Twee factoren – en waarom sms-codes de zwakke schakel zijn
25 juni 2026 · 3 min gelezen · Reacties
Dit artikel bevat affiliatielinks. Als u via hen koopt, kunnen wij een commissie verdienen, zonder extra kosten voor u.
Tweefactorauthenticatie is een van de meest effectieve beveiligingsupgrades die u kunt doorvoeren. Maar niet alle twee factoren zijn hetzelfde. En de meest voorkomende versie, de versie die de meeste services standaard gebruiken, heeft een specifieke, goed gedocumenteerde kwetsbaarheid waar de meeste mensen niets van weten.
Tweefactorauthenticatie werkt door iets te vereisen dat u weet (uw wachtwoord) en iets dat u heeft (meestal een code). Zelfs als iemand uw wachtwoord steelt, kan hij of zij niet inloggen zonder de tweede factor. Het is echt goed. De vraag is wat ‘iets wat je hebt’ betekent.
Het probleem met sms-codes
SMS-codes worden naar uw telefoonnummer verzonden. Uw telefoonnummer wordt beheerd door uw provider. En providers kunnen worden gemanipuleerd – soms via social engineering, soms door regelrechte omkoping van werknemers – om uw nummer over te zetten naar een simkaart die de aanvaller beheert. Dit heet een SIM-swap.
Zodra uw nummer is overgedragen, gaat elke sms-code die naar "uw" telefoon wordt verzonden, naar het apparaat van de aanvaller. Uw wachtwoord plus eventuele op sms gebaseerde tweefactoren zijn nu van hen. Doelwitten met een hoge waarde – mensen met aanzienlijke cryptocurrency, leidinggevenden, journalisten – worden op deze manier regelmatig gecompromitteerd.
Wat in plaats daarvan te gebruiken
Een authenticator-app genereert op tijd gebaseerde codes op uw apparaat. Ze worden niet via het telefoonnetwerk verzonden; geen enkele SIM-swap kan ze onderscheppen. Apps als Google Authenticator of Authy werken op deze manier. NordPass bevat ook een ingebouwde authenticator, wat betekent dat uw 2FA-codes en wachtwoorden in dezelfde veilige kluis staan.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Twee factoren zijn de moeite waard, zelfs in de zwakste vorm. SMS 2FA is veel beter dan geen 2FA. Maar als je het gaat gebruiken, duurt het ongeveer twee minuten per account om te upgraden van sms naar een authenticator-app – en het gat in de bescherming is aanzienlijk.
Veelgestelde vragen
What is credential stuffing?+
Er is sprake van 'credential stuffing' wanneer aanvallers e-mail- en wachtwoordcombinaties die bij één inbreuk zichtbaar zijn, gebruiken en deze automatisch uitproberen tegen andere services. Als u wachtwoorden hergebruikt, geeft een inbreuk op één site aanvallers toegang tot elk account met dezelfde inloggegevens.
Is it safe to store all your passwords in one place?+
Ja, bij gebruik van een gerenommeerde wachtwoordbeheerder. De gecodeerde kluis is veel veiliger dan hergebruikte of zwakke wachtwoorden. Wachtwoordmanagers zoals NordPass gebruiken een zero-knowledge-architectuur, wat betekent dat zelfs het bedrijf uw opgeslagen wachtwoorden niet kan zien.
What is two-factor authentication and should I use it?+
Tweefactorauthenticatie (2FA) vereist een tweede verificatiestap naast uw wachtwoord, meestal een code van een app. Gebruik een authenticator-app (Google Authenticator, Authy) in plaats van sms-codes, die kwetsbaar zijn voor SIM-swap-aanvallen.
