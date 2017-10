Het tijdperk van wachtwoorden moet over een tijdje achter ons liggen, maar zelfs met authenticatietools als Face ID van Apple en Hello van Microsoft is wachtwoordbeveiliging nog steeds de kern van het systeem. Tweefactor-authenticatie (2FA) blijft daarom van levensbelang. Met 2FA krijg je een tweede privésleutel die bijvoorbeeld uit hardwareinformatie wordt gedestilleerd.

Een aanvaller heeft dan niet alleen je credentials nodig, maar ook je tweede authenticatiemiddel, bijvoorbeeld je smartphone of usb-sleutel, om in te breken op je account. Dat systeem is niet waterdicht. Een sms'je met zo'n sleutel kan bijvoorbeeld worden opgeschept en daarom adviseert NIST om sms-2FA uit te faseren.

De hierna volgende opties om die tweede code te genereren en te gebruiken ondersteunen de meeste 2FA-implementaties van websites en diensten. Een opvallende uitzondering is Steam, die zijn eigen 2FA-optie gebruikt in een eigen mobiele app.

Google Authenticator

Een van de meestgebruikte manieren om tweefactor te gebruiken is met Google Authenticator. Dit is een gratis app van Google op zowel Android als iOS. Het gebruik is simpel en een prima introductie tot het concept voor de meeste mensen. Je stelt 2FA in op diensten als Facebook, Gmail en Dropbox. Die koppel je aan de app door een unieke QR-code van de gedeelde publieke sleutel te scannen.

Let wel dat tweefactor hier vaak tweestaps wordt genoemd - er is een verschil waar we in dit artikel verder maar even niet op ingaan. Na het inlezen van de QR-code, genereert de app elke halve minuut een individuele code, waar de site vervolgens om vraagt als je in probeert te loggen met je wachtwoord. Je kunt zoveel accounts toevoegen als je wilt, zodat er codes worden gegenereerd voor Google, Facebook, Coinbase of welke dienst dan ook.