Direct antwoord

Tweefactorauthenticatie (2FA) voegt een tweede verificatiestap toe naast het wachtwoord — meestal een tijdelijke code via een authenticator-app. Dit beschermt tegen gestolen wachtwoorden, phishing en brute-force aanvallen. Bij Shareboard BI is 2FA verplicht voor alle gebruikers.

Waarom wachtwoorden alleen niet genoeg zijn

Wachtwoorden zijn de zwakste schakel in digitale beveiliging. Ondanks jarenlange waarschuwingen blijkt uit onderzoek:

  • 81% van alle datalekken wordt veroorzaakt door gestolen of zwakke wachtwoorden (Verizon DBIR 2024)
  • De meest gebruikte wachtwoorden wereldwijd zijn nog steeds “123456” en “password”
  • 60% van mensen hergebruikt wachtwoorden voor meerdere diensten

Wanneer je bedrijfsrapporten deelt met externen via een wachtwoord-alleen-systeem, is het een kwestie van tijd voordat een wachtwoord uitlekt — via phishing, een datalek bij een andere dienst, of simpelweg een post-it op een bureau.

Wat is tweefactorauthenticatie?

2FA voegt een tweede verificatiestap toe aan het inlogproces. De twee factoren komen uit verschillende categorieën:

  1. Iets wat je weet — een wachtwoord of pincode
  2. Iets wat je hebt — een telefoon met authenticator-app, een hardware key
  3. Iets wat je bent — een vingerafdruk of gezichtsherkenning

Bij de meest gangbare implementatie (TOTP) voert de gebruiker na het wachtwoord een 6-cijferige code in die elke 30 seconden verandert. Deze code wordt gegenereerd door een authenticator-app op de telefoon van de gebruiker.

Hoe TOTP werkt

TOTP staat voor Time-based One-Time Password. Het principe:

  1. Bij het instellen van 2FA wordt een geheime sleutel gedeeld tussen de server en de authenticator-app (via QR-code)
  2. Zowel de server als de app berekenen op basis van die sleutel + de huidige tijd een 6-cijferige code
  3. De code verandert elke 30 seconden
  4. Bij het inloggen vergelijkt de server de ingevoerde code met de verwachte code

Omdat de berekening aan beide kanten plaatsvindt, is er geen internetverbinding nodig op het moment van inloggen — de app werkt volledig offline.

Waarom 2FA verplicht en niet optioneel?

Bij Shareboard BI is 2FA niet optioneel maar verplicht voor alle gebruikers. De reden is simpel: optionele beveiliging wordt niet gebruikt.

Onderzoek van Google (2019) toonde aan dat minder dan 10% van Gmail-gebruikers 2FA had ingeschakeld, ondanks jarenlange aansporingen. Bij zakelijke diensten ligt dat percentage hoger, maar nog steeds ver onder de 100%.

Wanneer je als organisatie verantwoordelijk bent voor de data die je deelt met externen, kun je die verantwoordelijkheid niet delegeren aan de beveiligingshygiëne van individuele gebruikers.

De drie aanvalsvectoren die 2FA blokkeert

1. Phishing

Een aanvaller stuurt een overtuigende e-mail die de gebruiker naar een nep-inlogpagina leidt. Het wachtwoord wordt onderschept. Met 2FA is het gestolen wachtwoord alleen niet voldoende om in te loggen.

2. Credential stuffing

Aanvallers gebruiken wachtwoorden uit eerdere datalekken en proberen deze op andere diensten. Omdat mensen wachtwoorden hergebruiken, is dit verrassend effectief. 2FA maakt deze aanval nutteloos.

3. Brute-force

Automatische tools proberen duizenden wachtwoordcombinaties per minuut. Zelfs als het wachtwoord wordt geraden, is de 2FA-code niet te voorspellen.

2FA in de praktijk bij Shareboard BI

Het instellen van 2FA bij Shareboard BI duurt minder dan een minuut:

  1. De gebruiker logt voor het eerst in met e-mail en wachtwoord
  2. Shareboard BI toont een QR-code
  3. De gebruiker scant de QR-code met een authenticator-app
  4. De app genereert direct de eerste code
  5. De gebruiker voert de code in ter bevestiging

Bij elke volgende login opent de gebruiker de authenticator-app, leest de 6-cijferige code af en voert deze in. Totale extra tijd: 5–10 seconden.

Veelgehoorde bezwaren — en waarom ze niet standhouden

“Mijn klanten vinden het gedoe.” De eerste keer kost het 60 seconden. Daarna 5 seconden per login. De meeste gebruikers zijn inmiddels gewend aan 2FA via hun bank, e-mail of overheidsportalen.

“Niet iedereen heeft een smartphone.” Authenticator-apps bestaan ook voor desktop (Authy, 1Password). In uitzonderlijke gevallen kan een beheerder alternatieve verificatie inrichten.

“We delen geen gevoelige data.” Als de data niet gevoelig is, waarom zit het dan achter een login? Zodra je besluit data af te schermen, is het de moeite waard om dat goed te doen.

Wil je zien hoe 2FA werkt bij Shareboard BI? Probeer het zelf of lees meer over beveiliging en AVG-compliance.

Veelgestelde vragen

Wat is het verschil tussen 2FA en MFA?

2FA (tweefactorauthenticatie) gebruikt exact twee factoren. MFA (multifactorauthenticatie) gebruikt twee of meer factoren. In de praktijk worden de termen vaak door elkaar gebruikt. Shareboard BI gebruikt 2FA met een wachtwoord (iets wat je weet) plus een TOTP-code (iets wat je hebt).

Welke authenticator-apps werken met Shareboard BI?

Elke app die TOTP (Time-based One-Time Password) ondersteunt, werkt met Shareboard BI. Populaire opties zijn Google Authenticator, Microsoft Authenticator, Authy en 1Password.

Wat als een gebruiker zijn telefoon kwijtraakt?

Als beheerder kun je de 2FA van een gebruiker resetten via de beheeromgeving van Shareboard BI. De gebruiker stelt vervolgens 2FA opnieuw in bij de volgende login.

Is 2FA verplicht bij Shareboard BI?

Ja. Alle gebruikers — zowel beheerders als externe gebruikers — moeten 2FA instellen bij hun eerste login. Dit is een bewuste ontwerpkeuze: optionele beveiliging wordt te vaak overgeslagen.

Vertraagt 2FA het inlogproces merkbaar?

Nauwelijks. Het invoeren van een 6-cijferige code kost 5-10 seconden extra per login. De meeste authenticator-apps tonen de code direct na het openen — er is geen internetverbinding nodig.