Nog dit jaar zal alleen een wachtwoord niet meer volstaan om je bij Google aan te melden. Google gaat namelijk MFA verplichten, waarbij je minstens twee factoren gebruikt. Hoe pak je dit aan, ook bij een paar andere aanbieders?
In dit artikel laten we zien hoe je multifactorauthenticatie (MFA) instelt bij onder andere Google:
- Stel tweestapsverificatie (2FA) in via je Google account
- Genereer en bewaar back-upcodes voor noodgevallen
- Gebruik Google Authenticator of alternatieven voor TOTP-codes
- Maak een toegangssleutel aan via Windows Hello
- Voeg een fysieke beveiligingssleutel toe, zoals YubiKey
Lees ook: Je wachtwoord gelekt? Deze tools geven je meteen een seintje!
Veel mensen hergebruiken wachtwoorden voor meerdere diensten, wat natuurlijk erg onveilig is. Maar zelfs met unieke, sterke wachtwoorden, bijvoorbeeld via een wachtwoordmanager, blijven er risico’s bestaan. Wachtwoorden zijn namelijk vatbaar voor phishing, datalekken, keyloggers, malware, brute-force- en dictionary-aanvallen en menselijke onvoorzichtigheid.
Steeds meer diensten adviseren daarom extra verificatiemiddelen naast een wachtwoord. Dit heet 2FA (tweefactorauthenticatie/tweestapsverificatie) of breder MFA (multifactorauthenticatie). Hierbij zijn minstens twee verificatiefactoren vereist. Omdat MFA het flink veel moeilijker maakt onbevoegde toegang tot een account te krijgen, maakt Google dit verplicht voor alle gebruikers. Het zou ons niet verbazen als ook andere aanbieders dit voorbeeld gaan volgen.
Eerst bespreken we kort de belangrijkste MFA-factoren (en dat zijn er behoorlijk wat). Daarna tonen we hoe je ze instelt bij populaire diensten, weliswaar met een duidelijke focus op Google, aangezien dit het meest urgent lijkt.
Wachtwoorden zijn ook vatbaar voor datalekken.
MFA-factoren
Bij de klassieke MFA-aanpak, inclusief 2FA, voer je eerst je wachtwoord in en daarna een tweede factor, wat op verschillende manieren kan.
Bij Googlekan dit een Google-prompt zijn: je krijgt een pop-upmelding op een vertrouwd Android- of iOS-apparaat om de inlogpoging te bevestigen. Ook mogelijk is een tijdelijke TOTP-code (Time-based One-Time Password) die je invoert via een authenticator-app als Google Authenticator. Een andere optie is een sms of spraakoproep met een cijfercode.
Daarnaast kun je een digitale FIDO2-toegangssleutel (Fast IDentity Online) oftewel passkey gebruiken, opgeslagen op een apparaat zoals je smartphone of computer, en beschermd met biometrische verificatie zoals een vingerafdruk of gezichtsherkenning. Of je plugt een hardwarematige beveiligingssleutel, zoals een Yubikey, in een usb-poort of verbindt deze via NFC/bluetooth. De sleutel fungeert dan als toegangscode.
Soms kun je de tweede factor niet invoeren, bijvoorbeeld als je smartphone gestolen is of je deze bent vergeten. Daarom biedt onder meer Google unieke back-upcodes die je in noodgevallen kunt gebruiken. Sommige diensten, zoals Microsoft, laten ook e-mail toe als tweede factor, waarbij je een eenmalige code of bevestigingslink ontvangt.
De belangrijkste opties bij Googles 2FA.
Wachtwoordloos
MFA (2FA) verhoogt de veiligheid aanzienlijk, omdat een tweede factor nodig is, meestal gebaseerd op iets wat je hebt (zoals een vertrouwde telefoon, computer of hardware-sleutel) of iets wat je bent (biometrische verificatie). Dit maakt inloggen helaas wel complexer. Daarom ondersteunen steeds meer diensten een wachtwoordloze login, waarbij je direct inlogt met een tweede factor, zonder eerst een wachtwoord in te vullen.
Zo hoef je bij Google geen wachtwoord meer te gebruiken als je toegangssleutels hebt ingesteld. Ook Microsoft biedt dit aan via Windows Hello (of via Microsoft Authenticator zonder wachtwoord), net als Apple met Face ID of Touch ID op Apple ID-loginpagina’s.
Sommigen noemen inloggen met een toegangssleutel ‘client-side MFA’. Dit combineert namelijk twee factoren op het apparaat zelf: de digitale sleutel wordt lokaal opgeslagen (iets wat je hebt) en je moet biometrie of een pincode invoeren (iets wat je bent of weet). Beide factoren worden dus geheel lokaal verwerkt, zonder dat er een extra verificatiestap via sms of een aparte app nodig is, vandaar ‘client-side MFA’.
We hebben zojuist een digitale toegangssleutel voor Google aangemaakt.
Google
Stel dat je je nu alleen met een wachtwoord bij Google aanmeldt en een tweede factor wilt toevoegen (2FA). Meld je aan bij https://account.google.com, open Beveiliging en scrol naar Inloggen bij Google. Klik op Tweestapsverificatie staat uit en vervolgens op Tweestapsverificatie aanzetten.
Voeg eerst je mobiele telefoonnummer toe. Selecteer het juiste land, zoals Nederland of België, voer je nummer in en druk op Volgende. Google stuurt een verificatiecode, G- gevolgd door zes cijfers. Vul deze in, klik op Verifiëren en daarna op Gereed. Tweestapsverificatie is nu ingeschakeld en je ziet dat je telefoonnummer als tweede stap is toegevoegd.
Log je opnieuw in, dan ontvang je na het invullen van je wachtwoord automatisch een nieuwe verificatiecode. In het venster voor de code kun je een vinkje zetten bij Niet meer vragen op dit apparaat, zodat de tweede factor op dat apparaat niet meer nodig is. Doe dit alleen als je het apparaat vertrouwt en niemand anders er fysiek toegang toe heeft. Heb je dit aangevinkt, maar wil je dit weer ongedaan maken, open dan opnieuw Beveiliging, scrol tot bij Je apparaten en klik op Alle apparaten beheren. Selecteer het betreffende apparaat en kies Uitloggen (twee keer).
Onze eerste 2FA-factor: verificatiecodes op de telefoon.
Back-upcodes
In dit venster zie je ook de optie Andere manier proberen, maar dit is alleen nuttig als je al minstens één andere factor hebt toegevoegd. Open dus opnieuw Tweestapsverificatie voor een overzicht van de beschikbare tweede stappen. Je merkt dat standaard al twee factoren geactiveerd zijn: sms via Telefoonnummer en Google-prompt, op voorwaarde dat je een smartphone gebruikt en je Google-account daarop is ingesteld. Je kunt wel zelf extra factoren toevoegen. Laten we deze even doorlopen.
Laten we beginnen met de factor die je achter de hand kunt houden voor noodgevallen: back-upcodes. Klik op Back-upcodes opvragen en vervolgens op Back-upcodes genereren. Vul je wachtwoord in als daarom gevraagd wordt en klik opnieuw op Back-upcodes genereren. Druk de tien codes af of download ze als txt-bestand. Bewaar de codes veilig.
Je doet er goed aan meteen je back-upcodes op te vragen en veilig te bewaren.
Authenticator (TOTP)
Een andere populaire methode zijn codes of wachtwoorden die meestal na 30 seconden automatisch verlopen (Time-based One-Time Passwords). Voor zulke TOTP’s heb je een specifieke tool nodig. Dat kan een desktopapplicatie, browserextensie of een ondersteunde veiligheidssleutel zijn, maar de meesten kiezen voor een mobiele authenticator-app. Bekende apps zijn Google Authenticator, Microsoft Authenticator en Authy. We nemen Google Authenticator als voorbeeld, al is dat ook voor een Google-login geen vereiste.
Open de appstore op je iPhone of Android en installeer Google Authenticator. Ga op de Google-site bij Tweestapsverificatie naar Authenticator-app toevoegen en klik op Authenticator instellen. Open de app op je smartphone, tik op de plusknop, kies QR-code scannen en richt je camera op de QR-code op de site. Of kies Instelsleutel invoeren, klik op de site op Kun je de code niet scannen en vul handmatig de 32 tekens in. Druk op Volgende en vul de 6 codecijfers van het TOTP in dat inmiddels in de app te zien is en automatisch wordt vernieuwd. Bevestig met Verifiëren. Je kunt deze code voortaan ook gebruiken bij het inloggen.
Dit systeem werkt als volgt. Via de QR-code of instelsleutel geef je een geheime sleutel door aan de app, waarna deze op basis van de tijd een TOTP berekent. De website met de login doet hetzelfde en vergelijkt de TOTP’s. Zijn deze identiek, dan krijg je toegang. Internet is hiervoor niet nodig; een gesynchroniseerde klok volstaat.
Op basis van een geheime sleutel kan de authenticator-app een geldige TOTP berekenen.
Toegangssleutel
Een andere tweede factor is een toegangssleutel, een van de beste manieren om je tegen phishing en andere bedreigingen te beschermen. Klik op Toegangssleutels en beveiligingssleutel. We gaan ervan uit dat je op een computer met Windows 11 werkt en dat Windows Hello actief is. Activeer dit eventueel via Instellingen, Accounts en Aanmeldingsopties, met Gezichtsherkenning, Vingerafdruk of Pincode (Windows Hello).
Je krijgt normaliter meteen de optie Toegangssleutel maken. Na bevestiging via Windows Hello en een klik op Klaar zie je dat je toegangssleutel is toegevoegd. Voortaan kun je via Windows Hello verifiëren dat jij bij Google inlogt. Klik gerust eens op Nu proberen. Je hoeft zelfs je wachtwoord niet meer in te vullen, omdat dit werkt als client-side MFA (zie tekstkader ‘Wachtwoordloos’).
Je kunt trouwens ook op andere apparaten een toegangssleutel aanmaken, bijvoorbeeld op macOS vanaf Ventura, ChromeOS vanaf versie 109, iOS vanaf 18, Android vanaf 9 of op een ondersteunde veiligheidssleutel.
Wil je bijvoorbeeld je Android-apparaat als toegangssleutel op je Windows-pc instellen, klik dan op Toegangssleutel maken en kies Ander apparaat gebruiken. Staat je apparaat er niet tussen, selecteer dan iPhone-, iPad- of Android-apparaat en druk op Volgende. Scan de QR-code met je Android, tik op Toegangscode gebruiken en als alles goed gaat worden de apparaten gekoppeld en kun je je voortaan ook hiermee aanmelden.
Een toegangssleutel met behulp van Windows Hello.
Beveiligingssleutel
Tot slot kun je bij Google ook een fysieke beveiligingssleutel gebruiken als tweede factor. Plug een geschikte sleutel in met ondersteuning voor FIDO2 of eventueel het oudere FIDO U2F. Bekende modellen zijn YubiKey en SoloKey. Afhankelijk van het model werken ze via usb, NFC of bluetooth, met prijzen tussen circa 35 en 80 euro.
Open daarna opnieuw Toegangssleutels en beveiligingssleutels, kies Toegangssleutel maken en Ander apparaat gebruiken. Selecteer Beveiligingssleutel, druk op Volgende en op OK (twee keer). Vul een pincode in bij Nieuwe pincode voor beveiligingssleutel (twee keer) en bevestig met OK. Raak de sleutel aan en voltooi met OK en Klaar. Je sleutel is nu toegevoegd, zodat je hiermee kunt aanmelden bij Google.
Op vergelijkbare manier kun je ook vanaf je smartphone een beveiligingssleutel via NFC toevoegen, zoals de Yubikey 5 NFC. Kies dan Ander apparaat, NFC-beveiligingssleutel en houd de sleutel plat tegen de achterkant van je toestel. Ook deze wordt als tweede factor toegevoegd.
Wat hoger James Bond-gehalte: aanmelding met een heuse beveiligingssleutel.
Geavanceerde beveiliging
Zelfs als je meerdere factoren toevoegt aan de tweestapsverificatie, zal Google standaard maar één extra factor vragen na je wachtwoord (of enkel een toegangssleutel als je wachtwoordloos werkt). De andere factoren dienen als alternatief of back-up wanneer een methode niet beschikbaar is. Je kunt dus geen drie of meer factoren tegelijk verplichten.
Via https://landing.google.com/advancedprotection kun je Google wel verplichten om een fysieke beveiligingssleutel te gebruiken en zwakkere methoden uit te sluiten. Klik op Aan de slag en daarna op Schrijf je in voor Geavanceerde beveiliging, en bevestig met Gereed. Je kunt later altijd kiezen voor Uitschrijven bij Geavanceerde beveiliging.
Je kunt Google forceren om je altijd om je beveiligingssleutel te vragen.
Microsoft
We hebben het tot nu toe alleen over Google gehad, maar ook veel andere diensten ondersteunen 2FA of MFA. Een overzicht van zulke diensten vind je op sites als www.2fa.directory. Als voorbeeld nemen we nog diensten van een paar bekende bedrijven: Microsoft en Meta (Facebook en Instagram).
Voor Microsoft meld je je aan op https://account.microsoft.com. Open de rubriek Beveiliging en klik op Beheren hoe ik me aanmeld. Klik rechtsboven op Beheren om tweestapsverificatie in te schakelen. Druk op Volgende en kies je tweede factor: een authenticatie-app, alternatief e-mailadres of telefoonnummer. We gaan uit van de veiligste optie: een authenticator-app. Klik op Nu downloaden en daarna op Volgende. Open je authenticator-app en scan de QR-code om het TOTP toe te voegen. Bevestig met Gereed en ververs de webpagina. Tweestapsverificatie is nu actief.
Klik nu op Een methode voor aanmelden of verifiëren kiezen om extra stappen toe te voegen, zoals gezichtsherkenning, vingerafdruk, pincode, beveiligingssleutel, app, code via e-mail of sms. Volg telkens de instructies.
Ook Microsoft laat je uit diverse tweede-factoren kiezen.
Meta
Het zal je niet verbazen dat ook bijna alle sociale media 2FA ondersteunen, waaronder Facebook en Instagram. Meld je aan bij het Meta-accountcentrum en open de rubriek Wachtwoord en beveiliging. Klik op Tweestapsverificatie en kies het account bij Facebook of Instagram, waarvoor je dit wilt instellen. We nemen hier Instagram als voorbeeld.
Standaard zie je twee opties: Verificatieapp (authenticator) en Sms-bericht. De aanbevolen methode is de verificatie-app. Selecteer deze en klik op Volgende. Je ziet nu een QR-code en de bijbehorende veiligheidscode. Scan de QR-code met je authenticator-app of voer de code handmatig in. Het TOTP wordt toegevoegd. Klik op Volgende en vul het actuele TOTP in. Je krijgt een bevestiging dat tweestapsverificatie actief is. Je kunt nu ook je lijst met back-upcodes bekijken en downloaden. Rond af met Klaar.
Eventueel kun je nog een extra tweede factor toevoegen, zoals een beveiligingssleutel.
Bijna alle socialmediaplatformen ondersteunen 2FA, waaronder de diensten van Meta.
