ADVERTORIAL

Twee factoren – en waarom sms-codes de zwakke schakel zijn

25 juni 2026 · 3 min gelezen · Reacties

Dit artikel bevat affiliatielinks. Als u via hen koopt, kunnen wij een commissie verdienen, zonder extra kosten voor u.

Tweefactorauthenticatie is een van de meest effectieve beveiligingsupgrades die u kunt doorvoeren. Maar niet alle twee factoren zijn hetzelfde. En de meest voorkomende versie, de versie die de meeste services standaard gebruiken, heeft een specifieke, goed gedocumenteerde kwetsbaarheid waar de meeste mensen niets van weten.

Tweefactorauthenticatie werkt door iets te vereisen dat u weet (uw wachtwoord) en iets dat u heeft (meestal een code). Zelfs als iemand uw wachtwoord steelt, kan hij of zij niet inloggen zonder de tweede factor. Het is echt goed. De vraag is wat ‘iets wat je hebt’ betekent.

Het probleem met sms-codes

SMS-codes worden naar uw telefoonnummer verzonden. Uw telefoonnummer wordt beheerd door uw provider. En providers kunnen worden gemanipuleerd – soms via social engineering, soms door regelrechte omkoping van werknemers – om uw nummer over te zetten naar een simkaart die de aanvaller beheert. Dit heet een SIM-swap.

Zodra uw nummer is overgedragen, gaat elke sms-code die naar "uw" telefoon wordt verzonden, naar het apparaat van de aanvaller. Uw wachtwoord plus eventuele op sms gebaseerde tweefactoren zijn nu van hen. Doelwitten met een hoge waarde – mensen met aanzienlijke cryptocurrency, leidinggevenden, journalisten – worden op deze manier regelmatig gecompromitteerd.

Tweefactormethoden: relatieve sterkte
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Authenticator-app (TOTP)
Good
Realtime phishing (als de aanvaller snel handelt)
Hardwaresleutel (wachtwoord)
Strong
Fysieke diefstal van de sleutel

Wat in plaats daarvan te gebruiken

Een authenticator-app genereert op tijd gebaseerde codes op uw apparaat. Ze worden niet via het telefoonnetwerk verzonden; geen enkele SIM-swap kan ze onderscheppen. Apps als Google Authenticator of Authy werken op deze manier. NordPass bevat ook een ingebouwde authenticator, wat betekent dat uw 2FA-codes en wachtwoorden in dezelfde veilige kluis staan.

Twee factoren zijn de moeite waard, zelfs in de zwakste vorm. SMS 2FA is veel beter dan geen 2FA. Maar als je het gaat gebruiken, duurt het ongeveer twee minuten per account om te upgraden van sms naar een authenticator-app – en het gat in de bescherming is aanzienlijk.

Veelgestelde vragen

What is credential stuffing?+

Er is sprake van 'credential stuffing' wanneer aanvallers e-mail- en wachtwoordcombinaties die bij één inbreuk zichtbaar zijn, gebruiken en deze automatisch uitproberen tegen andere services. Als u wachtwoorden hergebruikt, geeft een inbreuk op één site aanvallers toegang tot elk account met dezelfde inloggegevens.

Is it safe to store all your passwords in one place?+

Ja, bij gebruik van een gerenommeerde wachtwoordbeheerder. De gecodeerde kluis is veel veiliger dan hergebruikte of zwakke wachtwoorden. Wachtwoordmanagers zoals NordPass gebruiken een zero-knowledge-architectuur, wat betekent dat zelfs het bedrijf uw opgeslagen wachtwoorden niet kan zien.

What is two-factor authentication and should I use it?+

Tweefactorauthenticatie (2FA) vereist een tweede verificatiestap naast uw wachtwoord, meestal een code van een app. Gebruik een authenticator-app (Google Authenticator, Authy) in plaats van sms-codes, die kwetsbaar zijn voor SIM-swap-aanvallen.

Wachtwoorden en 2FA-codes in één veilige kluis
NordPass slaat uw wachtwoorden op en genereert uw authenticatiecodes. Eén app, één hoofdwachtwoord, alles gesynchroniseerd op al uw apparaten.
⭐ 4,5/5 · miljoenen wachtwoorden beveiligd
Try NordPass →

Sam Feldman
Sam Feldman
"Een goed spandoek heeft geen vaste vorm en geen inherente betekenis."
Austin, TX · https://sams.blog/weekly
RELATED READING
De wachtwoordcatastrofe waar niemand aan denkt
Je hergebruikt één wachtwoord. De hackers rekenen erop.
Wachtwoordmanagers, uitgelegd voor normale mensen
Je staat op het punt de exacte beveiligingsconfiguratie te krijgen die ik voor mijn eigen ouders heb gebouwd – degene die echt werkt

De meeste mensen hebben één beschermingslaag. Ze missen er drie.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minuten, van begin tot eind, daarna draait het op de achtergrond. Vul je e-mailadres in, dan stuur ik het door.

Er is iets misgegaan. Probeer het opnieuw.
Je doet mee. Controleer binnenkort je inbox.
100% vertrouwelijk. U kunt zich op elk gewenst moment afmelden.