Alles wat je moet weten over tweestapsverificatie

Het instellen van een tweestapsverificatie wordt op steeds meer apps en websites aangeboden. Maar hoe werkt dit nu precies en wat is het nut ervan?

Er zijn al heel wat maatregelen genomen om de veiligheid van wachtwoorden te verbeteren. Je kent misschien de versleutelde tekenreeks al die verschijnt op veel websites wanneer je je wachtwoord invoert. Ook komt het aantonen dat je geen robot bent door een korte test (Captcha) te voltooien regelmatig voor. Toch weten criminelen alsnog vaak wachtwoorden te hacken en gegevens los te peuteren bij slachtoffers.

Wat is het? 

Tweestapsverificatie klinkt ingewikkeld, maar in feite valt dit reuze mee. Het is een combinatie van het invoeren van een wachtwoord en een tweede beveiligingslaag om aan te tonen dat je bent wie je beweert te zijn. Deze tweede laag ter verificatie kan bestaan uit bijvoorbeeld een vingerafdruk of een code die is aangemaakt door een app, hardware-sleutel of sms.

Sms-controle

Sms-controle is een veelvoorkomende vorm van tweestapsverificatie. Je ontvangt na het invoeren van een wachtwoord op een website een code op je telefoon via een sms en kunt pas weer verder wanneer je de code hebt overgetikt op de website. Het voordeel hiervan is dat het simpel is; je hoeft alleen enkele seconden te wachten tot je de sms hebt ontvangen. De eenvoud hiervan is tegelijk ook de reden waarom sms-verificatie de minst betrouwbare verificatievorm is. Criminelen die hun pijlen op jou gericht hebben, kunnen proberen de sms te onderscheppen. 

In sommige gevallen zijn criminelen er zelfs niet vies van je provider ervan te overtuigen dat ze jou zijn, zodat je telefoonnummer naar hun simkaart kan worden overgezet. Vervolgens kunnen ze de verificatie-sms'jes probleemloos op hun eigen telefoon ontvangen. 

Verificatieapps

Het is veiliger om een tweestapsverificatieapp te gebruiken zoals Google Authenticator of de Authy-app. Je ontvangt bij het gebruik van de app een pushbericht op je telefoon als je inlogt op een website. Zodra je hebt aangegeven dat je akkoord gaat met het inloggen, ben je binnen. Beide apps zijn te installeren via Google Play en App Store. 

Hardware-sleutel

Mocht je de veiligheid en betrouwbaarheid van de apps nog niet waterdicht genoeg vinden, is het aan te raden een afzonderlijke hardware-sleutel aan te schaffen. Deze sleutels zijn een doorn in het oog voor criminelen die achter jouw gegevens proberen te komen. Je hebt immers altijd de hardware nodig om in te loggen, tenzij je nog een andere inlogmethode instelt. Yubikey is een zeer bekende sleutel en wordt het meest gebruikt. Je steekt de sleutel in het apparaat waarmee je wilt inloggen, drukt vervolgens op een knop en Yubikey logt voor je in.  Ook Google biedt hardware-sleutels aan onder de naam Titan Security Keys. Maar let op! Je kunt niet meer inloggen zodra je je sleutel kwijt bent, tenzij er een alternatieve inlogmethode wordt ingesteld. En je raadt het al: die is dan wél weer gemakkelijk te hacken. 

Sommigen ervaren tweestapsverificatie als erg irritant. Om in te kunnen loggen op je desktop of laptop, zul je namelijk in de meeste gevallen een tweede apparaat in de buurt moeten hebben, zoals een smartphone. Toch is het écht de moeite waard. Er zijn de afgelopen jaren veel wachtwoorden en persoonsgegevens gestolen in grote datahacks. Gelukkig zijn er websites zoals HaveIBeenPwned.com waarmee je kunt achterhalen of jouw gegevens gestolen en onrechtmatig gebruikt zijn door een andere partij. 

Bron: Nu.nl