2FA goed doen: authenticator apps en hardware sleutels
Twee-factor authenticatie (2FA) voegt een tweede verificatiestap toe naast je wachtwoord. Zelfs als iemand je wachtwoord weet, heeft diegene ook de tweede factor nodig.
2FA goed doen: authenticator apps en hardware sleutels
Twee-factor authenticatie (2FA) voegt een tweede verificatiestap toe naast je wachtwoord. Zelfs als iemand je wachtwoord weet, heeft diegene ook de tweede factor nodig.
Niet alle 2FA is even sterk. Dit artikel legt het verschil uit.
Voor wie is dit? Voor vrijwel iedereen — van gewone gebruiker tot professional. 2FA instellen met een authenticator-app is een van de meest effectieve maatregelen per tijdseenheid die je erin steekt. Hardware sleutels zijn een optionele extra stap voor wie dat nodig heeft; die sectie kun je overslaan als je er niet aan toe bent.
Dit is stap 2 in de normale basis. Als je nog geen wachtwoordmanager hebt ingesteld, doe dat eerst.
Wat je wint, en wat het kost
Als je 2FA goed instelt, win je meestal:
- veel minder kans dat een gelekt of gestolen wachtwoord direct genoeg is om een account over te nemen
- extra bescherming op de accounts die het meeste herstelmacht hebben, zoals e-mail en wachtwoordmanager
- een van de sterkste beveiligingsmaatregelen per minuut moeite
Maar het kost ook iets:
- inloggen duurt soms iets langer
- je moet back-upcodes en herstelopties serieus bewaren
- slordige inrichting kan juist lock-outproblemen geven als je je toestel verliest
Voor de meeste lezers is TOTP via een authenticator-app de beste ruil tussen veiligheid en onderhoud. Overkill wordt het pas wanneer je meteen naar hardware sleutels grijpt terwijl je belangrijkste accounts nog niet eens op gewone 2FA staan.
SMS 2FA: vermijd het waar mogelijk
SMS 2FA — een code via sms — is beter dan niets maar heeft serieuze zwakheden.
SIM-swapping: Een aanvaller overtuigt je provider om jouw nummer over te zetten naar een nieuwe SIM-kaart in hun bezit. Daarna ontvangen zij je sms-codes.
SS7-kwetsbaarheden: Het telefoonsysteem heeft bekende beveiligingsproblemen waarmee sms-berichten onderschept kunnen worden.
Telecomprovider-toegang: Autoriteiten kunnen bij Nederlandse providers sms-berichten opvragen.
Gebruik SMS 2FA alleen als er geen beter alternatief beschikbaar is.
TOTP: tijdgebaseerde codes via een app
TOTP (Time-based One-Time Password) genereert een zescijferige code die elke 30 seconden verandert. De berekening gebeurt lokaal op je toestel — er is geen verbinding met een server nodig.
Aegis Authenticator
Open-source, lokale opslag, versleuteld back-upbestand. Beschikbaar via F-Droid.
Dit is de aanbeveling voor de meeste gebruikers. Je kunt een versleutelde export maken als back-up en die veilig opslaan.
Vermijd: Google Authenticator (synchronisatie naar Google-account mogelijk, opt-in), Microsoft Authenticator (cloud-afhankelijk), Authy (cloud-back-up beschikbaar, opt-in).
iOS-gebruiker? Aegis is Android-only. Op iOS: gebruik 2FAS (open-source, gratis, App Store) of Tofu (open-source, gratis, App Store). Beide ondersteunen TOTP, versleutelde export en geen cloudkoppeling.
2FA instellen
- Installeer Aegis
- Ga naar de instelling voor 2FA op de dienst die je wil beveiligen
- Scan de QR-code met Aegis
- Voer de gegenereerde code in om te bevestigen
- Sla de back-upcodes op die de dienst geeft — op papier of in een versleuteld bestand
Hardware sleutels: de sterkste optie
Een hardware beveiligingssleutel is een fysiek apparaatje dat je aansluit via USB of aanraakt via NFC. Bij het inloggen druk je op de knop van de sleutel — bewijs dat je fysiek aanwezig bent.
Hardware sleutels zijn bestand tegen phishing: een nep-website kan de authenticatie niet overnemen omdat de sleutel de werkelijke domeinnaam controleert.
YubiKey 5 NFC
De meest gebruikte hardware sleutel. Ondersteunt meerdere protocollen (FIDO2, WebAuthn, OTP). Werkt via USB-A en NFC. Heb je een USB-C poort zonder adapter? Kies dan de YubiKey 5C NFC.
Compatibel met de meeste grote diensten: Google, GitHub, Proton, Bitwarden, en meer.
Prijs: check actuele prijs op yubico.com
Nitrokey 3
Open-source alternatief voor de YubiKey. De firmware is volledig inzichtelijk en bij te werken — een voordeel voor wie gesloten hardware wantrouwt.
Prijs: check actuele prijs op nitrokey.com
Welke kies je?
Voor de meeste gebruikers: YubiKey 5 NFC. Brede ondersteuning, bewezen betrouwbaar, NFC werkt direct met GrapheneOS.
Voor wie open-source firmware een harde eis is: Nitrokey 3.
Koop altijd twee sleutels — één als primaire, één als back-up. Als je de enige sleutel verliest, kun je je accounts niet meer in.
Is dit voor jou? Een hardware sleutel is overkill voor de meeste gebruikers. TOTP via een authenticator-app is al een sterke en onderhoudbare keuze. Hardware sleutels zijn zinvol als je een hoge kans hebt op gerichte phishing-aanvallen — denk aan journalisten, advocaten, politici, en mensen die toegang beheren tot systemen van anderen.
Back-upcodes: het wordt vaak vergeten
Elke dienst die 2FA ondersteunt geeft back-upcodes bij het instellen. Bewaar deze:
- Niet in de app op je telefoon — als je telefoon weg is, ben je de codes ook kwijt
- Niet in een online document — dat is hetzelfde als geen back-up
- Wel: uitgeprint in een veilige locatie, of in een versleuteld bestand op een offline medium
Welke diensten ondersteunen hardware sleutels in Nederland?
Hardware sleutels (FIDO2/WebAuthn) worden ondersteund door: Google, GitHub, Proton, Bitwarden, Dropbox, en de meeste grote internationale diensten.
Nederlandse diensten lopen achter. DigiD ondersteunt nog geen hardware sleutels — gebruik daar de authenticator-app. Bankieren-apps gebruiken hun eigen 2FA-systemen die losstaan van standaard TOTP of FIDO2.
Stap voor stap beginnen
- Installeer Aegis (Android) of 2FAS (iOS)
- Zet je meest kritieke accounts over op TOTP: e-mail, wachtwoordmanager, cloudopslag. Als ZZP’er: begin met e-mail, boekhoudingssoftware (Moneybird/Exact), en DigiD.
- Sla back-upcodes op
- Verwijder SMS 2FA waar je het al hebt ingesteld en vervang het door TOTP
- Overweeg een hardware sleutel als optionele extra stap voor accounts die het ondersteunen — stap 1-4 zijn de prioriteit
Volgende stap
Verder lezen
- Security als gewoonte — zodra wachtwoorden en 2FA op orde zijn, is dit de logische voortzetting
Reviews
- Aegis review — open-source TOTP-app voor Android
- YubiKey vs Nitrokey review — hardware beveiligingssleutels
- KeePassXC review — wachtwoordmanager met 2FA-ondersteuning