Twee-factor authenticatie blokkeert 99,9% van geautomatiseerde accountaanvallen. Leer hoe je 2FA instelt voor Google Workspace, Microsoft 365 en meer. Van authenticator apps tot hardware security keys.
Een wachtwoord alleen is niet meer genoeg. Dat is geen mening, maar een feit onderbouwd door jarenlang onderzoek. Microsoft rapporteerde dat accounts met twee-factor authenticatie (2FA) 99,9% van geautomatiseerde aanvallen blokkeren. Toch gebruikt slechts 28% van de Nederlandse MKB-bedrijven enige vorm van multi-factor authenticatie. Dat betekent dat bijna driekwart van alle bedrijfsaccounts beschermd wordt door niets meer dan een wachtwoord -- en wachtwoorden worden dagelijks gestolen, geraden en gekraakt.
In deze complete gids leggen we uit wat twee-factor authenticatie precies is, waarom het de belangrijkste beveiligingsmaatregel is die je vandaag nog kunt nemen, welke methoden er bestaan en hoe je 2FA stap voor stap instelt voor de platforms die jouw bedrijf gebruikt.
Twee-factor authenticatie, afgekort als 2FA, voegt een extra verificatielaag toe bovenop je wachtwoord. In plaats van alleen "iets dat je weet" (je wachtwoord) moet je ook bewijzen dat je "iets hebt" (je telefoon, een hardware key) of "iets bent" (vingerafdruk, gezichtsherkenning).
Het concept is simpel: zelfs als een aanvaller je wachtwoord bemachtigt via phishing, een datalek of brute force, kan diegene niet inloggen zonder de tweede factor. Het is hetzelfde principe als je bankpas: je hebt zowel de kaart (iets dat je hebt) als de pincode (iets dat je weet) nodig.
Je ziet de termen 2FA en MFA (multi-factor authenticatie) vaak door elkaar gebruikt. Het verschil is eenvoudig:
In de praktijk zijn de meeste MFA-implementaties gewoon 2FA. Voor dit artikel gebruiken we beide termen, maar de implementatieadvies is hetzelfde.
De statistieken rondom accountbeveiliging zijn alarmerend:
Het activeren van 2FA is de beveiligingsmaatregel met de hoogste impact-per-inspanningsratio. Geen enkele andere actie die vijf minuten kost, vermindert je risico met 99,9%. Het is dan ook een van de belangrijkste punten op de cybersecurity basismaatregelen checklist voor MKB.
Niet alle tweede factoren zijn even veilig. Hier is een overzicht van de vier belangrijkste methoden, van minst naar meest veilig.
Je ontvangt een eenmalige code via sms die je invoert bij het inloggen.
Voordelen: Geen extra app nodig, werkt op elk type telefoon, gebruikers kennen het concept al.
Nadelen: Kwetsbaar voor SIM-swapping (aanvallers laten je nummer overzetten naar hun SIM-kaart), SS7-protocolkwetsbaarheden en onderschepping. De codes worden onversleuteld verzonden.
Oordeel: Beter dan niets, maar niet aanbevolen als primaire 2FA-methode voor bedrijven.
Apps zoals Google Authenticator, Microsoft Authenticator of Authy genereren elke 30 seconden een nieuwe zescijferige code op basis van een gedeeld geheim (Time-based One-Time Password, TOTP).
Voordelen: Werkt offline, niet kwetsbaar voor SIM-swapping, gratis, breed ondersteund.
Nadelen: Als je telefoon kwijtraakt zonder backup-codes, verlies je toegang. Phishing-aanvallen kunnen codes in real-time onderscheppen via nep-inlogpagina's.
Oordeel: De aanbevolen minimumstandaard voor MKB-bedrijven. Kies bij voorkeur Microsoft Authenticator of Authy vanwege cloud-backup van tokens.
Fysieke apparaten zoals YubiKey, Google Titan of SoloKeys die je via USB, NFC of Bluetooth verbindt met je computer of telefoon.
Voordelen: Phishing-proof (de key controleert het domein cryptografisch), geen codes om over te typen, werkt zonder batterij, extreem betrouwbaar.
Nadelen: Kosten (EUR 25-70 per key, je hebt er twee nodig als backup), niet elk platform ondersteunt het, fysiek verlies vereist backup-key.
Oordeel: De gouden standaard. Verplicht voor beheerders, directie en medewerkers met toegang tot gevoelige systemen.
Vingerafdruk, gezichtsherkenning of irisscan als tweede factor.
Voordelen: Niets om te onthouden of mee te nemen, snelle verificatie, moeilijk te kopieken.
Nadelen: Biometrische data kun je niet wijzigen als het gecompromitteerd wordt, privacyzorgen, niet alle apparaten ondersteunen het uniform.
Oordeel: Uitstekend als aanvulling, maar gebruik het nooit als enige tweede factor.
| Methode | Veiligheid | Gebruiksgemak | Kosten | Phishing-proof |
|---|---|---|---|---|
| SMS | Laag | Hoog | Gratis | Nee |
| Authenticator app | Goed | Goed | Gratis | Nee |
| Hardware key | Uitstekend | Goed | EUR 25-70/key | Ja |
| Biometrisch | Goed | Uitstekend | Apparaat-afhankelijk | Gedeeltelijk |
Hieronder vind je stapsgewijze instructies voor de platforms die Nederlandse bedrijven het meest gebruiken.
Tip: Schakel de optie "Vertrouwde apparaten" in zodat medewerkers op hun vaste werkplek niet elke dag opnieuw hoeven te verifieken, maar alleen bij nieuwe apparaten of locaties.
Microsoft biedt met Security Defaults een gratis basisconfiguratie die MFA afdwingt voor alle gebruikers. Dit is ideaal als startpunt voor bedrijven die nog geen Conditional Access-beleid hebben. Wil je meer halen uit je Microsoft 365 beveiliging? Lees dan onze gids over essientiele Microsoft 365 beveiligingsinstellingen.
Bedrijfsaccounts op sociale media zijn een veelvoorkomend doelwit. Een gekaapt bedrijfsaccount kan leiden tot reputatieschade en spamberichten naar klanten.
Belangrijk: Gebruik voor bedrijfsaccounts altijd een authenticator app, nooit SMS. Zorg dat minimaal twee personen toegang hebben tot de backup-codes.
Nederlandse banken gebruiken al jarenlang sterke authenticatie via hun eigen apps en cardreaders. Controleer wel het volgende:
Voor bedrijven die serieus zijn over beveiliging, zijn hardware security keys onmisbaar. Een YubiKey of vergelijkbare FIDO2-sleutel biedt bescherming die geen enkele softwareoplossing kan evenaren.
Bij een traditionele phishing-aanval maakt een aanvaller een nepversie van een inlogpagina. Het slachtoffer voert zijn wachtwoord en 2FA-code in op de neppagina, waarna de aanvaller deze in real-time doorgeeft aan de echte site. Dit werkt tegen SMS en authenticator apps.
Hardware keys zijn immuun voor deze aanval. De key communiceert rechtstreeks met de browser en verifieert cryptografisch dat het domein klopt. Een nep-domein als "g00gle.com" in plaats van "google.com" wordt automatisch geweigerd. Er is geen code om over te typen en niets om te onderscheppen.
Een succesvolle uitrol van 2FA vereist meer dan alleen het inschakelen van een instelling. Hier is een bewezen aanpak.
Het grootste obstakel bij 2FA-implementatie is niet technisch maar menselijk. Medewerkers ervaren het als extra gedoe, zijn bang hun telefoon kwijt te raken of begrijpen niet waarom het nodig is. Zo pak je dat aan:
"Het kost te veel tijd" -- Na de eerste setup kost 2FA gemiddeld 5 seconden per inlogpoging. Vertrouwde apparaten hoeven maar een keer per 30 dagen te verifieken.
"Wat als ik mijn telefoon verlies?" -- Daarom genereer je backup-codes en/of registreer je een tweede hardware key. De herstelprocedure is onderdeel van de uitrol.
"Mijn wachtwoord is sterk genoeg" -- Zelfs het sterkste wachtwoord beschermt niet tegen phishing of datalekken bij derden. 81% van alle datalekken is wachtwoord-gerelateerd.
"Ik heb niets te verbergen" -- Het gaat niet om persoonlijke geheimen maar om bedrijfsdata, klantgegevens en financiele systemen. Een gecompromitteerd account bedreigt het hele bedrijf.
De sleutel is empathie en educatie. Leg uit wat er op het spel staat, toon voorbeelden van bedrijven die gehackt zijn via onbeveiligde accounts en maak de setup zo eenvoudig mogelijk met duidelijke handleidingen.
Passkeys zijn de opvolger van wachtwoorden en traditionele 2FA. Ze combineren de veiligheid van hardware keys met het gemak van biometrische verificatie, zonder dat je iets hoeft te onthouden of over te typen.
Een passkey is een cryptografisch sleutelpaar dat wordt opgeslagen op je apparaat (telefoon, laptop). Bij het inloggen verifieert je apparaat je identiteit via biometrie (vingerafdruk, Face ID) en stuurt een cryptografisch bewijs naar de server. Er is geen wachtwoord, geen code en niets dat onderschept kan worden.
Google, Microsoft en Apple ondersteunen passkeys al volledig. Steeds meer zakelijke platforms volgen:
Advies voor bedrijven: Begin vandaag met authenticator apps en hardware keys. Zodra je leveranciers passkeys volledig ondersteunen, migreer je daarheen. Passkeys zijn de eindbestemming, maar 2FA is de brug die je nu nodig hebt.
Zelfs bedrijven die 2FA implementeren, maken fouten die de beveiliging ondermijnen:
Alleen SMS gebruiken: SMS-codes zijn beter dan niets, maar kwetsbaar voor SIM-swapping en onderschepping. Gebruik minimaal een authenticator app.
Geen backup-methode instellen: Als een medewerker zijn telefoon verliest en er geen backup-codes of tweede key zijn, kan die persoon niet meer werken. Plan hiervoor.
Beheerders uitsluiten van 2FA: Juist admin-accounts zijn het meest waardevol voor aanvallers. Beheerders moeten de strengste 2FA gebruiken (hardware key).
2FA niet afdwingen: Vrijblijvend aanbieden werkt niet. Na zes maanden "vrijwillige" 2FA heeft gemiddeld slechts 30% van de medewerkers het geactiveerd. Afdwingen is noodzakelijk.
Recovery-codes niet veilig bewaren: Backup-codes in een e-maildraft of op een post-it naast het scherm zijn een beveiligingsrisico. Bewaar ze in een wachtwoordmanager of fysieke kluis.
Denken dat 2FA alles oplost: 2FA is essentieel maar niet zaligmakend. Combineer het met sterke wachtwoorden (via een wachtwoordmanager), regelmatige software-updates en security awareness training. MFA is ook een kernonderdeel van een zero trust security model, dat je beveiliging naar een hoger niveau tilt.
Twee-factor authenticatie is de meest impactvolle beveiligingsmaatregel die je kunt nemen. Het blokkeert 99,9% van geautomatiseerde aanvallen, kost weinig tot niets en is binnen een dag bedrijfsbreed uitgerold. De enige goede reden om het niet te doen, bestaat niet.
Begin met een authenticator app voor alle medewerkers. Upgrade naar hardware keys voor beheerders en medewerkers met toegang tot gevoelige systemen. Bereid je voor op passkeys als de volgende stap. En het allerbelangrijkste: dwing het af. Vrijblijvendheid is de vijand van beveiliging.
Wil je weten hoe kwetsbaar jouw bedrijf is en waar de grootste risico's liggen? Neem contact met ons op voor een vrijblijvend beveiligingsgesprek. Of bekijk direct onze web security diensten voor een overzicht van hoe wij jouw organisatie beschermen tegen cyberdreigingen.
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden werkt niet: 60% gebruikt het toch via privé-accounts. Ontdek het 4-Layer Security Model voor veilig AI-gebruik
Private AI kost €500-5000/maand, een data breach gemiddeld €87.000. Ontdek waarom een eigen AI-omgeving essentieel is voor elk bedrijf
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
Dr. Sophie van Dijk is AI Research Lead bij CleverTech en verantwoordelijk voor het volgen van de nieuwste ontwikkelingen in AI-onderzoek. Met een PhD in machine learning en jarenlange ervaring in zowel academisch als toegepast AI-onderzoek, vertaalt Sophie cutting-edge technologie naar praktische toepassingen voor het MKB. Ze schrijft over AI-trends, de toekomst van AI-agents en hoe bedrijven zich kunnen voorbereiden op de volgende golf van AI-innovatie.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
