Ga naar hoofdinhoud

Wat is 2FA? Gids voor tweefactorauthenticatie

Wat is 2FA? Hoe tweefactorauthenticatie werkt, de vijf typen 2FA en hoe je het inschakelt op je belangrijkste accounts.

Laatst bijgewerkt: 5 april 2026

Wachtwoorden alleen zijn niet genoeg om je online accounts te beschermen. Datalekken stellen elk jaar miljarden inloggegevens bloot en zelfs sterke wachtwoorden kunnen worden gecompromitteerd via phishing, keyloggers of brute-force-aanvallen. Tweefactorauthenticatie (2FA) voegt een tweede verdedigingslaag toe — zelfs als iemand je wachtwoord steelt, kan hij of zij nog steeds geen toegang krijgen tot je account zonder de tweede factor. Deze gids legt uit wat 2FA is, hoe elke methode werkt, welke typen het veiligst zijn en hoe je het instelt op je belangrijkste accounts. Het is een van de meest effectieve stappen die je kunt nemen om je digitale leven te beschermen.

Typen tweefactorauthenticatie

SMS-codes

Een eenmalige code wordt naar je telefoonnummer gestuurd via een tekstbericht. Je voert deze code in na je wachtwoord om de aanmelding te voltooien. SMS 2FA is de meest beschikbare methode — bijna elke dienst ondersteunt het en het vereist geen extra apps of hardware. Het is echter de zwakste vorm van 2FA vanwege kwetsbaarheid voor SIM-swapping-aanvallen (waarbij een aanvaller je provider overtuigt om je telefoonnummer over te dragen aan zijn SIM-kaart) en SS7-protocol-exploits die tekstberichten kunnen onderscheppen.

  • Voordelen: Breed ondersteund, geen app nodig, werkt op elke telefoon
  • Nadelen: Kwetsbaar voor SIM-swapping, SS7-interceptie en social engineering-aanvallen op telefoonproviders

Authenticator-apps (TOTP)

Time-based One-Time Password (TOTP)-apps genereren elke 30 seconden een nieuwe 6-cijferige code met een gedeeld geheim en de huidige tijd. Populaire apps zijn Google Authenticator, Authy, Microsoft Authenticator en Ente Auth. TOTP is aanzienlijk veiliger dan SMS omdat codes lokaal op je apparaat worden gegenereerd — er is geen transmissiekanaal om te onderscheppen. De codes werken offline en zijn niet gekoppeld aan je telefoonnummer. Dit is de aanbevolen 2FA-methode voor de meeste mensen, met een balans tussen sterke beveiliging en gebruiksgemak.

  • Voordelen: Veilig, offline werkend, gratis apps beschikbaar, niet gekoppeld aan telefoonnummer
  • Nadelen: Je apparaat verliezen zonder back-upcodes sluit je buiten; phishingsites kunnen nog steeds codes in realtime vastleggen

Hardware-beveiligingssleutels

Fysieke apparaten zoals YubiKey, Google Titan en SoloKeys worden in je USB-poort gestoken of via NFC getapt om te authenticeren. Hardware-sleutels gebruiken de FIDO2/WebAuthn-standaard, die phishing-bestendig is door ontwerp — de sleutel verifieert cryptografisch het domein van de website voor authenticatie, waardoor het onmogelijk is voor phishingsites om te onderscheppen. Google verplicht alle werknemers om hardware-sleutels te gebruiken en rapporteerde nul succesvolle phishing-aanvallen sinds de implementatie. Sleutels kosten $25-70 en zijn de veiligste 2FA-methode die beschikbaar is.

  • Voordelen: Sterkste beveiliging, phishing-bestendig, geen batterijen, werkt offline, duurzaam
  • Nadelen: Kost $25-70, kan verloren of vergeten worden, niet door alle diensten ondersteund

Biometrie

Vingerafdrukscanners (Touch ID), gezichtsherkenning (Face ID) en iris-scanners gebruiken je fysieke kenmerken als authenticatiefactor. Biometrie is handig — je hebt het altijd bij je en kan niet worden vergeten. Ze werken als tweede factor naast wachtwoorden op veel apparaten en diensten. Echter, biometrie kan niet worden gewijzigd indien gecompromitteerd (in tegenstelling tot een wachtwoord), en kan in veel rechtsgebieden door de politie worden afgedwongen. De kwaliteit varieert aanzienlijk per apparaat.

  • Voordelen: Gemakkelijk, altijd beschikbaar, snelle authenticatie, moeilijk te repliceren
  • Nadelen: Kan niet worden gewijzigd indien gecompromitteerd, kan wettelijk worden afgedwongen, kwaliteit varieert per apparaat

Passkeys

Passkeys zijn de nieuwste authenticatiestandaard, ontworpen om wachtwoorden volledig te vervangen. Gebaseerd op FIDO2/WebAuthn, gebruiken passkeys publieke-sleutel-cryptografie — je apparaat slaat een privésleutel op en de dienst slaat de bijbehorende publieke sleutel op. Authenticatie gebeurt via de biometrische sensor of pincode van je apparaat, zonder wachtwoord om te typen, te phishen of te stelen. Apple, Google en Microsoft hebben ondersteuning voor passkeys geïntegreerd in hun besturingssystemen. Passkeys synchroniseren tussen apparaten via iCloud Keychain, Google Password Manager of andere providers, waardoor de beveiliging van hardware-sleutels wordt gecombineerd met het gemak van biometrie.

  • Voordelen: Phishing-bestendig, geen wachtwoorden om te onthouden, synchroniseert tussen apparaten, snel
  • Nadelen: Relatief nieuw, nog niet universeel ondersteund, zorgen over platform-lock-in met gesynchroniseerde passkeys

Best practices voor 2FA

  1. Schakel 2FA eerst in op je e-mailaccount — het is de hoofdsleutel tot al je andere accounts. Als iemand je e-mail compromitteert, kan hij wachtwoorden resetten op elke gekoppelde dienst. Je e-mail is het allerbelangrijkste account om met 2FA te beschermen.
  2. Gebruik waar mogelijk een authenticator-app in plaats van SMS. TOTP-apps zijn immuun voor SIM-swapping en SS7-aanvallen. Als een dienst alleen op SMS gebaseerde 2FA biedt, gebruik die dan toch — SMS 2FA is nog steeds dramatisch beter dan helemaal geen 2FA.
  3. Bewaar back-upcodes op een veilige, gescheiden plek. Sla ze op in een wachtwoordmanager (anders dan degene die door 2FA is beveiligd), druk ze af en bewaar ze in een kluis, of schrijf ze op papier dat veilig is opgeborgen. Sla back-upcodes nooit op in een onversleutelde notitie op hetzelfde apparaat als je authenticator.
  4. Overweeg een hardware-beveiligingssleutel voor je meest kritieke accounts — e-mail, bank, cloudopslag en wachtwoordmanagers. Een YubiKey 5 NFC ($50) werkt met USB-A, USB-C en NFC, en dekt vrijwel elk apparaat. Registreer twee sleutels per account zodat je een back-up hebt.
  5. Audit regelmatig welke accounts 2FA hebben ingeschakeld. Gebruik een wachtwoordmanager om dit bij te houden. Prioriteitsvolgorde: e-mail, bank- en financiële diensten, cloudopslag, sociale media, winkelsites met opgeslagen betaalmethoden en alle werk- of professionele accounts.

Hoe 2FA in te stellen

Het instellen van 2FA duurt minder dan vijf minuten per account. Dit is het proces voor authenticator-app-gebaseerde 2FA, de aanbevolen methode voor de meeste mensen:

  1. Open beveiligingsinstellingen:Navigeer naar de beveiligingsinstellingen van je account. Zoek naar "Tweefactorauthenticatie", "Tweestapsverificatie" of "Aanmeldbeveiliging". Op Google ga je naar myaccount.google.com > Beveiliging > Tweestapsverificatie. Op Apple ga je naar Instellingen > [Jouw naam] > Aanmelden en beveiliging.
  2. Kies een 2FA-methode:Selecteer je 2FA-methode. Kies "Authenticator-app" voor de beste balans tussen beveiliging en gemak. Installeer een TOTP-app als je er nog geen hebt — Google Authenticator, Authy of Ente Auth zijn allemaal solide keuzes. Authy en Ente Auth bieden een versleutelde cloudback-up van je codes.
  3. Scan de QR-code:Scan de QR-code die op het scherm wordt weergegeven met je authenticator-app. De app genereert een 6-cijferige code die elke 30 seconden wordt vernieuwd. Voer de huidige code in om te controleren of de installatie correct werkt.
  4. Sla back-upcodes op:Sla je back-upcodes direct op. De meeste diensten bieden eenmalige herstelcodes waarmee je weer toegang kunt krijgen als je je authenticator-apparaat verliest. Sla ze op in een wachtwoordmanager, druk ze af of schrijf ze op en bewaar ze op een veilige plek gescheiden van je apparaten. Zonder back-upcodes kan het verliezen van je telefoon je permanent buiten je account sluiten.

Veelgestelde Vragen

Daarom zijn back-upcodes essentieel. Wanneer je 2FA instelt, bieden de meeste diensten herstelcodes — eenmalige codes die 2FA omzeilen. Gebruik er een om weer toegang te krijgen, stel daarna 2FA opnieuw in op je nieuwe apparaat. Als je Authy of Ente Auth gebruikt, worden je codes back-up gemaakt in versleutelde cloudopslag en kunnen ze worden hersteld op een nieuw apparaat. Google Authenticator ondersteunt nu ook cloudback-up. Als je geen back-upcodes en geen herstelmethode hebt, moet je het accountherstelproces van de dienst doorlopen, wat dagen of weken kan duren en identiteitsverificatie kan vereisen.

Absoluut. Ondanks de kwetsbaarheden voor SIM-swapping en SS7-aanvallen blokkeert SMS 2FA de overgrote meerderheid van geautomatiseerde aanvallen. Onderzoek van Google toonde aan dat het 100% van geautomatiseerde bots en 96% van massa-phishing stopt. Het realistische dreigingsmodel voor de meeste mensen omvat geen gerichte SIM-swapping — dat is vooral een risico voor doelen met hoge waarde zoals cryptocurrency-houders en publieke figuren. Als een dienst alleen SMS 2FA biedt, schakel het dan in. Elke 2FA is dramatisch beter dan geen 2FA.

Geen enkele 2FA-methode is 100% onkraakbaar, maar de moeilijkheid varieert enorm. SMS-codes kunnen worden onderschept via SIM-swapping. TOTP-codes kunnen in realtime worden gephished met geavanceerde aanvallen die codes doorgeven aan de echte loginpagina. Hardware-beveiligingssleutels die FIDO2 gebruiken, zijn echter phishing-bestendig door ontwerp — de sleutel verifieert het domein van de website cryptografisch, waardoor phishing onmogelijk wordt. Passkeys erven dezelfde bescherming. Voor de meeste mensen biedt TOTP-gebaseerde 2FA meer dan voldoende bescherming tegen realistische bedreigingen.

Idealiter wel, maar prioriteer strategisch. Je e-mailaccount is het meest kritisch — het is het herstelmechanisme voor al het andere. Schakel daarna 2FA in op bank- en financiële diensten, cloudopslag (Google Drive, iCloud, Dropbox), sociale media, elk account met opgeslagen betalingsinformatie en je wachtwoordmanager. Wegwerpaccounts met lage prioriteit zonder persoonlijke gegevens kunnen worden overgeslagen als je overweldigd bent, maar het doel zou 2FA overal moeten zijn.

Hardware-beveiligingssleutels (YubiKey, Google Titan) die de FIDO2/WebAuthn-standaard gebruiken, zijn de veiligste vorm van 2FA die beschikbaar is. Ze zijn phishing-bestendig door ontwerp, vereisen fysiek bezit en hebben geen codes om te onderscheppen of door te geven. Passkeys bieden vergelijkbare beveiliging met toegevoegd gemak van cloud-sync. TOTP-authenticator-apps zijn de op één na beste optie — aanzienlijk veiliger dan SMS. SMS is de zwakste 2FA, maar nog steeds veel beter dan authenticatie met alleen een wachtwoord.

Ja, dat is hun ontwerpintentie. Passkeys combineren het wachtwoord en de tweede factor in één phishing-bestendige authenticatiestap. In plaats van een wachtwoord te typen en vervolgens een code in te voeren, authenticeer je gewoon met de biometrische sensor of pincode van je apparaat. De onderliggende FIDO2-cryptografie biedt sterkere beveiliging dan wachtwoord + TOTP samen. De adoptie van passkeys groeit echter nog steeds — niet alle diensten ondersteunen ze nog. Blijf in de overgangsperiode traditionele 2FA (authenticator-app of hardwaresleutel) gebruiken op diensten die nog geen passkeys ondersteunen.