Met tweestapsverificatie (ook: tweefactorauthenticatie) kun je een online-account extra beveiligen. Om ergens in te loggen heb je dan niet alleen je gebruikersnaam en wachtwoord nodig, maar ook een extra toegangscode. Opgelicht?! legt uit wat je moet weten over de verschillende vormen van tweestapsverificatie.
Je maakt het hackers of andere kwaadwillenden een stuk moeilijker als je gebruikmaakt van tweestapsverificatie. Als een hacker namelijk beschikt over je wachtwoord, dan krijgt hij alsnog geen toegang tot je account. Er zijn grofweg vijf vormen van deze extra beveiligingslaag:
- Via een sms. Nadat je je gebruikersnaam en wachtwoord hebt ingevuld krijg je via een sms-bericht een code toegestuurd. Door deze code in te vullen krijg je toegang tot je account. De code blijft meestal zo'n vijftien minuten geldig.
- Via een gesproken bericht. Dit is vergelijkbaar met de verificatie via sms, maar dan krijg je een oproep waarin de code wordt uitgesproken.
- Via een authenticatie-app. Dit is een applicatie op je telefoon die om de zoveel tijd (meestal dertig seconden) een nieuwe code genereert. Deze app wordt bijvoorbeeld aan je Facebookaccount gekoppeld, zodat Facebook begrijpt dat je bij een inlogpoging ook een code uit de authenticatie-app moet invullen.
- Via een fysieke 'token'. Een voorbeeld hiervan is de authenticator van ABN AMRO, die wordt gebruikt om bankzaken mee te regelen. Een ander voorbeeld is YubiKey, een chip die werkt op NFC ('Near-field Communication'). Tweestapsverificatie via een token is vrij specifiek en het hangt van een bedrijf of website af hoe dit wordt gebruikt.
- Via de 'prompt methode'. Dan krijg je op je mobiel een scherm te zien waarin je moet klikken op 'Ja' bij de vraag: 'Probeer jij in te loggen?'. Google en Facebook gebruiken deze methode.
Het is afhankelijk van de website of je gebruik kunt maken van tweestapsverificatie. Ook in welke vorm verschilt per website.
Via sms of gesproken bericht onveilig?
Microsoft riep recentelijk op om geen tweestapsverificatie via sms of een gesproken bericht te gebruiken, omdat dit onveilig zou zijn. Deze vormen van tweestapsverificatie zouden voor hackers het gemakkelijkst te kraken zijn, bijvoorbeeld via phishing of wanneer je toestel gestolen is. Ook zijn de codes via sms of een gesproken bericht relatief lang geldig in vergelijking met de codes van een authenticatie-app.
Het risico valt voor 'gewone' consumenten wel mee volgens security-expert Sanne Maasakkers van Fox-IT. 'Door middel van tweefactorauthenticatie, zelfs via sms of spraakbericht, vergroot je de veiligheid van je account enorm. In theorie is het mogelijk dat hackers deze berichten mee kunnen lezen, maar de kans voor consumenten is een stuk kleiner dan bij grote bedrijven', zegt ze. Maasakkers zegt dat hackers met name bij organisaties of belangrijke mensen bereid zijn om wat meer moeite te doen om een account over te nemen.
Maasakkers vergelijkt tweestapsverificatie met het op slot zetten van je fiets. Als je een kettingslot om je stadsfiets hebt, is jouw fiets een veel minder aantrekkelijk doelwit voor een fietsendief in vergelijking met stadsfietsen die zonder kettingslot staan geparkeerd. Als je een dure elektrische fiets met datzelfde kettingslot beveiligt, kan de dief mogelijk wel bereid zijn extra moeite te doen. Maar voor de gewone stadsfietsen ben je in de meeste gevallen voldoende beveiligd met een kettingslot.
100% veilig niet mogelijk, maar risico's flink verkleind
Tweestapsverificatie via een authenticatie-app is het meest veilig. Er bestaan verschillende authenticatie-apps, zoals Google Authenticator, LastPass, Authy, Password Checkup en Microsoft Authenticator. Deze apps koppel je aan een account (als die website authenticatie via een app mogelijk maakt).
Je krijgt het misschien niet helemaal waterdicht, maar volgens Maasakkers verklein je de risico's enorm met goede wachtwoorden en een tweestapsverificatie. 'Dan maak je het aanvallers dusdanig moeilijk dat het ze ontzettend veel moeite kost om je account over te nemen. Deze moeite zullen ze niet snel doen om het account van een gewone consument binnen te komen. Dan loont het meer om een account te zoeken zonder tweefactorauthenticatie.'
In een ander artikel van Opgelicht?! vind je van verschillende online-diensten, zoals Facebook en WhatsApp, hoe je de tweestapsverificatie instelt.