PrivacyGear.nl
EN

2FA goed doen: authenticator apps en hardware sleutels

Twee-factor authenticatie is een van de meest effectieve beveiligingsmaatregelen. We leggen uit waarom SMS 2FA zwak is, en hoe je het beter doet.

2FA goed doen: authenticator apps en hardware sleutels

2FA goed doen: authenticator apps en hardware sleutels

Twee-factor authenticatie (2FA) voegt een tweede verificatiestap toe naast je wachtwoord. Zelfs als iemand je wachtwoord weet, heeft diegene ook de tweede factor nodig.

Niet alle 2FA is even sterk. Dit artikel legt het verschil uit.

SMS 2FA: vermijd het waar mogelijk

SMS 2FA — een code via sms — is beter dan niets maar heeft serieuze zwakheden.

SIM-swapping: Een aanvaller overtuigt je provider om jouw nummer over te zetten naar een nieuwe SIM-kaart in hun bezit. Daarna ontvangen zij je sms-codes.

SS7-kwetsbaarheden: Het telefoonsysteem heeft bekende beveiligingsproblemen waarmee sms-berichten onderschept kunnen worden.

Telecomprovider-toegang: Autoriteiten kunnen bij Nederlandse providers sms-berichten opvragen.

Gebruik SMS 2FA alleen als er geen beter alternatief beschikbaar is.

TOTP: tijdgebaseerde codes via een app

TOTP (Time-based One-Time Password) genereert een zescijferige code die elke 30 seconden verandert. De berekening gebeurt lokaal op je toestel — er is geen verbinding met een server nodig.

Aegis Authenticator

Open-source, lokale opslag, versleuteld back-upbestand. Beschikbaar via F-Droid.

Dit is onze aanbeveling voor de meeste gebruikers. Je kunt een versleutelde export maken als back-up en die veilig opslaan.

Vermijd: Google Authenticator (synchronisatie naar Google-account), Microsoft Authenticator (cloud-afhankelijk), Authy (cloud-back-up standaard ingeschakeld).

2FA instellen

  1. Installeer Aegis
  2. Ga naar de instelling voor 2FA op de dienst die je wil beveiligen
  3. Scan de QR-code met Aegis
  4. Voer de gegenereerde code in om te bevestigen
  5. Sla de back-upcodes op die de dienst geeft — op papier of in een versleuteld bestand

Hardware sleutels: de sterkste optie

Een hardware beveiligingssleutel is een fysiek apparaatje dat je aansluit via USB of aanraakt via NFC. Bij het inloggen druk je op de knop van de sleutel — bewijs dat je fysiek aanwezig bent.

Hardware sleutels zijn bestand tegen phishing: een nep-website kan de authenticatie niet overnemen omdat de sleutel de werkelijke domeinnaam controleert.

YubiKey 5 NFC

De meest gebruikte hardware sleutel. Ondersteunt meerdere protocollen (FIDO2, WebAuthn, OTP). Werkt via USB-C en NFC.

Compatibel met de meeste grote diensten: Google, GitHub, Proton, Bitwarden, en meer.

Prijs: circa €55–65

Nitrokey 3

Open-source alternatief voor de YubiKey. De firmware is volledig inzichtelijk en bij te werken — een voordeel voor wie gesloten hardware wantrouwt.

Prijs: circa €29–49

Welke kies je?

Voor de meeste gebruikers: YubiKey 5 NFC. Brede ondersteuning, bewezen betrouwbaar, NFC werkt direct met GrapheneOS.

Voor wie open-source firmware een harde eis is: Nitrokey 3.

Koop altijd twee sleutels — één als primaire, één als back-up. Als je de enige sleutel verliest, kun je je accounts niet meer in.

Back-upcodes: het wordt vaak vergeten

Elke dienst die 2FA ondersteunt geeft back-upcodes bij het instellen. Bewaar deze:

  • Niet in de app op je telefoon — als je telefoon weg is, ben je de codes ook kwijt
  • Niet in een online document — dat is hetzelfde als geen back-up
  • Wel: uitgeprint in een veilige locatie, of in een versleuteld bestand op een offline medium

Welke diensten ondersteunen hardware sleutels in Nederland?

Hardware sleutels (FIDO2/WebAuthn) worden ondersteund door: Google, GitHub, Proton, Bitwarden, Dropbox, en de meeste grote internationale diensten.

Nederlandse diensten lopen achter. DigiD ondersteunt nog geen hardware sleutels — gebruik daar de authenticator-app. Bankieren-apps gebruiken hun eigen 2FA-systemen die losstaan van standaard TOTP of FIDO2.

Stap voor stap beginnen

  1. Installeer Aegis
  2. Zet je meest kritieke accounts over op TOTP: e-mail, wachtwoordmanager, cloudopslag
  3. Sla back-upcodes op
  4. Overweeg een hardware sleutel voor accounts die het ondersteunen
  5. Verwijder SMS 2FA waar je het al hebt ingesteld en vervang het door TOTP

Zie ook:

← Terug naar Beveiliging