Verificatie in 2 stappen

Inloggen met wat je weet...

Normaal gesproken log je in één stap in: je vult je loginnaam of e-mailadres in en het wachtwoord. Je gebruikt dus iets wat je weet.

Iemand die dat ook weet, kan dus inloggen alsof hij jou is.

Dat kan gebeuren door een datalek bij het bedrijf waar je een account hebt. Vaak verkopen boeven de buitgemaakte inloggegevens op het zogenaamde Dark web, het internet voor boeven.

Een andere manier om aan jouw inloggegevens te komen, is het sturen van fishing mails of papieren fishing brieven.

  • In de mail staat een link. Als je daarop klikt, kom je op een site die er heel erg uitziet als de site waarover de mail gaat. Een voorbeeld: he denkt naar ingbank.nl te gaan, maar in werkelijkheid ga je naar mgbank.nl. Of je denkt naar vodafone.nl te gaan, maar ze sturen je naar vodaphone.nl. Als je niet heel erg goed oplet. trap je daar zo maar in.

  • in papieren brieven zit geen link, maar een qr-code (een blokjespatroon). Daarbij kun je nog veel moeilijker zien waar die uitkomt.

... en met wat je hebt

Een oplossing om minder vatbaar te zijn voor dit soort praktijken, is om iets wat je wéét, te combineren met iets dat je hebt. Een vingerafdruk bijvoorbeeld, of de code in een e-mail of sms, of een beveiligingssleutel.

Zo'n sleutel noemen ze vaak een Dongle of een Security Key.

Je logt dan eerst gewoon in met wat je weet, en voegt dan iets toe wat alleen jij hebt. Die combinatie is zo veilig dat boeven geen kans krijgen om onder jouw naam ergens in te loggen.

De code in een sms, e-mail of authentication app

De makkelijkste manier om een tweede stap toe te voegen is dat je een code moet invullen die je krijgt als je na de eerste stap ingelogd bent.

Die code kun je krijgen:

  • Via een sms-je. Dat is niet erg veilig, want ze kunnen sms-jes onderscheppen en zo de code te weten komen.

  • Via een e-mail. Dat is beter.

  • Via een app die je op de smartphone hebt geïnstalleerd.

Je kunt ook de vingerafdruk- of gezichtsherkenning gebruiken.

  • Vingerherkenning is relatief veilig.

  • Gezichtsherkenning is niet heel erg betrouwbaar.

Een veiligere, maar ook wat omslachtigere, methode is om gebruik te maken van een echte sleutel, een 'dingetje'.

Beveiligingssleutels

Een beveiligingssleutel (Security key of dongle) is een dingetje dat je in de usb-poort van de computer, tablet, laptop of smartphone steekt. Voor iedere website waar je je met een sk registreert, maakt hij een unieke code aan. Die code slaat hij zelf op. De code komt dus niet op de computer of op de website te staan. Die code werkt alleen bij exact dezelfde website als die waarop hij is aangemaakt. Het is dus een prima beveiliging tegen fishing.


Het is de bedoeling dat een beveiligingssleutel de gebruikersnaam en het wachtwoord gaat vervangen. Je hoeft dan niet meer in te loggen met een wachtwoord maar alleen met bijvoorbeeld jouw e-mailadres en de beveiligingssleutel. Dat gebeurt dan met het Webauthn (Web authentication) protocol. Dat kan nu al, maar het is nog bijna nergens geactiveerd, helaas.


Voorlopig moet je dus eerst gewoon inloggen, waarna je de beveiligingssleutel moet gebruiken om de website te vertellen dat jij het inderdaad bent die in wil loggen.


Bekende bedrijven die een beveiligingssleutel ondersteunen zijn:

  • Microsoft

  • Google

  • Facebook

  • Twitter

  • Bitwarden (wachtwoordbeheerder)

  • Lastpass (wachtwoordbeheerder)


Een (Amerikaans) overzicht van sites waar je met een beveiligingssleutel kunt werken, vind je hier.


Een beveiligingssleutel kan in een moderne smartphone zijn ingebouwd. De smartphone is dan de beveiligingssleutel. Het kan ook een apart dingetje zijn. Meestal steek je dat in de usb-poort. Er zijn ook versies die met een NFC-chip en/of Bluetooth kunnen werken.


Bekende merken beveiligingssleutels zijn Yubikey en Feitian. Ook Google heeft er een, maar die is nog niet in Nederland te koop.

Waar je op moet letten

Een beveiligingssleutel is een heel handig ding, maar als je hem kwijt raakt, of hij gaat kapot, dan heb je een probleem.

Zorg dus voor een achterdeurtje.

Achterdeurtje voor jezelf

Sommige websites geven je een back-up code die je kunt gebruiken als je de beveiligingssleutel niet bij je hebt of niet kunt gebruiken.

Bij Google kun je ook een sms laten sturen met een code of een mail laten sturen naar een vertrouwd persoon.

Bij Bitwarden kun je een mail laten sturen met een code.

Je kunt ook meerdere sleutels opgeven, bijvoorbeeld de smartphone en een beveiligingssleutel.Of twee beveiligingssleutels. De tweede berg je dan goed op.

Zorg we wel voor dat je op deze websites altijd al jouw sleutels registreert, ander heb je nog niets aan het reserve-exemplaar.

Een heel gedoe

Een heel gedoe: dat is ten dele waar.

De meeste websites werken zo, dat als je eenmaal bent ingelogd met de sleutel, ze niet meer om die sleutel vragen als je de volgende keer met datzelfde apparaat inlogt. Dat werkt overigens alleen als je niet steeds de cookies weggooit...

In de praktijk hoef je de sleutel dus alleen maar te gebruiken als je voor het eerst met een apparaat inlogt.

Is dit het waard?

Tja, dat hangt er een beetje van af:

  • Hoe groot is de schade als onverlaten bij jouw gegevens kunnen komen?

  • Je hebt geen invloed op de manier waarop websites met jouw gegevens omgaan. Je moet ze gewoon maar vertrouwen. Als men jouw gegevens steelt, kun je daar weinig aan doen. De praktijk leert echter dat het meestal alleen om e-mailadressen en inloggegevens gaat. Daar hebben boeven niets aan als jij een extra beveiliging gebruikt.

De keuze is geheel aan jou.

Verificatie in 2 stappen beheren

Je beheert de instellingen in jouw account.

Je komt in de account-instellingen door in een Google-product rechtsboven op jouw account-plaatje te klikken. Ik gebruik Gmail als voorbeeld.

  1. Klik in Gmail op rechtsboven jouw avatar.

  2. Klik dan op Je Google-account beheren.

  3. Als Google meerdere accounts toont, klik dan op het juiste account.

  4. Typ in het zoekvak van het venster dat nu verschijnt: verif.

  5. Klik op Verificatie in 2 stappen en vul je Google-wachtwoord in.

  6. Ga verder naar het volgende scherm.

Kijk op de helppagina van Google voor meer informatie over dit onderwerp.

Klik op jouw avatar:

Klik op Je Google-account beheren:

Zoek naar Verificatie en klik op Verificatie in 2 stappen:

Stel hier alles in: