Wil je tweestapsverificatie instellen? Die vraag wordt door steeds meer apps en websites gesteld. Maar wat is het, en waarom zou je het doen?

We bewaken al jaren onze computersystemen met wachtwoorden. Om het stelen van die wachtwoorden moeilijker te maken, werd er al heel wat bedacht. Zo worden wachtwoorden door de meeste websites standaard omgezet naar een versleutelde tekenreeks. Toch komen wachtwoorden regelmatig in handen van criminelen. Bijvoorbeeld door phishing, een vorm van misleiding waarmee geprobeerd wordt om gegevens los te peuteren bij slachtoffers.

In feite betekent tweestapsverificatie gewoon ‘we herkennen je aan een combinatie van iets wat je weet (bijvoorbeeld je wachtwoord), iets dat je hebt (bijvoorbeeld je telefoon) en/of iets dat je bent (bijvoorbeeld je vingerafdruk of gezicht)’. In de praktijk gaat het vaak om een wachtwoord en een code die net is aangemaakt door een app, hardwaresleutel of sms.

Zo werkt tweestapsverificatie via sms

Sms-verificatie is de simpelste en tegelijkertijd de minst betrouwbare vorm van tweestapsverificatie. Je logt in bij een website met je wachtwoord, en de website stuurt een bericht naar je telefoon met een code. Pas wanneer je de code overtikt, kan je verder.

Dit heeft als voordeel dat het simpel is. Je hoeft immers alleen maar te wachten tot je de sms binnenkrijgt. De code wordt ergens anders aangemaakt.

Dat is tegelijk ook het probleem met deze methode, want als criminelen het specifiek op jou gemunt hebben, dan kunnen ze proberen de sms te onderscheppen. De code is maar kort geldig, maar als ze er op tijd bij zijn, kunnen ze dus toch inloggen op je account.

In sommige gevallen gaan criminelen zelfs verder: ze overtuigen je provider dat ze jou zijn, en vragen om je nummer naar hun simkaart over te zetten. Ze kunnen vervolgens zelf je verificatie-sms'jes ontvangen.

Verificatieapps: een beter idee

Daarom is het veiliger om een tweestapsverificatieapp te gebruiken, zoals Googles Authenticator of de Authy-app. Je hebt deze in twee smaken, namelijk one-tap en zelf-invoer.

One-pushapps zoals die van Lastpass werken alleen met websites die het onderliggende protocol ondersteunen. Dat zijn vaak grotere websites als Amazon en Facebook.

Deze apps sturen een pushbericht naar je smartphone als je inlogt op een website. In het bericht wordt gevraagd of je akkoord bent met het inloggen. Klik op ‘accepteer’, en je bent binnen.

Meestal zijn deze apps ook voorzien van een ‘gewone’ tweestapsverificatiefunctie, die je met de hand moet invullen. Deze werkt in principe met alle websites die deze verificatiemethode aanbieden.

Verreweg de meestgebruikte app is Google Authenticator. Alternatieven zijn Authy, Password Checkup en Microsoft authenticator.

Als je tweestapsverificatie aanzet op een website, dan geeft deze je een QR-code. De QR-code scan je met de app, die vervolgens een sleutel in je systeem plaatst.

Log je daarna in, dan vraagt de website je - na je wachtwoord - om een code. Voor die code moet je weer terug naar de app, die elke dertig seconden een nieuwe code aanmaakt op basis van de sleutel.

Die code voer je met de hand in op de website. De website checkt of de code op dat moment klopt. Heeft je app nog geen nieuwe code aangemaakt, dan gaat de website akkoord en kan je inloggen.

Het kan ook met een hardwaresleutel

Dit soort apps zijn behoorlijk veilig. Maar wil je echt helemaal zeker zijn dat je code niet onderschept kan worden, dan zul je een afzonderlijke hardwaresleutel moeten aanschaffen.

Deze sleutels zijn bijzonder moeilijk te hacken en ook met phishing zal een crimineel niet ver komen. Je hebt immers altijd de hardware nodig om in te loggen, tenzij je nog een andere inlogmethode instelt.

Daarin zit dan ook de zwakte van dit systeem. Ben je je sleutel kwijt, dan kan je niet meer inloggen, tenzij je een alternatieve inlogmethode instelt. En die is dan wél weer gemakkelijk te hacken.

Yubikey is de meestgebruikte vorm van hardwaretweestapsverificatie. Deze steek je in het apparaat waarmee je wil inloggen. Daarna druk je op een knop, en logt Yubikey je in. Ook Google biedt inmiddels hardwaresleutels aan onder de naam Titan Security Keys.

Maar waarom zou ik dit doen?

Tweestapsverificatie kan voor sommige gebruikers erg irritant zijn. Wil je op je desktop- of laptopcomputer ergens inloggen, dan zul je vaak een tweede apparaat in de buurt moeten hebben. Steeds meer apps bieden wel een mogelijkheid om voor langere tijd één apparaat te verifiëren, zodat dat niet regelmatig opnieuw hoeft te gebeuren.

Toch is het zeker de moeite waard. De afgelopen jaren werden regelmatig wachtwoorden gestolen in grote datahacks. Via websites als HaveIBeenPwned.com kun je achterhalen of jouw gegevens ergens op straat liggen.

Met tweestapsverificatie vermijd je dat een hacker eenvoudig je account binnendringt door zo'n gestolen wachtwoord te gebruiken. Hij of zij moet immers eerst kunnen bewijzen écht jou te zijn. En tot nu toe zijn er nog geen goede manieren gevonden om massaal tweestapsverificatiecodes te stelen.