Heb ik tweefactorauthenticatie (2FA) nodig?
Wat is 2FA?
2FA (Two-Factor-Authentication), ook wel multifactorauthenticatie (MFA), is een manier om jezelf te verifiëren, bijvoorbeeld wanneer je inlogt in je online bankomgeving. Eerst geef je iets dat je wéét, zoals je wachtwoord. Daarna geef je iets dat je hébt, bijvoorbeeld een token dat een eenmalig wachtwoord genereert of een authenticator-app waarmee je de inlog moet goedkeuren/bevestigen.
Zijn traditionele wachtwoorden niet voldoende?
In de begintijd van wachtwoorden gebruikten veel mensen eenvoudige codes, zoals “wachtwoord01” of “hallo123”. Met deze veelgebruikte wachtwoorden kon men toegang verkrijgen tot wel 10% van alle accounts die met een wachtwoord beveiligd waren. Zo konden hackers makkelijk bij accounts van personen én organisaties komen. Daarom moesten wachtwoorden ingewikkelder worden: met hoofdletters, cijfers en speciale tekens. Hackers pasten zich echter aan met slimme en geautomatiseerde manieren (brute force-methoden) om ook deze moeilijke wachtwoorden te kraken. De toegenomen rekenkracht van computers hielp daarbij. Ook datalekken, waarbij gebruikersnamen en wachtwoorden uitlekten, gaven hackers een voorsprong.
Gemiddeld zijn de wachtwoorden van iedere wereldburger al meerdere keren gelekt.1 Niemand kan 30 of meer complexe wachtwoorden onthouden en regelmatig veranderen. Daardoor blijven mensen vaak toch simpele of vergelijkbare wachtwoorden voor meerdere diensten gebruiken. Een wachtwoordmanager kan dit probleem oplossen: die maakt en bewaart veilige, unieke wachtwoorden die (nog) niet gelekt zijn.
Maar ik ben toch geen doelwit?
Je denkt misschien dat je geen doelwit bent, omdat je niet interessant genoeg bent voor hackers. Maar dat is niet waar. Hackers zoeken meestal geen specifiek slachtoffer. Vaak gebruiken ze tools die geautomatiseerde, willekeurige inlogpogingen uitvoeren. Zonder een goed wachtwoordbeleid is het slechts een kwestie van tijd voor je slachtoffer wordt. Eenmaal binnen, kunnen hackers phishingmails of sms’jes naar je versturen of verder zoeken naar andere logingegevens.
Waarom 2FA in beeld kwam
Toen veel wachtwoorden in verkeerde handen kwamen door brute force-aanvallen en/of datalekken, bedacht men dat er eigenlijk een extra beveiligingslaag had moeten zijn (de wat je hébt-factor). Dit idee leidde tot beveiliging die verder gaat dan alleen een wachtwoord (1 laag dus).
Al in 1986 stuurde de ING-bank hun klanten een lijst met TAN-codes: unieke codes die alleen de ontvanger had (de wat je hébt-factor). Bij een transactie moest je een van deze codes gebruiken als tweede factor om jezelf te authenticeren voor een transactie. Sindsdien zijn er allerlei middelen ontwikkeld:
• tokens die automatisch eenmalige wachtwoorden genereren;
• apps die aan je mobiele telefoon zijn gekoppeld en die kunnen worden gebruikt om een transactie te bevestigen/goed te keuren;
• of fysieke middelen, zoals smartcards of YubiKey, die een beveiligd certificaat opslaan en pas toegang geven na het invoeren van een pincode.
Is 2FA echt veiliger?
Misschien denk je dat een hacker die je wachtwoord kan kraken, ook de tweede factor kan omzeilen. Maar de tweede factor werkt anders: het is iets dat je fysiek bij je hebt. Een hacker kan dat niet zomaar via een geautomatiseerde tool bemachtigen. Om die laag te kraken, moeten ze jou persoonlijk aanvallen. Dat kost veel tijd, middelen en vereist een strategische planning. Vaak is dat de moeite niet waard. Tenzij je jezelf publiekelijk als cryptomiljardair profileert, een zeer belangrijk persoon bent of onder de aandacht staat van inlichtingendiensten.
2FA is in de praktijk een zeer effectieve manier om de kans op hacken sterk te verkleinen. Echter kunnen er kwetsbaarheden ontstaan in de manier waarop het wordt toegepast. Voorbeelden:
• De klassieke TAN-codes die per post werden verzonden, konden worden onderschept door een postmedewerker.
• 2FA via een sms kan worden misbruikt via sim-swapping, waarbij hackers de telecomprovider manipuleren.
Daarom is het belangrijk om 2FA altijd te combineren met sterke beveiligingsprocedures, zoals:
• een eerste keer inloggen op kantoor;
• bevestiging via een geautoriseerd e-mailadres;
• identiteitsbewijzen;
• wachttijden.
Hoewel 2FA geen perfecte beveiligingsmaatregel is, die bestaan sowieso niet, verhoogt het je beveiligingsniveau aanzienlijk. Vergelijk het met brandveiligheid: een brandblusser alleen is niet genoeg, maar samen met andere maatregelen biedt het wel een stevig vangnet. Als een laag faalt, is er altijd nog een volgende laag. Wanneer die laag ontbreekt, kan dat een probleem veroorzaken. Sommige organisaties schakelden 2FA uit, met als gevolg dat ze vrijwel direct werden gehackt via wachtwoorden. De gevolgen waren groot, zowel voor henzelf als voor hun klanten.
Heeft 2FA invloed op gegevensbescherming?
Ja. Als iemand zonder toestemming toegang krijgt tot je omgeving, en daar persoonlijke gegevens bij betrokken zijn, dan heb je te maken met een datalek. Zo’n datalek moet je volgens de AVG snel en zorgvuldig afhandelen. 2FA is daarom niet alleen een technische maatregel, maar ook een belangrijk onderdeel van je naleving van de privacywetgeving. Door 2FA toe te passen verklein je de kans op een datalek aanzienlijk.
Samen sterker
Deze blog is geschreven door een privacy expert van Privacy Company en security expert van PuraSec. Privacy Company en PuraSec bundelen sinds april 2025 hun krachten om organisaties op een pragmatische manier te ondersteunen bij naleving van informatiebeveiliging en gegevensbescherming. Neem gerust contact met ons op als je hulp nodig hebt.
1. Op een wereldbevolking van 8,2 miljard bevat de website https://haveibeenpwned.com/ 15 miljard wachtwoorden uit 896 lekken. Het werkelijke aantal gelekte wachtwoorden is veel hoger, maar niet alle lekken worden geregistreerd door ‘have I been pwned’.
