Tweestapsverificatie is een van de beste manieren om een account te beveiligen tegen ongewenste indringers. Je kent vrijwel zeker de methode via sms, maar er zijn meer soorten. We nemen ze in dit artikel eens onder de loep. Want accounts beveiligen is nu eenmaal nodig.

Tweestapsverificatie of tweefactorauthenticatie (afgekort 2FA), is een ingewikkelde term voor het gebruik van een extra wachtwoord of ‘token’ boven op je gebruikersnaam en wachtwoord. Die extra code ontvang je via een sms, app of een speciaal stuk hardware. Het is een bijzonder goede beveiligingsmethode voor de meeste accounts waar je moet inloggen.

In tegenstelling tot een gebruikersnaam en wachtwoord is een 2FA-token (meestal) tijdelijk. Er zijn daarom geen databases vol met inlogcodes. Aanvallers moeten ze direct weten te onderscheppen, anders verlopen ze. Bovendien is het lastig zowel een wachtwoord als 2FA-token te achterhalen. Niet onmogelijk, maar doorgaans te moeilijk voor een grootschalige aanval. Dat maakt tweestapsverificatie juist zo veilig.

Het idee om een extra authenticatiestap toe te voegen aan het inlogproces is verre van nieuw, en een explosief groeiend aantal online diensten biedt wel een of andere vorm van 2FA aan. En hoewel ook tweestapsverificatie niet onfeilbaar is, is het voor de doorsnee gebruiker een erg goede methode om accounts te beveiligen. Toch blijft het gebruik ervan flink achter.

Grote spelers zoals Google proberen het proces al jaren makkelijker en toegankelijker te maken, maar zelfs dan willen gebruikers nog niet aan de 2FA. In januari vertelde Google dat minder dan tien procent van de 1,4 miljard gebruikers tweestapsverificatie had ingesteld op zijn of haar account.

One-time-passwords

Bij tweestapsverificatie wordt gebruikgemaakt van ‘One Time Passwords’, OTP’s. Daar zijn twee varianten van: HOTP (HMAC-based One Time Passwords, waarbij HMAC weer staat voor Hash-based Message Authentication Code) en TOTP (Time-based One-Time Passwords). HOTP’s zijn wachtwoorden die eenmalig worden aangemaakt en langer blijven bestaan. Deze methode wordt gebruikt voor wachtwoorden die per sms of e-mail worden verstuurd, of die met een fysieke hardwaretoken zoals een Yubikey worden aangemaakt.

De methode heeft als voordeel dat je het langer kunt gebruiken, wat weer handig is als je lang moet wachten voor een sms binnen is. TOTP’s (Time-based One Time Passwords) zijn wachtwoorden die een beperkte tijd beschikbaar zijn. Dat is de standaard die gebruikt wordt in apps zoals Google Authenticator. Die wachtwoorden zijn slechts beperkt te gebruiken, wat ze een stuk veiliger maakt tegen ‘brute force’-aanvallen.

©PXimport

Een one-time-password wordt gegenereerd op basis van een unieke privésleutel die je krijgt als je 2FA instelt. Meestal is dat in de vorm van een QR-code die je scant, maar je kunt de ‘key’ ook vaak handmatig opgeven. Die privésleutel wordt vervolgens via een algoritme omgezet in een unieke ‘hashcode’. Bij een Time-Based OTP is dat algoritme gebaseerd op een tijdstempel van de server waar je verbinding mee maakt. Deze ‘time stamp’ wordt gemaakt op het moment dat je 2FA instelt.

Verschillende authenticatiemethodes

Er zijn inmiddels veel verschillende manieren om tweestapsverificatie te gebruiken, allemaal met hun eigen voor- en nadelen. De bekendste manier is waarschijnlijk sms, maar dat is gelijk ook een vreemde eend in de bijt. Sms is handig, maar ook onveilig om meerdere redenen – daarover later meer.

Je kunt authenticatiecodes ook via e-mail ontvangen, maar ook dat is niet erg veilig. Je brengt 2FA dan namelijk terug naar een zogeheten ‘single point of failure’, waarbij iemand met toegang tot je e-mailaccount gelijk toegang tot andere accounts heeft. In dat geval voegt 2FA niets toe. Toch is het bij diensten als Firefox Sync alleen nog mogelijk e-mailverificatie te gebruiken.

Een populaire én relatief veilige methode is om een app te gebruiken. Google heeft met Authenticator een van de bekendste, maar er zijn er meer. Microsoft heeft Microsoft Authenticator, en hoewel die veel minder gedownload is, is het aan te raden deze dienst te gebruiken als je een Windows Phone hebt.

Als je vaak van telefoon wisselt kan het vervelend zijn om alle codes opnieuw te scannen, en in dat geval is Authy de beste optie: die app kan de privésleutels opslaan in de cloud, zodat je de hashcode die daarop gebaseerd wordt ook op een nieuwe telefoon kunt instellen. Maar ook daar zit natuurlijk weer een risico aan: je moet je Authy-account dan wel erg veilig houden.

De veiligste (maar ook duurste) manier om tweefactorauthenticatie in te schakelen is het gebruik van een hardwaretoken. Dat zijn fysieke sleutels, zoals een usb-stick, die offline een code genereren op een klein scherm of die je via usb kunt gebruiken om een code door te geven. Op die manier kan de code niet via bijvoorbeeld een hack onderschept worden. De Yubikey is de bekendste versie van zo’n apparaat.

©PXimport

Een handjevol diensten biedt een eigen, alternatieve methode van tweestapsverificatie aan of geeft daar zijn eigen draai aan. Google is een goed voorbeeld. Het bedrijf biedt al sinds jaren tweestapsverificatie aan via sms en natuurlijk Googles eigen Authenticator-app, maar je kunt ook kiezen voor een pop-up via de Google-app op je telefoon. Die verschijnt meteen zodra je ergens inlogt, zodat je alleen maar op ‘Ja’ hoeft te tikken om te authenticeren.

Een andere dienst die 2FA tot slot heel goed implementeert is WhatsApp. Als je die functie hebt ingeschakeld, vraagt de app om een zescijferige pincode wanneer je WhatsApp op een nieuw apparaat installeert. Maar omdat dat niet vaak gebeurt, is een geheugensteuntje wel handig. Daarom vraagt de applicatie je eenmaal per week de code in te voeren, gewoon om te zorgen dat je die niet vergeet.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Deze zomer klussen? Goed gereedschap is dan onontbeerlijk. Ee digitale waterpas bijvoorbeeld, ook wel kruislijnlaser genoemd. Dankzij een duidelijke lijn van laserlicht kun je alles mooi waterpas ophangen, zetten of plaatsen.

Een digitale waterpas met laser, ook wel kruislijnlaser genoemd, helpt je om alles perfect recht of waterpas te krijgen, bijvoorbeeld bij het ophangen van een schilderij, het plaatsen van een plank of het tegelen van een muur. De ingebouwde laser projecteert een strakke lijn op de muur, zodat je grotere afstanden gemakkelijk kunt uitlijnen zonder steeds opnieuw te hoeven meten. Handig bij het klussen, verbouwen of inrichten van je huis! Wij vonden vijf betaalbare kruislijnlasers.

Kapro Prolaser 862GS

Deze Kapro Prolaser 862GS verrast met een opvallend groen laserlijn die beter zichtbaar is in fel licht, perfect voor binnen én buiten gebruik. Hij werkt tot zo’n 20 m met indrukwekkende nauwkeurigheid van ± 0,2 mm/m en een zelfnivelleringsbereik van ± 3°. Je krijgt er zelfs een mini‑statief bij, waardoor je meteen aan de slag kunt. Compact, lichtgewicht – maar gebouwd om te presteren onder uiteenlopende omstandigheden dankzij zijn IP 54‑behuizing en lange batterijduur. Een slimme keuze voor wie zowel gemak als zichtbaarheid wil tijdens precisiewerk.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,4 mm / meter
Automatische correctie: ± 3 °
Lijnzichtbaarheid: 20 meter
Stroombron: 2x AA-batterij

Parkside PKLL 7 D3

De Parkside PKLL 7 D3 is een betaalbare instapper die verrassend veel kan. Hij projecteert kruislijnen met automatische nivellering tot ± 4° en werkt tot ca. 7  meter afstand. Uniek is de mogelijkheid om de lasers onder vaste hoeken te projecteren – handig bij creatief-imaginair werk of wanneer precieze hoeken nodig zijn zonder automatisch corrigerend niveau. Hij is compact, licht en ideaal voor gebruik bij kleine klussen in huis. De nauwkeurigheid van deze kruislijnlaser is met een afwijking van 0,8 mm per meter echter wel iets minder goed, iets om rekening mee te houden.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,8 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 7 meter
Stroombron: 2xAA-batterij

Makita SK105DZ

Deze Makita projecteert heldere rode lijnen tot 25 meter, ideaal voor zowel horizontale als verticale lijnprojectie. Dankzij de zelfnivellerende functie hoef je je nooit druk te maken over scheve hoeken: hij corrigeert automatisch tot zo'n 4° graden. Deze Makita werkt op en afzonderlijk te verkrijgen 12Volt CXT-accu. De nauwkeurigheid van de SK105DZ is met een afwijking van 0,3 mm per meter erg goed.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,3 mm / meter
Automatische correctie: 4°
Lijnzichtbaarheid: 25 meter
Stroombron: Accu

Stanley STHT77502-1 Cross 90

Deze Stanley Cross 90 projecteert naast een horizontale en verticale ook nog een extra verticale lijn op exact 90°, waardoor hij ideaal is voor bijvoorbeeld tegelwerk, vloeren en het netjes uitlijnen van tussenschotten. De automatische nivellering zorgt voor een precieze uitlijning zonder gedoe. Een uitstekende keuze voor wie professioneel resultaat wil zonder poespas.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: ± 4°
Bereik: 12 meter
Stroombron: 2xAA-batterij

Bosch Universal Level 2

De Bosch Universal Level 2 biedt drie handige modi: kruislijnen met automatische nivellering, verticale lijnen met puntenfunctie of een hellingsmodus voor schuine uitlijning. Dankzij de heldere rode laserstraal en de intuïtieve bediening ervaar je snel gemak en nauwkeurigheid. Compleet geleverd inclusief batterijen en opberghoes.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: 4 °
Lijnzichtbaarheid: 10 meter
Stroombron: 3xAA-batterij

Wanneer je Windows 11 (opnieuw) installeert, vereist Microsoft dat je je aanmeldt met een Microsoft-account of dat je er eentje aanmaakt. En dat terwijl je je voorheen in Windows 10 gewoon met een offline account kunt aanmelden. Wij laten je zien hoe je dat ook in Windows 11 doet, rechtstreeks tijdens de installatieprocedure.

Microsoft wil maar al te graag dat je een Microsoft-account hebt en deze ook gebruikt bij het aanmelden van Windows 11. Behalve dat je hiermee in geval van het vergeten van je installatiecode het besturingssysteem makkelijker opnieuw kunt activeren, biedt een Microsoft-account niet heel veel extra voordelen in Windows 11 zelf. Het enige wat met zo'n account makkelijker gaat is het instellen van e-mail en OneDrive, maar dat zijn ook diensten waar je je later bij kunt aanmelden.

Installatieprocedure

In een van de laatste stappen van de installatieprocedure, of wanneer je een Windows 11-laptop hebt gekocht, word je - om de laatste instellingen toe te passen - gevraagd om in te loggen bij een Microsoft-account, of er eentje aan te maken.

©MG | ID.nl

Wanneer je in bovenstaand scherm bent aangekomen, lijkt het alsof je hier niet meer uit kunt komen: je moet óf een account invullen, óf er eentje aanmaken, óf een stap terug gaan met de pijl rechtsboven in beeld. Toch kun je hier nog iets anders doen, namelijk een opdrachtprompt openen. En dat is handig, want met een opdrachtprompt tijdens de installatie van Windows 11 kun je alvast dingen regelen voordat Windows 11 zelf is opgestart. Het omzeilen van het aanmaken of invoeren van een Microsoft-account bijvoorbeeld. Om de opdrachtprompt te openen, moet je de volgende toetscombinatie intypen:

Shift+F10

Let op: bij sommige computers zoals laptops kan het zijn dat je ook de Functietoets Fn moet indrukken om de F10-knop te kunnen gebruiken. De opdracht wordt in dat geval dan:

Shift+Fn+F10

Na het indrukken van deze toetscombinatie wordt een zwart venster voor de opdrachtprompt geopend.

©MG | ID.nl

In dit scherm voor je een speciale opdracht in waarmee we de verplichte invoer voor een Microsoft-account gaan omzeilen. Zodra Windows 11 heeft gedetecteerd dat jouw computer een werkende verbinding heeft, blijf je op dat accountscherm hangen, maar ook wanneer er nog geen verbinding is gemaakt, wil Microsoft toch eerst dat je verbinding maakt en daarna alsnog met een Microsoft-account aan de slag gaat.

Nu de opdrachtprompt is geopend, schakelen we die online functie uit. Voer exact de volgende opdracht in:

start ms-cxh:localonly

Gevolgd door een druk op de Enter-toets. Dat zit eruit als hieronder:

©MG | ID.nl

Nadat je op Enter hebt gedrukt, verschijnt er een nieuw venster met de mogelijkheid om een lokaal account (dus zonder Microsoft-account) aan te maken. Goed om te weten: dit account is ook meteen een administrator-account.

©MG | ID.nl

Je kunt hier dus gewoon een normale (voor- en achter)naam opgeven, een e-mailadres is dan niet nodig. Je kunt ervoor kiezen om nu een wachtwoord in te vullen, maar als je dat doet, krijg je ook direct drie controlevragen die je moet opgeven; dat kun je niet skippen. Sla je het aanmaken van een wachtwoord nu over, dan kun je dat later in Windows 11 alsnog doen.

Nadat je de benodigde gegevens hebt ingevuld, worden de laatste installatiestappen voltooid, en wordt de computer nog een keertje opnieuw opgestart. Daarna kun je je aanmelden met het nieuwe account en voer je nog een aantal stappen uit met betrekking tot functies als locatie, diagnostische gegevens en handschriftherkenning.

Account aanpassen

Het account waarmee je je aanmeldt is een administrator-account. In dat geval doe je er goed aan om een wachtwoord in te stellen als je dat nog niet hebt gedaan in de hierboven uitgelegde stap. Om een wachtwoord in te stellen, klik je op de Startknop, en vervolgens op je accountnaam en kies je voor Mijn account beheren.

©MG | ID.nl

Je komt nu in het instellingenscherm terecht voor je account. Scroll naar de knop Aanmeldingsopties en daarna op Wachtwoord.

©MG | ID.nl

Nu kun je een wachtwoord naar wens opgeven, de eisen zijn hier niet streng, maar uiteraard kies je wel voor een lastig te raden wachtwoord. Wel ben je verplicht om een geheugensteuntje op te geven, maar dat is minder lastig dan drie extra beveiligingsvragen die je normaliter bij het installatiescherm moet opgeven. Bij de geheugensteun mag het wachtwoord (vanzelfsprekend) niet gebruikt worden .

©MG | ID.nl

Wachtwoord en geheugensteun ingevoerd? Dan ben je in principe klaar en kun je je systeem verder gaan configureren. Eventueel kun je nu ook nieuwe extra accounts aanmaken via het onderdeel Andere gebruikers in het instellingenscherm.