook zonder internet.
Een code via sms. Een code wordt naar je telefoon gestuurd. Beter dan niets, maar minder veilig dan de app-varianten, omdat sms in theorie te onderscheppen is. Gebruik dit alleen als de andere opties niet kunnen.
Een fysieke beveiligingssleutel. Een apparaatje dat je in je computer steekt of tegen je telefoon houdt. De sterkste vorm, vooral interessant voor de meest gevoelige accounts zoals beheerders.
Voor de meeste MKB-bedrijven is de app met meldingen of codes de gulden middenweg tussen veiligheid en gemak.
Hoe je het invoert zonder weerstand
De techniek aanzetten is eenvoudig; in een omgeving als Microsoft 365 kun je tweefactorauthenticatie centraal verplichten (zie Microsoft 365 beveiligen). De echte uitdaging is de menselijke kant, want mensen ervaren een extra inlogstap soms als hinderlijk. Een paar dingen helpen om de invoering soepel te laten verlopen.
Leg uit waarom. Mensen accepteren een kleine moeite veel makkelijker als ze begrijpen waartegen het beschermt. Vertel het verhaal: een gestolen wachtwoord is anders direct toegang tot hun e-mail en de bedrijfsgegevens.
Begin bij de belangrijkste accounts. Start met de beheerders en de directie, de accounts met de meeste toegang en het hoogste risico, en rol daarna uit naar de rest.
Kies de gebruiksvriendelijke vorm. De app met meldingen is voor de meeste mensen het minst belastend. Eén tik om goed te keuren, klaar.
Bied hulp bij het instellen. Een korte uitleg of een moment waarop iemand helpt met het installeren van de app, voorkomt frustratie en zorgt dat iedereen het echt aanzet.
Maak het verplicht, niet optioneel. Als tweefactorauthenticatie optioneel is, zet een deel het niet aan, en dat zijn vaak juist de accounts die het risico vormen. Verplicht het voor iedereen.
Veelvoorkomende zorgen weggenomen
"Wat als ik mijn telefoon kwijt ben?" Hiervoor zijn herstelopties: reservecodes die je veilig bewaart, of een tweede geregistreerd apparaat. Richt dit vooraf in, zodat niemand buitengesloten raakt.
"Het is toch veel gedoe?" In de praktijk valt het mee. Met de app-meldingen is het één tik, en vaak hoef je het op een vertrouwd apparaat niet bij elke login opnieuw te doen. De minimale moeite weegt ruimschoots op tegen de bescherming.
"Wij zijn te klein om aangevallen te worden." Een misverstand. De meeste aanvallen zijn geautomatiseerd en niet gericht; ze proberen overal gestolen wachtwoorden uit. Juist daarom is deze bescherming voor elk bedrijf relevant.
Veelgestelde vragen
Wat is tweefactorauthenticatie?
Tweefactorauthenticatie betekent dat je voor het inloggen twee dingen nodig hebt: je wachtwoord (iets wat je weet) plus een tweede bevestiging via meestal je telefoon (iets wat je hebt). Zelfs als iemand je wachtwoord steelt, kan hij niet inloggen zonder die tweede factor. Het is daarmee een van de krachtigste en goedkoopste beveiligingsmaatregelen die bestaan.
Waarom is tweefactorauthenticatie zo belangrijk?
Omdat de meeste accountovernames draaien om gestolen, gelekte of geraden wachtwoorden. Met alleen een wachtwoord is zo'n lek direct toegang voor een aanvaller; met tweefactorauthenticatie is dat gestolen wachtwoord waardeloos. Het blokkeert daarmee de overgrote meerderheid van de aanvallen op accounts, tegen minimale moeite. Als je maar één maatregel neemt, neem dan deze.
Welke vorm van tweefactorauthenticatie is het beste?
Voor de meeste MKB-bedrijven is een app die meldingen stuurt of codes genereert de beste balans tussen veiligheid en gemak. Sms-codes zijn beter dan niets maar minder veilig. Voor de meest gevoelige accounts, zoals beheerders, is een fysieke beveiligingssleutel de sterkste optie. Begin met de app-variant voor iedereen.
Is tweefactorauthenticatie niet veel gedoe voor mijn medewerkers?
In de praktijk valt het mee. Met de app-meldingen is het één tik om goed te keuren, en op vertrouwde apparaten hoeft het vaak niet bij elke login opnieuw. De sleutel tot een soepele invoering is uitleggen waarom het nodig is, de gebruiksvriendelijke vorm kiezen, en hulp bieden bij het instellen. De minimale moeite weegt ruimschoots op tegen de bescherming.
Wat als een medewerker zijn telefoon kwijtraakt?
Daar zijn herstelopties voor: reservecodes die veilig bewaard worden, of een tweede geregistreerd apparaat. Het is belangrijk dit vooraf in te richten zodat niemand buitengesloten raakt als de telefoon weg is. Een beheerder kan in noodgevallen ook helpen de toegang te herstellen. Goede voorbereiding voorkomt dat dit een drempel wordt om 2FA in te voeren.
---