Is SMS 2FA de moeite waard om te gebruiken?

Ja, als er geen betere optie wordt aangeboden. SMS 2FA is dramatisch beter dan geen 2FA: het stopt het grootste deel van de credential stuffing-aanvallen. Maar voor elk account waar u TOTP of een hardwaresleutel kunt gebruiken, doe dat dan. SIM-swapaanvallen op met sms beveiligde accounts hebben tot echte verliezen geleid, vooral voor cryptocurrency en spraakmakende sociale accounts.

Welke authenticator-app moet ik gebruiken?

Aegis (open source, Android) en Raivo (open source, iOS) zijn schone keuzes. 1Password en Bitwarden kunnen naast wachtwoorden TOTP-geheimen opslaan. Vermijd Google Authenticator als u geen back-up heeft. Tot voor kort werd deze niet gesynchroniseerd en veel gebruikers zijn hun accounts kwijtgeraakt nadat ze de telefoon waren kwijtgeraakt. Authy synchroniseert maar had in 2024 een inbreuk op de contactendatabase.

Zijn hardwaresleutels de kosten waard?

Voor uw hoogwaardige accounts: ja. Een paar YubiKeys (één primaire, één back-up in een kluis) kost in totaal ongeveer $ 90 en is de beveiligingsinvestering met de hoogste hefboomwerking die de meeste mensen ooit zullen doen. Elk account dat kan worden geconfigureerd om een hardwaresleutel te vereisen – en veel cruciale accounts kunnen dat ook – zou dat moeten zijn.

Kan 2FA worden omzeild?

TOTP- en pushmeldingen kunnen worden omzeild door realtime phishing (de aanvaller proxies de login op de echte site). Hardwaresleutels (FIDO2) kunnen dat niet, omdat de oorsprongbinding de handtekening locatiespecifiek maakt. Accountherstelstromen verzwakken ook 2FA: als u 2FA via sms kunt resetten, wordt de sms het aanvalsoppervlak.

Waarom ondersteunen sommige sites alleen SMS 2FA?

Implementatiekosten en toegankelijkheid. SMS werkt op elke telefoon zonder app-installatie; TOTP/FIDO vereisen een eenmalige installatie die sommige gebruikers verwarrend vinden. Grote banken zijn traag met de adoptie van FIDO; cloud- en technologiediensten hebben het jaren geleden overgenomen. Het goede nieuws: elke site die het belangrijkst is voor uw veiligheid ondersteunt minimaal TOTP, en de meeste ondersteunen hardwaresleutels.

Tweefactorauthenticatie uitgelegd: TOTP, Push, SMS en hardwaresleutels

Alleen al een wachtwoord is één factor: 'iets dat je weet'. Een aanvaller die steelt of vermoedt dat deze de eigenaar is van het account. Tweefactorauthenticatie voegt een tweede, onafhankelijke factor toe – ‘iets dat je hebt’ of ‘iets dat je bent’ – die hetzelfde gestolen wachtwoord onbruikbaar maakt. Het moeilijkste is niet of je 2FA moet gebruiken. Het is de methode die je moet gebruiken, omdat de methoden niet even sterk zijn.

De volledige artikeltekst vindt u hieronder in het Engels.

Ttweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA) vereist een extra referentie naast het wachtwoord om in te loggen. De factorcategorieën zijn:

Iets dat u weet — een wachtwoord, pincode, beveiligingsvraag
Iets dat u weet heb — een telefoon, een hardwaretoken, een smartcard
Iets wat je bent — vingerafdruk, gezicht, netvlies, stem

Ttwee factoren uit verschillende categorieën is de standaard. Een wachtwoord plus een beveiligingsvraag is geen echte 2FA — beide zijn "iets dat je weet".

De factorrangschikking

Van zwakste naar sterkste:

SMS — de originele mainstream 2FA. Kwetsbaar voor SIM-swapping (een aanvaller overtuigt de provider om uw nummer over te dragen) en voor onderschepping via SS7-zwakheden. Nog steeds beter dan geen 2FA, maar de zwakste optie die nog steeds veel wordt gebruikt.
Door e-mail geleverde codes — slechts zo sterk als het e-mailaccount zelf, dat vaak zwakkere 2FA heeft. Acceptabel als laatste redmiddel, geen primaire factor.
TOTP (op tijd gebaseerd eenmalig wachtwoord) — codes die elke 30 seconden worden gegenereerd door een authenticator-app (Aegis, Authy, Google Authenticator, 1Password), afgeleid van een gedeeld geheim. Phishable, omdat een realtime aanvaller die u ertoe verleidt de code in een nepsite in te voeren, deze opnieuw kan afspelen.
Push-meldingen — "deze login goedkeuren?" meldingen op een vertrouwd apparaat. Handig, maar kwetsbaar voor "MFA-moeheid", waarbij aanvallers goedkeuringen spammen totdat de gebruiker op ja tikt.
Hardware-beveiligingssleutels (FIDO2/WebAuthn) — fysieke USB/NFC-tokens zoals YubiKey, Solo, Google Titan. De sleutel duidt op een uitdaging van de site, waarbij de reactie cryptografisch wordt gekoppeld aan de oorsprong van de site. Dit betekent dat phishing onmogelijk is omdat een nepsite niet de juiste handtekening kan activeren. Dit is de gouden standaard.

Hoe TOTP eigenlijk werkt

Wanneer u zich inschrijft, toont de site een QR-code met daarin een gedeeld 160-bits geheim. Uw authenticator-app slaat het op. Om een code te genereren, gebruikt de app:

T de huidige Unix-tijd gedeeld door 30 (geeft een teller die elke 30 seconden toeneemt).
HMAC-SHA1 met het gedeelde geheim zonder recept.
Extraheert 6 cijfers uit de HMAC-uitvoer (dynamisch truncatie).

De server berekent onafhankelijk dezelfde waarde en accepteert de code als deze overeenkomt. Het protocol is gedefinieerd in RFC 6238; het is symmetrisch, volledig offline en draait op elke authenticator-app.

Waarom hardwaresleutels anders zijn

FIDO2/WebAuthn bindt de authenticatie aan de oorsprong van de website in het protocol zelf. De hardwaresleutel onthult nooit zijn privésleutel; het bewijst alleen bezit door een uitdaging te ondertekenen die het domein van de site omvat. Als een phishing-site op evil.com om een YubiKey-handtekening vraagt, ondertekent de sleutel een uitdaging voor evil.com - die de echte banksite niet accepteert. Met TOTP kan de gebruiker zijn 6-cijferige code in evil.com typen, die deze in realtime doorstuurt naar de echte bank. Hardwaresleutels dichten dat gat.

Herstelcodes

Elke 2FA-beveiligde account moet back-upherstelcodes hebben die worden afgedrukt en fysiek worden opgeslagen - in een kluis, met belangrijke documenten, waar dan ook behalve op hetzelfde apparaat dat de tweede factor bevat. Als u de tweede factor verliest zonder herstelcodes, wordt u permanent uitgesloten van de meeste services. Het herstelproces varieert: sommige services accepteren identiteitsverificatie door ondersteuning, maar de trend is richting harde lock-outs voor accounts zonder herstelcodes.

Passkeys: 2FA in één tik

Passkeys (FIDO2-inloggegevens opgeslagen in de sleutelhanger van uw besturingssysteem of wachtwoordbeheerder) vouwen het wachtwoord + tweede factor samen in één enkele biometrische of pincodecontrole op een apparaat dat al de authentificatie op apparaatniveau heeft doorstaan. Ze zijn phishing-bestendig om dezelfde reden als hardwaresleutels, en ze worden gesynchroniseerd via iCloud-sleutelhanger, Google Wachtwoordmanager, 1Password, enz. De richting op de middellange termijn is het vervangen van wachtwoord + 2FA door wachtwoordsleutels voor nieuwe sites, terwijl wachtwoord + hardwaresleutel voor oudere sites behouden blijft.

Waar 2FA er het meest toe doet

De hoogwaardige accounts die sterke 2FA vereisen: uw primaire e-mailadres (herstelvector voor al het andere), uw wachtwoordbeheerder, uw bank, uw domeinregistreerder, uw cloudaccounts (AWS/GCP/Azure) en uw codeopslagplaatsen (GitHub/GitLab). Hiervoor is een hardwaresleutel (bij voorkeur twee voor back-up) de juiste investering. Voor al het andere is TOTP via een authenticator-app de praktische standaard.

Veelgestelde vragen

Is SMS 2FA de moeite waard om te gebruiken?: Ja, als er geen betere optie wordt aangeboden. SMS 2FA is dramatisch beter dan geen 2FA: het stopt het grootste deel van de credential stuffing-aanvallen. Maar voor elk account waar u TOTP of een hardwaresleutel kunt gebruiken, doe dat dan. SIM-swapaanvallen op met sms beveiligde accounts hebben tot echte verliezen geleid, vooral voor cryptocurrency en spraakmakende sociale accounts.
Welke authenticator-app moet ik gebruiken?: Aegis (open source, Android) en Raivo (open source, iOS) zijn schone keuzes. 1Password en Bitwarden kunnen naast wachtwoorden TOTP-geheimen opslaan. Vermijd Google Authenticator als u geen back-up heeft. Tot voor kort werd deze niet gesynchroniseerd en veel gebruikers zijn hun accounts kwijtgeraakt nadat ze de telefoon waren kwijtgeraakt. Authy synchroniseert maar had in 2024 een inbreuk op de contactendatabase.
Zijn hardwaresleutels de kosten waard?: Voor uw hoogwaardige accounts: ja. Een paar YubiKeys (één primaire, één back-up in een kluis) kost in totaal ongeveer $ 90 en is de beveiligingsinvestering met de hoogste hefboomwerking die de meeste mensen ooit zullen doen. Elk account dat kan worden geconfigureerd om een hardwaresleutel te vereisen – en veel cruciale accounts kunnen dat ook – zou dat moeten zijn.
Kan 2FA worden omzeild?: TOTP- en pushmeldingen kunnen worden omzeild door realtime phishing (de aanvaller proxies de login op de echte site). Hardwaresleutels (FIDO2) kunnen dat niet, omdat de oorsprongbinding de handtekening locatiespecifiek maakt. Accountherstelstromen verzwakken ook 2FA: als u 2FA via sms kunt resetten, wordt de sms het aanvalsoppervlak.
Waarom ondersteunen sommige sites alleen SMS 2FA?: Implementatiekosten en toegankelijkheid. SMS werkt op elke telefoon zonder app-installatie; TOTP/FIDO vereisen een eenmalige installatie die sommige gebruikers verwarrend vinden. Grote banken zijn traag met de adoptie van FIDO; cloud- en technologiediensten hebben het jaren geleden overgenomen. Het goede nieuws: elke site die het belangrijkst is voor uw veiligheid ondersteunt minimaal TOTP, en de meeste ondersteunen hardwaresleutels.