Tweestapsverificatie voor ál je apps

Wat is tweestapsverificatie?

De naam verklapt eigenlijk al wat tweestapsverificatie is: Een 'tweede stap' toevoegen aan je 'verificatie', ofwel het inloggen op een website. Het betekent dat je naast een gebruikersnaam niet alleen een wachtwoord, maar ook nog een extra inlogmethode nodig hebt.
 

Hoe?

Er zijn meerdere manieren om tweestapsverificatie aan te zetten in accounts, maar de meest voorkomende is een sms'je. Je krijgt dan na het inloggen met je wachtwoord een sms'je met daarin een code van letters of cijfers. Je kunt dan alleen inloggen met die code. Het voordeel van een sms'je is dat je geen dataverbinding nodig hebt en dat het op iedere telefoon werkt, maar het nadeel is dat je wel je telefoonnummer aan een dienst als Facebook moet geven.

In sommige gevallen (zoals bij Facebook) is het mogelijk de smartphone-app te gebruiken om een code te genereren. Ook heeft Google een eigen app gebouwd, Google Authenticator, die ook voor sommige andere apps werkt (zoals Dropbox). Er zijn ook zulke apps van derde partijen, zoals Authy.

In deze workshop-reeks laten we zien welke mogelijkheden er per dienst beschikbaar zijn én hoe je die instelt.
 

Waarom is het nu belangrijk?

Wachtwoorden zijn in theorie een veilige manier om een account te beveiligen, maar er zitten te veel problemen aan. Je moet eigenlijk voor ieder account een nieuw wachtwoord hebben, maar dat is niet te onthouden. Als er een groot datalek is, kan je gestolen wachtwoord makkelijk voor andere diensten worden gebruikt. Bovendien gebruikt nog steeds het overgrote merendeel van de gebruikers een slecht wachtwoord, zoals "123456".
 

Nadelen

Er zitten een paar nadelen én risico's aan inloggen met een extra verificatie. Sowieso moet je daarvoor namelijk altijd je telefoon bij de hand hebben. Heb je dat niet, is die leeg, of heb je geen bereik, dan heb je vaak pech. Ook kan het soms gebeuren dat sms'jes niet aankomen. Als je een nieuw nummer neemt, moet je bovendien alle accounts omzetten naar je nieuwe nummer.

Een iets minder groot probleem is dat veel apps toegang hebben tot je sms-gegevens. Die kunnen in theorie je code aflezen op het juiste moment - al is de kans op die manier gehackt te worden niet groot.

Let ook op dat veel netwerken, zoals Facebook, maar wat blij zijn met je telefoonnummer. Dat kan bijvoorbeeld worden gebruikt om diensten aan elkaar te koppelen (zoals WhatsApp en Facebook), dus kun je je afvragen of je wel je telefoonnummer wil geven aan die sites. Je kunt in veel gevallen gelukkig ook gebruik maken van een app als Google Authenticator.
 

Backup-codes

DE meeste diensten hebben een back-up-systeem voor wanneer je jezelf onverhoopt toch buitensluit, bijvoorbeeld als je je telefoonnnummer kwijt raakt. Dat is meestal een stel codes die eenmalig werken voor een inlog; dat zie je in onderstaande workshops regelmatig gebeuren. Die moet je echter wel op een veilige plek bewaren: zet ze dus niet onversleuteld op je bureaublad en sla ze niet op in een clouddienst als Dropbox!

DigiD

Bij weinig diensten kan iemand zoveel schade doen als bij DigiD, het digitale inlogplatform voor de Nederlandse overheid. Daarmee kun je verhuizingen doorgeven, je burgerlijke staat, en uitkeringen aanvragen. Niet prettig als daar iemand ongeoorloofd in komt dus. We kunnen daarom niet sterk genoeg aanraden tweestapsverificatie bij DigiD aan te zetten, al is dat iets lastiger dan bij de meeste andere diensten. Bij DigiD krijg je namelijk een fysieke brief in de post met daarop een bevestigingscode. Vrij intensief, maar wel zo veilig.

Je vraagt de brief aan door in DigiD in te loggen en naar 'Exctra sms-controle aanvragen' -> 'Ja (doorgaan met deze aanvraag)' -> 'Volgende'. Voer vervolgens je telefoonnummer in. Voer de code in die je in het sms'je krijgt. Je krijgt nu een brief thuis waarin een bevestigingscode staat. Even wachten dus.

Voor een uitgebreidere workshop met screenshots kun je ook hier kijken.
 

Email

Gmail
Gmail heeft meerdere manieren om tweestapsverificatie aan te zetten. Je kunt een sms'je gebruiken, maar ook Google's Authenticator-app.

Klik hier om tweestapsverificatie aan te zetten voor Google (nadat je bent ingelogd).

Je kunt ook rechtsboven naar je account-icoontje, en dan naar 'Mijn account' -> 'Inloggen bij Google' -> 'Tweestapsverificatie'.

Je kunt ook onze uitgebreide workshop lezen.

Outlook/Hotmail/Live Mail

Om tweestapsverificatie in te stellen bij Outlook moet je goed zoeken - de functie zit nogal verstopt. De inlogfeature werkt voor zowel Outlook als voor Hotmail en Live Mail - die diensten zijn een paar jaar geleden geïntegreerd.

Ga in je account naar 'Accountinstellingen' -> 'Beveiliging en privacy' -> 'Over beveiligingsgegevens en beveiligingscodes' -> 'Beveiligingsinformatie toevoegen'

Een uitgebreidere beschrijving kun je hier lezen.

Browsers

Firefox Sync
Je denkt er misschien niet zo bij na, maar het account waar je je browsergegevens mee synchroniseert is erg privacygevoelig. Als iemand daar bij kan, kan hij op sites automatisch je wachtwoord laten aanvullen, of bij websites komen waar je automatisch wordt ingelogd. Bij Chrome en Internet Explorer maak je voor het synchroniseren gebruik van respectievelijk je Google-account en je Microsoft-account, waarvan je hierboven leest hoe je ze beter moet beveiligen. Als je echter Firefox Sync gebruikt maak je een nieuw account aan. In de meest recente versies van Firefox (vanaf Firefox 47) wordt er automatisch tweestapsverificatie toegevoegd als je probeert in te loggen. Firefox vraagt je dan je 'sync' te verifiëren met een email. De functie is niet optioneel, één van de weinige diensten waar de functie verplicht is.

Opera Sync
Opvallend: Opera heeft geen mogelijkheid tweestapsverificatie toe te voegen. Opera heeft onlangs nog alle accounts en wachtwoorden gereset nadat bleek dat er een grote hack plaatsvond.

Sociale media

LinkedIn
Misschien een beetje mosterd na de maaltijd na de grote hack op LinkedIn, maar het is alsnog slim om tweestapsverificatie aan te zetten om problemen in de toekomst te voorkomen. Je doet dat door naar je account te gaan en daar een telefoonnummer toe te voegen. Je doet dat via 'Privacy en instellingen' -> 'Account' -> 'Basisgegevens' -> 'Telefoonnummers'. Ga daarna bovenin naar: 'Privacy' -> (onderaan) -> 'Dubbele verificatie'. Je kunt hier nu je telefoonnummer gebruiken om een beveiligings-sms'je te ontvangen. Je kunt ook direct naar deze site gaan.

Wil je een uitgebreidere workshop zien? Lees dan deze workshop.

Facebook
Facebook is een goudmijn aan persoonlijke informatie, dus ook dat wil je goed beveiligen. Je kunt dat doen door naar 'Instellingen' -> 'Beveiliging' -> 'Aanmeldgoedkeuringen' te gaan. Daar kun je een telefoonnummer toevoegen, óf instellen dat je met je smartphone-app wil inloggen. Je kunt ook direct deze link volgen.

Voor een gedetailleerdere workshop kijk je hier.

Twitter
Je Twitter-profiel is meestal openbaar, dus echt persoonlijke informatie is er niet te vinden, maar je wil niet dat iemand valse tweets onder jouw naam plaatst. Je kunt ook hier tweestapsverificatie instellen via een sms'je of de app. Je vindt die optie bovenaan deze pagina (via 'Instellingen' -> 'Beveiliging en privacy'.

We schreven eerder al een workshop waarin we ingaan op de privacy- en beveiligingsinstellingen op Twitter. Die vind je hier.

Productiviteit

Evernote
Evernote is één van onze favoriete productiviteitstools, en eentje waar in ieder geval deze redacteur veel persoonlijke informatie in heeft staan. Goede beveiliging is dus nodig. Je kunt tweestapsverificatie er instellen via sms of Google Authenticator. Je doet dat in je accountinstellingen.

Dropbox
Net als Evernote heeft ook Dropbox flink wat gevoelige informatie. Je kunt tweestapsverificatie instellen door in te loggen, en dan via het dropdown-menu (rechtsboven) naar 'Instellingen' -> 'Beveiliging' te gaan, en dan onder 'Tweestapsverificatie' druk je op 'Inschakelen'. Accepteer de waarschuwing, voeg je wachtwoord nog een extra keer in, en kies dan of je je code wil ontvangen via sms of via een app.