Wat is tweefactorauthenticatie (2FA)?
- IAM-woordenlijst
- Wat is tweefactorauthenticatie (2FA)?
Tweefactorauthenticatie (2FA) is een beveiligingsproces dat gebruikers twee verschillende authenticatiefactoren biedt om zich te verifiëren. Deze methode is een extra beveiligingslaag om ervoor te zorgen dat de persoon die toegang probeert te krijgen tot een online account ook is wie hij zegt te zijn. De eerste factor is meestal een wachtwoord of persoonlijk identificatienummer (pincode). De tweede factor kan variëren van fysieke objecten (zoals een smartcard of een beveiligingstoken) tot biometrische gegevens (zoals een vingerafdruk of gezichtsherkenning) of een locatiesignaal.
Elementen van tweefactorauthenticatie
Bij tweefactorauthenticatie (2FA) worden meestal twee verschillende authenticatiemethoden gecombineerd uit de volgende categorieën.
Kennisfactor - iets wat u weet
Dit kan een wachtwoord, een pincode of een antwoord op een beveiligingsvraag zijn.
Bezitsfactor - iets wat u hebt
Dit kan een fysiek token zijn, zoals een smartcard of USB-beveiligingssleutel, of een virtueel token dat wordt gegenereerd door een authenticatie-app op de smartphone van een gebruiker. Deze virtuele tokens worden Eenmalige wachtwoorden (OTP's) of Tijdgebonden eenmalige wachtwoorden (TOTP's) genoemd.
Biometrische factor - iets wat u bent
Biometrische gegevens, zoals een vingerafdruk, gezichtsherkenning of irisscan.
Locatiefactor - ergens waar u bent
Uw geografische locatie. Sommige apps en diensten zijn alleen toegankelijk voor gebruikers die zich binnen een specifieke geografische locatie bevinden. Deze specifieke authenticatiefactor wordt vaak gebruikt in zero-trust beveiligingsomgevingen.
Tweefactorauthenticatie (2FA) en multifactorauthenticatie (MFA): wat is het verschil?
Tweefactorauthenticatie (2FA) is een beveiligingsproces dat twee verschillende authenticatiefactoren combineert. Bij multifactorauthenticatie (MFA) worden daarentegen twee of meer authenticatiefactoren gebruikt, wat zorgt voor een hoger beveiligingsniveau. Eenvoudig gezegd is 2FA een soort MFA. MFA kan meer authenticatiestappen vereisen dan 2FA om de beveiliging verder te verbeteren. Lees dit artikel voor meer informatie.
Tweefactorauthenticatie en tweestapsverificatie: wat is het verschil?
Tweefactorauthenticatie (2FA) vereist dat gebruikers twee verschillende soorten authenticatiegegevens verstrekken om hun identiteit te verifiëren. Deze aanmeldgegevens kunnen iets zijn wat de gebruiker weet (zoals een wachtwoord), iets wat de gebruiker bezit (zoals een smartphone) of een biometrische eigenschap van de gebruiker (zoals een vingerafdruk). 2FA vereist dus dat twee volledig aparte beveiligingslagen worden gebruikt, waardoor de beveiliging van het authenticatieproces wordt verbeterd. Dus zelfs als een van de aanmeldgegevens wordt gecompromitteerd, dan is de account alsnog beschermd dankzij de tweede beveiligingslaag.
Omgekeerd is tweestapsverificatie (ook wel tweestapsauthenticatie genoemd) een procedure waarbij gebruikers twee verschillende fasen moeten doorlopen om hun identiteit te bevestigen. Deze fasen vereisen geen verschillende soorten authenticatiegegevens. In de eerste stap wordt bijvoorbeeld een wachtwoord ingevoerd, waarna in de volgende stap een tijdelijke code naar de mobiele telefoon van de gebruiker wordt gestuurd. De vraag naar twee afzonderlijke acties is essentieel bij tweestapsverificatie. Er zijn hierbij geen twee verschillende soorten authenticatiegegevens nodig.
| Kenmerk | Twee-factor-authenticatie (2FA) | Tweestapsverificatie (2SV) |
|---|---|---|
| Definitie | Vereist twee verschillende soorten authenticatiefactoren. | Vereist twee verificatiestappen die dezelfde of verschillende soorten factoren kunnen zijn. |
| Authenticatiefactoren | Gebruikt twee verschillende factoren: iets wat u weet (wachtwoord), iets wat u hebt (beveiligingstoken, telefoon) of iets wat u bent (biometrische verificatie). | Kan twee keer dezelfde soort factor (bijv. wachtwoord gevolgd door een code die via sms wordt verzonden) of verschillende soorten gebruiken. |
| Beveiligingsniveau | Wordt over het algemeen als veiliger gezien omdat er twee verschillende soorten verificatie van de gebruiker nodig zijn, waardoor onbevoegde toegang moeilijker wordt. | Biedt meer beveiliging dan een enkel wachtwoord, maar kan minder veilig zijn dan 2FA als beide stappen gelijkaardige factoren gebruiken. |
Authenticatiemethoden voor 2FA
Er zijn verschillende methoden om tweefactorauthenticatie (2FA) te implementeren. Elke methode wordt gekozen op basis van de behoeften en de beveiligingsvereisten van de gebruiker. Hieronder vindt u enkele veelgebruikte methoden van 2FA.
1. Authenticatie via sms
Bij authenticatie via sms wordt een tijdelijke authenticatiecode verzonden van de server naar de mobiele telefoon van de gebruiker wanneer deze probeert in te loggen. De gebruiker met deze authenticatiecode invoeren tijdens het inloggen. Het voordeel is dat deze methode eenvoudig kan worden geïmplementeerd aangezien de meeste gebruikers een mobiele telefoon hebben. Er zijn echter beveiligingsrisico's zoals het onderscheppen van sms-berichten en sim-swapping. Deze methode is daarom niet raadzaam als er andere opties zijn.
2. Authenticatie-apps
Het gebruik van authenticatie-apps (bijv. bepaalde wachtwoordbeheerders, Google Authenticator en Authy) voor 2FA is veiliger dan authenticatie via sms. Op deze manier genereren gebruikers een voorlopige authenticatiecode met een authenticatie-app op hun smartphone. Deze code wordt bij het inloggen ingevoerd. De authenticatiecode wordt elke paar seconden gewijzigd, wat zorgt voor een hogere beveiliging. Bovendien is er geen internetverbinding nodig, dus codes kunnen ook in offline omgevingen worden gebruikt.
3. Fysieke beveiligingssleutels
Met fysieke beveiligingssleutels (bijv. YubiKey) kunnen gebruikers zich verifiëren door een specifiek USB-apparaat of NFC-apparaat aan te sluiten op hun computer of smartphone. Deze methode is zeer sterk tegen phishingaanvallen. Aangezien de beveiligingssleutel een fysiek bezit is, is het risico op onbevoegde toegang effectief kleiner, maar er bestaat wel het risico om de sleutel te verliezen.
4. Biometrische authenticatie
Bij biometrische authenticatie worden biometrische gegevens van de gebruiker gebruikt voor de verificatie, zoals vingerafdrukken, gezichtsherkenning of irisherkenning. Deze methode is erg handig voor gebruikers en biedt een hoge beveiliging. Biometrische authenticatie wordt ondersteund op vele mobiele apparaten en op sommige van de nieuwste computers. Aangezien biometrische gegevens niet kunnen worden gewijzigd, moet ook rekening worden gehouden met het risico van gegevenslekken.
