Twee factor authenticatie (2FA) is een inlogproces dat twee onafhankelijke bewijzen van identiteit vraagt voor toegang tot een account. De eerste factor is meestal iets wat de gebruiker weet (een wachtwoord). De tweede factor is iets wat de gebruiker heeft (smartphone met TOTP app, hardware security key zoals YubiKey, SMS code, pushmelding) of iets wat de gebruiker is (vingerafdruk, gezicht). Zelfs als een aanvaller het wachtwoord steelt via phishing, een datalek of credential stuffing, lukt inloggen niet zonder de tweede factor. Google meldde in mei 2019 dat een herstelnummer 100 procent van automatische bot aanvallen, 99 procent van bulk phishing en 90 procent van gerichte aanvallen blokkeert. Microsoft publiceerde in 2019 dat accounts met enige vorm van 2FA 99,9 procent minder kans op compromittering hebben.
Hoe werkt 2FA?
- TOTP: zescijferige code die elke 30 seconden wijzigt (RFC 6238, 2011).
- Pushmelding: Duo Mobile, Microsoft Authenticator.
- SMS: kwetsbaar voor SIM swap.
- E-mail.
- Hardware key: YubiKey, Google Titan, Feitian, Nitrokey.
- Biometrie: Touch ID, Face ID, Windows Hello.
- Backup codes.
Verschil tussen 2FA en MFA
MFA is de overkoepelende term. 2FA gebruikt precies twee factoren. PSD2 en Executive Order 14028 (mei 2021) vereisen soms drie factoren.
Welke methode is het veiligst?
- Passkeys / WebAuthn / FIDO2 hardware.
- TOTP apps.
- Push: risico MFA fatigue, Uber 2022.
- SMS: zwakst. SIM swap. Jack Dorsey augustus 2019.
- E-mail.
Wat zijn Passkeys?
Wachtwoordloze evolutie van WebAuthn van FIDO Alliance, ondersteund door Apple (iOS 16, september 2022), Google (Chrome 108, oktober 2022) en Microsoft (Windows 11). Prive sleutel in veilig enclave, login via biometrie, immuun voor phishing.
2FA aanzetten in WordPress
- Two Factor (gratis, 40.000+ installaties).
- Wordfence Login Security.
- WP 2FA van Melapress.
- miniOrange Google Authenticator.
- Jetpack.
Stappen met Two Factor:
- Installeer en activeer.
- Open
Gebruikers » Profielen zoek Two Factor Options. - Activeer TOTP, scan QR, voer code in.
- Genereer en bewaar backup codes.
- Optioneel YubiKey registreren.
- Uitloggen en testen.
MFA fatigue voorkomen
- TOTP of hardware keys voor kritieke accounts.
- Number matching (Microsoft Authenticator sinds februari 2023).
- Vergrendelen na meerdere weigeringen.
- Gebruikers trainen.
Standaarden
| Standaard | Jaar | Doel |
|---|---|---|
| RFC 4226 HOTP | 2005 | Counter OTP |
| RFC 6238 TOTP | 2011 | Tijd OTP |
| FIDO U2F | 2014 | Hardware key |
| FIDO2 / WebAuthn | 2019 | Wachtwoordloos |
| NIST SP 800 63B Rev 3 | 2017 | VS federaal |
| PSD2 SCA | 2019 | Sterke klantauthenticatie |
| Passkeys | 2022 | Gesynchroniseerd WebAuthn |
Veelgemaakte fouten
- Backup codes in dezelfde wachtwoordkluis.
- Zelfde SIM voor SMS 2FA en herstelmail.
- Geen reserve hardware key.
- Wachtwoord reset zonder 2FA.
- 2FA niet verplicht voor beheerders.
Hoe helpt InspectWP?
InspectWP detecteert of een WordPress site /wp-login.php zonder zichtbare 2FA blootstelt.