Verweerde hand die een sleutel in een modern deurslot steekt, met een stalen grendel op de achtergrond in een kantoorgang.

Multi-factor authenticatie: waarom en hoe?

Multi-factor authenticatie (MFA) is een beveiligingsmethode waarbij je minimaal twee verschillende verificatiestappen doorloopt om toegang te krijgen tot een account of systeem. Alleen een wachtwoord is niet langer voldoende: aanvallers kunnen wachtwoorden stelen, raden of kopen zonder dat jij het merkt. MFA voegt een extra laag toe die een aanvaller tegenhoudt, zelfs als het wachtwoord al bekend is. In dit artikel beantwoorden we de meest gestelde vragen over hoe MFA werkt, welke vormen er zijn en hoe je het succesvol invoert in je organisatie.

Hoe werkt multi-factor authenticatie technisch gezien?

Multi-factor authenticatie werkt door twee of meer onafhankelijke verificatiefactoren te combineren uit verschillende categorieën: iets wat je weet, iets wat je hebt, en iets wat je bent. Pas als beide factoren correct zijn geverifieerd, krijgt een gebruiker toegang. Het systeem controleert elke factor afzonderlijk via een authenticatieserver of identiteitsprovider.

In de praktijk verloopt het proces als volgt. Een gebruiker voert eerst het wachtwoord in, de eerste factor. Daarna ontvangt diezelfde gebruiker een tijdelijke code via een authenticator-app, sms of hardwaretoken, de tweede factor. Beide stappen moeten slagen voordat toegang wordt verleend.

De kracht van dit systeem zit in de onafhankelijkheid van de factoren. Een aanvaller die het wachtwoord heeft bemachtigd, heeft nog steeds geen toegang tot het fysieke apparaat of de biometrische eigenschap die de tweede factor vormt. Authenticator-apps zoals Google Authenticator of Microsoft Authenticator genereren codes op basis van een gedeeld geheim en een tijdstempel, zodat elke code slechts dertig seconden geldig is. Deze tijdgebonden eenmalige wachtwoorden worden TOTP-codes genoemd en zijn een van de meest gebruikte vormen van MFA.

Wat zijn de meest gebruikte vormen van MFA?

De meest gebruikte vormen van MFA zijn sms-codes, authenticator-apps, hardwaretokens, pushberichten en biometrie. Elke methode verschilt in gebruiksgemak en beveiligingsniveau. Voor de meeste organisaties bieden authenticator-apps de beste balans tussen veiligheid en praktische inzetbaarheid.

  • Sms-codes (OTP via sms): Een eenmalige code wordt naar het telefoonnummer van de gebruiker gestuurd. Eenvoudig in gebruik, maar vatbaar voor sim-swapping en onderschepping.
  • Authenticator-apps (TOTP): Apps zoals Microsoft Authenticator of Authy genereren tijdgebonden codes lokaal op het apparaat. Veiliger dan sms en breed ondersteund.
  • Hardwaretokens (FIDO2/WebAuthn): Fysieke apparaten zoals een YubiKey die je in de USB-poort steekt of via NFC gebruikt. Bieden de hoogste beveiliging en zijn phishing-resistent.
  • Pushberichten: De gebruiker ontvangt een melding op een vertrouwd apparaat en keurt de inlogpoging goed of af. Snel en gebruiksvriendelijk, maar kwetsbaar voor MFA-fatigue-aanvallen waarbij aanvallers herhaaldelijk meldingen sturen.
  • Biometrie: Vingerafdruk, gezichtsherkenning of irisscanning. Wordt vaak als tweede factor ingezet op mobiele apparaten in combinatie met een wachtwoord.

Voor organisaties die werken met gevoelige systemen of onder regelgeving zoals NIS2-verplichtingen vallen, zijn phishing-resistente methoden zoals FIDO2-tokens de aanbevolen keuze. Voor de meeste medewerkers in een kantooromgeving is een authenticator-app een praktische en veilige oplossing.

Waarom is een sterk wachtwoord alleen niet meer voldoende?

Een sterk wachtwoord alleen is niet meer voldoende omdat wachtwoorden op talloze manieren kunnen worden gestolen zonder dat de gebruiker iets fout doet. Datalekken bij externe diensten, phishing-aanvallen, keyloggers en credential stuffing maken het mogelijk dat zelfs complexe wachtwoorden in handen van aanvallers vallen. MFA is de belangrijkste aanvullende maatregel om accounts te beschermen wanneer een wachtwoord gecompromitteerd is.

Wachtwoorden hebben een fundamentele zwakte: ze zijn statische kennis. Zodra een aanvaller een wachtwoord heeft, heeft hij onbeperkte toegang totdat het wachtwoord wordt gewijzigd. En gebruikers weten vaak niet dat hun wachtwoord al lang op straat ligt. Op het dark web worden miljarden gestolen inloggegevens verhandeld als gevolg van datalekken bij grote platforms.

Bovendien hergebruiken veel mensen wachtwoorden op meerdere diensten. Een datalek bij een relatief onschuldige webshop kan daardoor toegang geven tot bedrijfssystemen. MFA doorbreekt deze keten: zelfs als een aanvaller beschikt over het juiste wachtwoord, stuit hij op een tweede verificatiestap waarvoor hij het fysieke apparaat of de biometrische eigenschap van de gebruiker nodig heeft.

Wanneer moet een organisatie MFA verplicht stellen?

Een organisatie moet MFA minimaal verplicht stellen voor alle accounts met toegang tot gevoelige systemen, bedrijfsdata, e-mail en cloudomgevingen. In de praktijk betekent dit dat MFA voor vrijwel alle medewerkers van toepassing is. Organisaties die onder NIS2 of andere regelgeving vallen, zijn wettelijk verplicht MFA als onderdeel van hun toegangsbeheer te implementeren.

Als prioritering handig is, begin dan met deze situaties:

  1. Beheerdersaccounts en privileged access: Accounts met verhoogde rechten zijn het meest aantrekkelijk voor aanvallers. MFA is hier absoluut noodzakelijk.
  2. Remote toegang en VPN: Medewerkers die van buiten het kantoornetwerk inloggen, brengen extra risico met zich mee. MFA is hier een minimumvereiste.
  3. Clouddiensten en SaaS-applicaties: Microsoft 365, Google Workspace en vergelijkbare platforms zijn populaire doelwitten. Activeer MFA via de beheerdersinstellingen van het platform.
  4. E-mail: Toegang tot zakelijke e-mail geeft aanvallers een startpunt voor verdere aanvallen en social engineering. MFA op e-mail is een basismaatregel.
  5. Alle overige medewerkers: Na de bovenstaande groepen is een organisatiebrede uitrol de logische vervolgstap.

De NIS2-richtlijn noemt het gebruik van multi-factorauthenticatie expliciet als een van de minimummaatregelen die organisaties moeten treffen in het kader van hun zorgplicht. Wachten tot er een incident plaatsvindt is geen optie.

Hoe implementeer je MFA zonder weerstand van medewerkers?

MFA invoeren zonder weerstand lukt het best door te starten met communicatie en uitleg, een gebruiksvriendelijke methode te kiezen, en de uitrol gefaseerd te doen. Medewerkers verzetten zich zelden tegen MFA zelf, maar wel tegen onduidelijkheid, extra gedoe en het gevoel dat hun iets wordt opgedrongen zonder uitleg.

Praktische stappen voor een soepele implementatie:

  • Communiceer het waarom: Leg uit wat MFA doet en waarom het noodzakelijk is. Medewerkers die begrijpen wat ze beschermen, zijn bereidwilliger om mee te werken.
  • Kies voor gebruiksvriendelijke tools: Een authenticator-app met pushberichten heeft minder wrijving dan het handmatig overtypen van codes. Maak het zo eenvoudig mogelijk.
  • Bied ondersteuning bij de installatie: Organiseer een korte sessie of stapsgewijze handleiding. Veel weerstand ontstaat doordat mensen niet weten hoe ze de app moeten instellen.
  • Faseer de uitrol: Begin met een pilotgroep, verzamel feedback, en rol daarna organisatiebreed uit. Zo kun je knelpunten vroeg opsporen.
  • Stel duidelijke deadlines: Geef medewerkers de tijd om te wennen, maar maak MFA na de overgangsperiode verplicht. Vrijblijvendheid leidt tot achterblijvers.

Weerstand neemt snel af zodra medewerkers merken dat het inloggen met MFA slechts een paar seconden extra kost. Het helpt ook om MFA te framen als een maatregel die hen persoonlijk beschermt, niet alleen de organisatie.

Biedt MFA ook bescherming tegen phishing?

Standaard MFA biedt gedeeltelijke bescherming tegen phishing, maar is niet volledig phishing-resistent. Aanvallers kunnen via geavanceerde phishing-technieken zoals real-time proxy-aanvallen zowel het wachtwoord als de MFA-code onderscheppen. Alleen phishing-resistente MFA-methoden zoals FIDO2-hardwaretokens of passkeys bieden volledige bescherming tegen dit type aanval.

Bij een klassieke phishing-aanval lokt een aanvaller de gebruiker naar een nepwebsite die er identiek uitziet als de echte dienst. De gebruiker voert het wachtwoord in en de aanvaller stuurt dit direct door naar de echte site. Als de gebruiker vervolgens ook de MFA-code invult op de nepsite, heeft de aanvaller binnen dertig seconden toegang tot het echte account. Dit type aanval wordt een adversary-in-the-middle-aanval genoemd.

FIDO2-tokens en passkeys lossen dit probleem op doordat de authenticatie cryptografisch is gebonden aan het exacte domein van de website. Een nepdomein levert nooit een geldige authenticatie op, ongeacht wat de gebruiker invult. Dit maakt deze methoden fundamenteel veiliger dan op codes gebaseerde MFA.

Voor de meeste organisaties geldt: elke vorm van MFA is beter dan geen MFA. Maar voor systemen met hoge risico’s, zoals financieel beheer, beheerderstoegang of verwerking van persoonsgegevens, is investeren in phishing-resistente authenticatie de verstandige keuze. Een gerichte pentest kan inzicht geven in hoe kwetsbaar de huidige inloginfrastructuur werkelijk is.

Hoe Q-Cyber helpt met multi-factor authenticatie

Q-Cyber helpt organisaties bij het opzetten en verankeren van sterke authenticatieoplossingen als onderdeel van een bredere cybersecuritystrategie. We combineren technische kennis met beleidsmatige expertise, zodat MFA niet alleen technisch correct wordt ingericht maar ook organisatorisch wordt geborgd.

Wat we concreet voor jouw organisatie kunnen doen:

  • Beoordelen welke MFA-methoden passen bij jouw risicoprofiel en werkprocessen
  • Begeleiden bij de technische implementatie van MFA in cloudomgevingen zoals Microsoft 365 of Google Workspace
  • Schrijven van toegangsbeleid en MFA-procedures die aansluiten op NIS2-vereisten
  • Verzorgen van bewustwordingstrainingen zodat medewerkers begrijpen waarom MFA noodzakelijk is
  • Uitvoeren van phishing-simulaties via Q-Cyber Scans om te testen hoe weerbaar medewerkers zijn
  • Ondersteunen via Continuous-Q, onze virtuele CISO-dienst, voor doorlopend advies en toezicht op toegangsbeveiliging

We werken onafhankelijk, zonder binding aan softwarepartijen, en geven altijd pragmatisch advies dat aansluit op jouw situatie. Wil je weten waar jouw organisatie nu staat en welke stappen als eerste gezet moeten worden? Neem contact met ons op voor een vrijblijvend gesprek.