Waarom is ‘two factor authentification’ (2FA) zo belangrijk?

0
136

Waarom is ‘two factor authentification’ (2FA) zo belangrijk?

Gerrit van Rooij
Gerrit van Rooij

Door Gerrit van Rooij
Functionaris Gegevensbescherming HelloFlex

In deze Europese maand van de cyberveiligheid ga ik in dit artikel in op de toegevoegde waarde van een tweede factor (2FA) bij het inloggen op een account.

Accounts die via internet benaderbaar zijn worden vaak met een gebruikersnaam en een wachtwoord beveiligd. Zolang deze geheim zijn kan je er vanuit gaan dat er niemand anders dan jij toegang tot dit account heeft. Maar hoe geheim zijn deze? Cybercriminelen doen er van alles aan om deze te verkrijgen. Bijvoorbeeld door deze aan je te vragen door middel van phishing. Of gewoon door ze kopen of ze te raden.

Emailadressen – en die worden vaak als gebruikersnaam gebruikt – zijn vaak niet moeilijk te raden en als er dan ook een eenvoudig wachtwoord wordt gebruikt is een account zo overgenomen. Om dat te voorkomen is het dus belangrijk een hoge drempel op te werpen. En dat begint met sterke/lange wachtwoorden. Hoe langer en complexer het wachtwoord hoe moeilijker deze is te kraken. Extra karakters toevoegen helpt zeker, maar de lengte heeft meer effect op de beveiliging. Een voordeel van een complex wachtwoord is ook dat je ze niet zo frequent hoeft te wijzigen.

Een wachtwoord moet volgens het Nationale Cyber Security Centrum (NCSC) uit minimaal 10 verschillende karakters bestaan. Om deze beter te kunnen onthouden kun je een wachtzin bedenken bijvoorbeeld eentje die bestaat uit drie of vier achter elkaar geschreven woorden. Maak hierbij ook gebruik van spaties. Maak voor elk account een eigen wachtwoord aan! Wordt het te ingewikkeld voor je, dan kan een wachtwoordmanager behulpzaam zijn.

Vaak is het verstandig extra maatregelen te nemen om accounts te beveiligen. Zeker als er in dat account gevoelige gegevens zijn opgeslagen. En daar komt 2FA om de hoek kijken. Als je daar gebruik van maakt moet een hacker niet alleen je gebruikersnaam en wachtwoord weten maar ook die tweede factor. Zo’n tweede factor kan een SMS-code zijn, maar veiliger is het gebruik van een token of een authenticator app. Het NCSC adviseert tweede factoren zoveel mogelijk te gebruiken. En ook de Consumentenbond beveelt dit aan met name voor wachtwoordmanagers en emailaccounts.

Ook de Autoriteit Persoonsgegevens is van mening dat 2FA een belangrijke bijdrage levert aan de beveiliging van persoonsgegevens. Op grond van de AVG moeten bedrijven passende beveiligingsmaatregelen nemen. Hierbij moeten ze o.a. rekening houden met de (privacy)risico’s. Simpel gezegd, hoe meer gevoelige gegevens je verwerkt des te groter de beveiligingsinspanningen moeten zijn. Verder moet er rekening gehouden worden met de “stand der techniek”. Dit wil zoveel zeggen dat als 2FA techniek breed beschikbaar en makkelijk bruikbaar is deze eerder toegepast moet worden. De toezichthouder heeft na bestudering van de datalekken in 2020 vastgesteld dat veel van de datalekken, die het gevolg waren van een hack of malware, zijn ontstaan omdat er gebruik gemaakt werd van slechts één wachtwoord. Als een tweede factor was gebruikt had de schade vaak beperkt of zelfs voorkomen kunnen worden.

2FA wordt meer en meer toegepast. Voor banken en binnen de zorg is dit al de standaard. Ook grote clouddiensten bieden meer en meer 2FA aan. Soms moet je deze activeren, soms wordt deze standard (“by default”) gebruikt. Google heeft inmiddels ook aangekondigd 2FA standaard in te gaan stellen.

Voor wat betreft salarisadministraties die “in de cloud” worden uitgevoerd is gebruik van zo’n tweede factor zeker aan te bevelen.

Gerrit van Rooij
Functionaris Gegevensbescherming HelloFlex

Lees ook
Privacy by design & by default
Over AVG, informatie aan betrokkenen en privacy statements
Hoe ga je slim om met wachtwoorden?