Wat is tweefactorauthenticatie?

Tweefactorauthenticatie (2FA) en tweestapsverificatie zijn termen die vaak door elkaar heen worden gebruikt. Technisch gezien verschillen ze van elkaar, maar beide bieden de mogelijkheid om het gebruik van digitale systemen veiliger te maken.

Hoe? Door een tweede veiligheidslaag toe te voegen aan de toegangsvereisten van een systeem of applicatie. Zie het als een kluisdeur met meerdere sloten. Eerst een pincode en daarna bijvoorbeeld een vingerafdruk. Of eerst een inlogcode en daarna een pincode die je via je smartphone ontvangt.

Voor jou als ondernemer is het vooral van belang om te weten dat deze technieken bestaan en wanneer ze relevant zijn voor je.

 

Toegang tot digitale systemen

Meestal gebruik je een gebruikersnaam met wachtwoord om toegang te krijgen tot een digitaal systeem. Deze combinatie geeft bepaalde mate van veiligheid. Zeker als je er voor zorgt dat je sterke wachtwoorden gebruikt. Vaak worden wachtwoorden hergebruikt voor verschillende systemen. Dat levert een risico op. Want hoe sterk je wachtwoord ook is, als het in handen valt van een onbevoegde zijn meerdere systemen opeens kwetsbaar.

Authenticatie

Er zijn situaties waarin je als ondernemer een extra controle wil inbouwen. Bijvoorbeeld bij toegang tot systemen die voor jouw bedrijfsvoering essentieel zijn. Meestal zijn je administratie, ordersysteem of back-up bestanden de moeite waard om goed te beschermen. Je wil zeker weten dat degene die toegang vraagt, ook daadwerkelijk is wie hij is (authenticatie).

Meer zekerheid hierover krijg je door een tweefactorauthenticatie. Je kunt iemand legitimeren:

  • door te vragen wat hij weet; een code of wachtwoord;
  • door te controleren wat hij heeft: toegang tot een specifiek telefoonnummer of e-mailadres;
  • door te checken wie hij is: een uniek biometrisch kenmerk zoals een vingerafdruk of gezicht.

Bij tweefactorauthenticatie vraag je bijvoorbeeld als tweede stap bij het inloggen om een persoonseigen kenmerk of je gebruikt een ander kanaal waarvan je weet dat de bevoegde dat heeft. Zo vragen banken voor toegang tot je online rekening bijvoorbeeld om een inlogcode en een per smartphone app of ‘identifier’ ontvangen nummerieke code. Dat maakt toegang voor onbevoegden een stuk moeilijker.

Het belang van het systeem rechtvaardigt de extra toegangseisen die je er aan stelt. Welke informatie of applicatie is cruciaal voor jouw bedrijf? Hoe gemakkelijk is het om toegang te krijgen als inlog- of pincodes in handen van onbevoegden zijn gevallen? Waar is extra bescherming met tweefactorauthenticatie of tweestapsverificatie gewenst?

Kies de juiste tweefactorauthenticatie

In het geval van internetbankieren heb je als ondernemer automatisch te maken met een aanbieder die bepaalt dat er een tweede factor of tweede stap nodig is. Bij veelgebruikte diensten als Google, Facebook of LinkedIN wordt de mogelijkheid van tweefactorauthenticatie aangeboden of verplicht gesteld. Gebruik het als dat in het belang van je bedrijf is.

Andere zaken die je zou kunnen beschermen met een tweede factor, zijn je gebruikersprofiel op je smartphone, betaalopties zoals Paypal en aanschafmogelijkheden in de Apple store of Google Play. In al die gevallen heb je de mogelijkheid om een extra beveiliging aan te zetten. In sommige gevallen zelfs met een bevestigingsbericht als er een inlog heeft plaatsgevonden. Op deze manier zorg je ervoor dat alleen jij toegang hebt tot de informatie die voor jou belangrijk is.

Heb je een bedrijfsnetwerk waar je medewerkers vanaf thuis of onderweg in moeten kunnen?

Dan zal tweefactorauthenticatie geen overbodige luxe zijn. Authenticatiemiddelen verschillen in sterkte en daarmee in de weerstand die zij bieden aan onbevoegden. Een per e-mail verstuurde code is gemakkelijker te onderscheppen dan een vingerafdruk. Maar een biometrische token als een vingerafdruk stelt weer hogere eisen aan de techniek en budget en is misschien niet praktisch. Wees je er daarnaast van bewust dat biometrische gegevens als bijzondere persoonsgegevens worden gezien binnen de Algemene verordening gegevensbescherming (AVG)).
Daarom raden we aan om op basis van een risicoanalyse vast te stellen welk authenticatiemiddel het beste bij de organisatie en dienstverlening past. Als het belangrijk is, overleg dan met een leverancier welke methode het beste past.

Stappenplan voor het aanzetten van een tweedefactorauthenticatie

  1. Bedenk welke informatie cruciaal is voor jouw bedrijf.
  2. Maak een plan hoe je toegang tot die informatie wil beschermen.
  3. Weeg de zwaarte van het aanzetten van een tweede factor af tegen gebruikersgemak.
  4. Kies zelf een methode of kies in overleg met je (IT) leverancier.
  5. Informeer je medewerkers (indien van toepassing).
  6. Zet je tweefactorauthenticatie of tweestapsverificatie aan.

Meteen aan de slag? Maak snel een risicoanalyse van je belangrijkste digitale bedrijfsonderdelen.