Wat is tweestapsverificatie en hoe gebruik je het?

"Wachtwoorden zijn niet meer van deze tijd"

Onder die slogan lanceerde Safe on Web in 2020 een campagne om tweestapsverificatie te promoten. Een humoristisch filmpje moest de campagne kracht bijzetten.

Helaas stellen we vast dat tweestapsverificatie vaak toch nog niet door iedereen gebruikt wordt. Vaak omwille van het gebrek aan kennis erover, soms omwille van de extra stap wat genomen moet worden om in te loggen.

Wat is het gevaar?

We nemen als voorbeeld een Gmail account. Wanneer je een Gmail account aanmaakt, dan moet je een wachtwoord kiezen om in te loggen. De combinatie van een gebruikersnaam en een wachtwoord om in te loggen is al decennia lang in gebruik. Daar is op zich niets fout mee. Maar nu iedereen online verschillende accounts heeft en er computerkracht in overvloed is om wachtwoorden te achterhalen, is het "gokken van een wachtwoord" veel gemakkelijker geworden.

"Je data is goud waard"

Deze uitspraak heb je wellicht al eens ergens gelezen. In ruil voor een gratis account verdienen bedrijven bakken geld aan jouw gegevens - maar dat is voer voor een later blog artikel. Maar als je data goud waard is, dan is je identiteit platinum waard. Stel dat iemand je Facebook account "kan overnemen" en onder jouw naam op Facebook actief wordt. Dat is identiteitsdiefstal en dat kan zeer vervelend uitdraaien.

Een nog groter gevaar

Maar stel dat iemand toegang krijgt tot je e-mailaccount waarmee je geregistreerd bent bij allerlei social media platformen, webwinkels en tal van online diensten. Al deze online platformen bieden wellicht een "wachtoord herstel" optie aan om je wachtwoord te resetten wanneer je het vergeten bent. En dat wachtwoord herstel komt aan op je e-mailadres waar een derde toegang toe heeft. Met andere woorden: je volledige online identiteit kan op enkele uurtjes tijd overgenomen worden.

Dat is een horrorverhaal waar je zelf niet de hoofdrol in wit spelen. Zelfs geen bijrol.

Wat is tweestapsverificatie?

Laten we verder gaan met het voorbeeld van Gmail. Je logt daarbij in met je e-mailadres en wachtwoord. Tweestapsverificatie voegt daar een tweede stap aan toe.

• De eerste stap is iets wat je kent: je Gmail wachtwoord.
• De tweede stap is iets wat je hebt: een apparaat om je login te bevestigen.

Hoe gaat dat in zijn werk? Nadat je op Gmail inlogt met je gebruikersnaam en wachtwoord, vraagt Gmail je om met 'je tweede stap' je identiteit te bevestigen. Dat doe je met het toestel wat je als 'tweede stap' geconfigureerd hebt (daar komen we zo dadelijk op terug). Pas nadat je die bevestiging fysiek gedaan hebt, wordt je ingelogd.

Waarmee bevestig je je "tweede stap"?

De eerste stap, je wachtwoord, is dus 'iets wat je kent'. De tweede stap is iets wat je 'hebt'. Een echt fysiek apparaat dus. Wanneer een derde je wachtwoord achterhaald heeft, kan hij bijgevolg nog niet inloggen omdat hij dat apparaat niet heeft. Daar schuilt de kracht van tweestapsverificatie.

Zonder dat je het beseft, heb je al een apparaat om tweestapsverificatie op te configureren: je smartphone.

Op je smartphone kan je bijvoorbeeld de applicatie 'Google Authenticator' of 'Microsoft Authenticator' of 'Authy' installeren. Deze applicaties genereren een cijfercode wat iedere 30 seconden verandert. Het is die cijfercode wat je als 'tweede stap' moet intypen. Een ander fysiek apparaat is bijvoorbeeld een Yubikey wat je op en USB-poort insteekt. In dit artikel gaan we verder in op een smartphone applicatie, wat het eenvoudigste is om mee te beginnen.

Hoe configureer je tweestapsverificatie?

Net zoals je per online dienst een wachtwoord voor je account kiest, configureer je per online dienst je tweestapsverificatie. Het is dus niet iets wat je centraal op een plek configureert. Je doet dit per account en dat voor iedere online dienst waar je een account hebt. Ja, daar ben je wel even zoet mee om dat voor iedere online dienst waar je een account hebt, in te stellen. Kan dat simpeler? Helaas niet. Maar wanneer je dit eenmalig gedaan hebt, dan hoef je het ook enkel nog maar in te stellen voor alle nieuwe accounts wat je aanmaakt. Zet je hier op een namiddag of avond aan met een thermos koffie en een koekje. Of twee.

De configuratie houdt meestal niet meer in dan een QR-code te scannen met je applicatie naar keuze en dit vervolgens te bevestigen met een code wat de applicatie vervolgens genereert.

De meeste online diensten hebben wel een handleiding hoe je tweestapsverificatie bij hun opzet. We linken even naar de meest bekende (lees verder onder de lijst):

• Facebook
• Twitter
• LinkedIn
• Instagram
• Pinterest
• Gmail
• Outlook / Hotmail
• WhatsApp
• Dropbox
• WeTransfer
• Zoom
• Smartschool
• PayPal
• Exact
• Billit
• Teamleader
• ClickUp
• Mailchimp
• Slack
• Mollie
• Stripe
• Plesk

Hoe zit het met overheidswebsites en banken?

Op (Belgische) overheidswebsites moet je inloggen met je Belgische eID. Je eID is iets wat je fysiek hebt. En de eerste stap, wat je kent? Dat is de PIN-code van je eID.

Zo goed als alle overheidswebsites ondersteunen ook reeds itsme. itsme is ontstaan uit een samenwerking van vier Belgische banken (KBC, ING, Belfius en BNP Paribas Fortis). Met itsme bevestig je via de applicatie (wat je hebt) dat je wilt inloggen. Je bevestigt dat met iets wat je kent (de PIN-code van itsme). Maar aangezien itsme iets Belgisch is, zullen international websites dat niet vlug opnemen.

Opgelet met SMS!

Veel online diensten bieden ook aan om SMS als tweestapsverificatie te gebruiken. We raden af om dat te doen. Waarom? Omdat je GSM-nummer overgenomen kan worden. Oke, dat is nog niet op 1-2-3 gedaan, maar het is mogelijk. Wanner een kwaadwillend persoon een winkelbediende van een telecomzaak kan overtuigen dat jouw nummer eigenlijk zijn nummer is, dan zijn er slechts enkele klikken nodig om jouw GSM-nummer aan een andere simkaart te koppelen. De kans is klein, maar zeker en vast bestaande.

Kortom: zoek het gevaar niet op en gebruik SMS niet als tweestapsverificatie.

Zorg voor back-ups

Ongevallen schuilen in kleine hoekjes. Wanneer je smartphone stuk gaat, heb je plots geen applicatie meer om je tweestapsverificatie codes te genereren.

Daarom is het zeer belangrijk om regelmatig een back-up te maken van de gegevens in de applicatie wat je gebruikt om je tweestapsverificatie codes te genereren.

Google authenticator bijvoorbeeld, heeft de optie om een export van al je geregistreerde accounts te maken. Deze export kan je op een andere smartphone vervolgens importeren. Authy heeft de mogelijkheid om de accounts online te synchroniseren naar de Authy cloud.