Accounts extra beveiligen met authenticatie-apps

Om je wachtwoord niet de enige methode van inloggen te laten zijn, kun je uit talloze andere opties kiezen, maar die zijn niet allemaal even handig of veilig. Je zou jezelf bijvoorbeeld een sms kunnen laten doorsturen, maar zo’n melding gaat helaas over een mobiel netwerk. Een veiligere oplossing is een authenticator-app op je smartphone. 

Zo’n app genereert namelijk een tijdgebaseerde en eenmalig bruikbare code, oftewel TOTP (Time-based, One-Time Passcode), waarvoor niet eens een netwerkverbinding is vereist. Zo’n code is slechts 30 seconden geldig. Bekende authenticators zijn Authy, LastPass Authenticator, Google Authenticator en Microsoft Authenticator. De laatste twee zijn het populairst en daar gaan we in deze workshop dan ook dieper op in.

2FA en MFA

Bij traditionele aanmeldingen gebruik je slechts één factor, bijna altijd een wachtwoord. Een wachtwoord is iets wat je kent, maar het is veiliger om daar een extra factor aan toe te voegen. Typisch is dat iets wat je bent (een biometrisch kenmerk, zoals een vingerafdruk) of iets wat je hebt (zoals een token of een smartphone die een code kan genereren).

Gebruik je twee factoren, dan hebben we het over 2FA (tweefactorauthenticatie, ook wel tweestapsverificatie genoemd), maar je kunt in principe ook meerdere factoren inzetten. In zo’n geval spreken we van MFA, oftewel multifactorauthenticatie.

Google Authenticator

Laten we beginnen met de app Google Authenticator om met 2FA/MFA aan de slag te gaan. Je kunt deze app gratis downloaden uit de officiële appstores van Android en Apple. In dit artikel gaan we uit van de installatie op een Android-smartphone, maar de werking is nagenoeg identiek op een iPhone. 

Na de installatie kun je direct een account voor een 2FA/MFA-dienst toevoegen. Je hebt keuze uit twee opties: QR-code scannen en Instelsleutel invoeren. In het laatste geval dien je zelf de code of verificatiesleutel voor je account in te tikken.

Laten we als (logische eerste) voorbeeld je Google-account zo instellen dat je hiervoor voortaan de code van Google Authenticator nodig hebt om je aan te kunnen melden. Surf hiervoor naar https://myaccount.google.com en selecteer Verificatie in 2 stappen. Bevestig met Aan de slag en meld je nogmaals aan met je accountwachtwoord. 

Druk op Volgende en tik de ontvangen controlecode in. Bevestig met Aanzetten. In het volgende scherm krijg je een overzicht van de beschikbare, tweede verificatiestappen.

Accounts aan Google Authenticator koppelen

Klik nu op het pijlknopje bij Authenticator-app en op + Authenticator instellen. Er verschijnt een venster met een QR-code. Deze scan je met je Google Authenticator-app (via de optie QR-code scannen). Lukt het om een of andere reden niet, klik dan in je browser op Kun je de code niet scannen? zodat er een instelsleutel verschijnt. Deze kun je handmatig intikken in je app (via Instelsleutel invoeren). 

Je account wordt nu aan de app gekoppeld, met de standaardnaam Google (<je_e-mailadres>). Druk op Volgende op de webpagina, vul de gegenereerde TOTP-code in en bevestig met Verifiëren.

Voortaan moet je deze TOTP-code dus invullen wanneer je je bij Google aanmeldt, tenzij je bij zo’n aanmelding een vinkje plaatst bij Niet meer vragen op dit apparaat.

In Google Authenticator zelf valt er nauwelijks iets in te stellen. Wel kun je accountkoppelingen overzetten naar een nieuw apparaat. Installeer daarvoor de app op je nieuwe toestel, open de app op je oude apparaat, tik op het menuknopje, kies Accounts exporteren, selecteer de accounts, tik op Volgende en scan de QR-code met de app op je nieuwe apparaat om je voortaan via dat apparaat aan te kunnen melden.

Microsoft Authenticator

Net als Googles app kun je ook Microsoft Authenticator gratis downloaden uit de officiële appstores van zowel Android als Apple. We gaan wederom uit van de werking op een Android-smartphone. Klik na de installatie van de app op Ik ga akkoord. Je ziet nu drie opties: Aanmelden met Microsoft, Werk- of schoolaccount toevoegen en Een QR-code scannen.

Laten we ervan uitgaan dat je je Microsoft-account wilt koppelen. Meld je hiervoor eerst aan bij https://account.microsoft.com, open het tabblad Beveiliging en voer je wachtwoord in. Vervolgens open je de rubriek Geavanceerde beveiligingsopties. Scrol tot je bij Extra beveiliging komt en selecteer daar Inschakelen bij Verificatie in twee stappen.

App-verschillen

Google Authenticator is wellicht de meest gebruikte authenticator-app. Dat heeft niet alleen te maken met het overwicht van Google, maar ook met het feit dat de app al vanaf 2010 beschikbaar is. Microsoft Authenticator is pas in 2016 uitgerold. Deze bevat wel een aantal functies die de Google-app ontbeert. 

Dat zijn onder meer cloud-back-up, synchronisatie tussen apparaten, een wachtwoordloze login en het automatisch invullen van wachtwoorden. Werk je vooral met Microsoft-diensten, dan is Microsofts app waarschijnlijk het prettigst.

Druk op Volgende en selecteer Een app bij Mijn identiteit verifiëren met. Druk op Volgende (2x). Er verschijnt een QR-code die je met je Microsoft Authenticator-app scant, waarna je account aan de app wordt gekoppeld. Je krijgt nu ook het aanbod om je wachtwoorden en andere gegevens die je opslaat in Microsoft Authenticator versleuteld te bewaren in je Microsoft-account, zodat ze met al je aangemelde apparaten worden gesynchroniseerd. 

Tenzij je dit bewust niet wilt, laat je deze optie ingeschakeld en kies je Automatisch invullen inschakelen / Instellingen openen. Selecteer Authenticator, bevestig met OK / Gereed / OK.

Aanpassingen

Wanneer je 2FA activeert voor je Microsoft-account moet je je er van bewust zijn dat sommige, vooral wat oudere apps en apparaten geen beveiligingscodes accepteren. In de meeste gevallen moet je dan een zogeheten app-wachtwoord instellen.

Heb je de Authenticator-app geïnstalleerd, maar verschijnt er geen beveiligingscode, dan kun je via https://kwikr.nl/appww lezen hoe je een aangepaste aanmeldmethode in kunt stellen voor onder meer Outlook.com, Windows Essentials en Xbox. 

Cloudback-up

Microsoft Authenticator ondersteunt cloudback-ups. Dit houdt in dat de app een back-up naar de cloud maakt van je accountreferenties en app-instellingen. Dit maakt het gemakkelijk om via de Microsoft Authenticator-app je accounts op een nieuw of een extra toestel te importeren. Naast een Microsoft-account heb je voor iOS hiervoor ook een iCloud-account nodig. 

Binnen Android schakel je cloudback-up als volgt in: open de app, tik op het knopje met de drie puntjes, kies Instellingen en activeer Cloudback-up. Bij een nieuwe installatie van de app kun je dan Herstellen vanuit een back-up selecteren, waarna je de verdere instructies volgt.

Wachtwoordloos inloggen

Het is eveneens mogelijk ‘wachtwoordloos’ te werken met je Microsoft-account. Je wordt dan niet langer om een wachtwoord gevraagd, maar je moet je aanmelden met een alternatieve methode, zoals een beveiligingstoken, biometrie of de Microsoft Authenticator-app. Deze laatste moet in elk geval geïnstalleerd zijn. Meld je vervolgens aan bij https://kwikr.nl/acwwloos en klik op Inschakelen bij Account zonder wachtwoord. 

Druk op Volgende, selecteer een methode om je identiteit te verifiëren. Druk nogmaals op Volgende en tik op Goedkeuren in Microsoft Authenticator. 

Automatisch invullen

Microsoft Authenticator bevat tevens een geïntegreerde wachtwoordbeheerder. Tik hiervoor in de app op Wachtwoorden en geef, als je dat wilt, toestemming voor het automatisch invullen van wachtwoorden door een vinkje te plaatsen bij Instellen als provider voor automatisch invullen, waarna je Authenticator selecteert en met OK bevestigt. 

Via Nu proberen kun je opgeslagen wachtwoorden uit Google Chrome of uit een csv-bestand direct importeren. In Chrome doe je dat via Instellingen / Wachtwoorden, waarna je op het knopje met de drie puntjes tikt en Wachtwoorden exporteren / Verificator kiest.

Back-up

Wanneer je 2FA via een authenticator-app hebt ingeschakeld, heb je doorgaans een wachtwoord en een TOTP-code nodig. Maar wat als je je smartphone niet bij je hebt of kwijt bent? Om te voorkomen dat je dan niet meer kunt inloggen, doe je er verstandig aan een extra aanmeldmethode in te schakelen. 

Welke mogelijkheden er zijn en hoe je dat precies doet, hangt van de dienst af. De kans is groot dat je in de 2FA-rubriek van je account een herstelcode kunt afdrukken, zoals bij Microsoft, of dat je, zoals bij Google, een reeks eenmalige back-upcodes kunt opvragen. Dit doe je best zo snel mogelijk.

2FA op Facebook

Je kunt nog heel wat andere webdiensten koppelen aan je Authenticator-app. Op https://2fa.directory/int vind je behoorlijke lijst met websites die 2FA ondersteunen. Laten we beginnen met Facebook. 

Open Account / Instellingen en privacy / Instellingen / Beveiliging en aanmelding. Klik op Bewerken bij Tweestapsverificatie. Selecteer Verificatieapp gebruiken. Er verschijnt nu zowel een QR-code als een instelsleutel. 

In Microsoft Authenticator tik je op het knopje met de drie puntjes en kies je + Account toevoegen / Ander account, waarna je de QR-code scant of Enter code manually selecteert. Voor Google Authenticator volg je de aanwijzingen in stap 4.

Dropbox

Voor Dropbox surf je naar (de desktopversie van de website op) www.dropbox.com. Klik rechtsboven op je accountpictogram en kies Instellingen. Open het tabblad Beveiliging en schakel de optie Tweestapsverificatie in. Bevestig met Aan de slag en vul je Dropbox-wachtwoord in. Druk op Volgende en selecteer Via een mobiele app. 

Druk nogmaals op Volgende om de QR-code te zien. Kies je voor een instelsleutel, klik dan op Voer de geheime code handmatig in. Bevestig met Volgende, vul de TOTP-code in en voltooi de procedure.

Instagram

De procedure bij Instagram is niet veel anders dan bij Facebook en Dropbox, al moet je 2FA hierbij wel instellen vanuit de app zelf. Tik onderaan op je profielpictogram en vervolgens op het hamburgerpictogram. Hier kies je voor Instellingen / Beveiliging / Tweestapsverificatie. Bevestig met Aan de slag en schakel de optie Verificatie-app (aanbevolen) in. 

Tik op Volgende of op Handmatig instellen voor de instelsleutel. In het eerste geval selecteer je de gewenste authenticator bij Openen met, waarna de koppeling een feit is.

Twitter

De 2FA-functie in Twitter zit wat verborgen in het menu onder de optie Meer. Hier klik je op Instellingen en privacy / Beveiliging en accounttoegang. Selecteer Beveiliging en open het item Tweestapsverificatie. Zet een vinkje bij Verificatie-app en bevestig met Aan de slag. 

Het scenario is je inmiddels bekend: er verschijnt een QR-code of je kunt klikken op Can’t scan the QR code? mocht je liever de handmatige methode met een instelsleutel gebruiken.