Het gebruik van tweestapsverificatie: waarom?

Tweestapsverificatie is een extra beveiligingslaag. Je kent het wel van internetbankieren: daar log je in met een extra code die je ofwel op een apparaatje krijgt, ofwel per SMS krijgt. Ook als je bij DigiD inlogt kun je ervoor kiezen om een extra code te ontvangen.

Zo’n extra inlogcode voorkomt dat zomaar iedereen kan inloggen als de combinatie van jouw e-mailadres en wachtwoord bekend is, of als deze geraden wordt. De tweestapsverificatie werkt alléén in combinatie met jouw gegevens. Wij gebruiken een smartphone om zo’n extra inlogcode te genereren. Iemand anders kan jouw telefoon er dus niet voor gebruiken! Dit betekent dus ook dat jij niet iemand anders telefoon kunt lenen om in te loggen. Hiermee is het een heel veilige manier van inloggen.

Wij maken gebruik van een standaard: TOTP, Time-based One-time Password. Deze techniek genereert op basis van een aantal gegevens zoals de tijd en jouw persoonlijke gegevens (jouw account in Online Dossier) elke zoveel seconde een nieuwe code. Wellicht ken je het al van een ‘security token’: zo’n ding als je rechts op het plaatje ziet.

De TOTP-standaard is door diverse bedrijven in een app gegoten, zodat we niet meer afhankelijk zijn van security tokens. Voor Android en iOS kun je gebruik maken van Google Authenticator, en voor Windows Phone van Microsoft Authenticator. Er zijn nog meer apps te vinden die deze standaard gebruiken. In deze handleiding tonen we de werking met genoemde apps van Google en Microsoft.

Is dit wel veilig? Gaan Google en Microsoft er niet met mijn inloginformatie vandoor? Nee, dit gebeurt niet. Tijdens het inloggen wordt er géén informatie naar Google of Microsoft verzonden. Het enige dat zij doen is een app bieden die de standaard ondersteunt.

Wouter Bruijning has written 65 artikelen