6 min

Tweefactorauthenticatie (2FA): van TOTP naar passkeys, de gids voor 2026

2026-05-13

Ik bouw en beheer systemen waar een gekaapt account geen ongemak is maar een incident: nationale verkiezingsplatforms, webshops met veel verkeer. Op zulke projecten is het losse wachtwoord al lang verdwenen. Tweefactorauthenticatie (2FA), en breder gezien multifactorauthenticatie (MFA), vormen de minimale basis. Hier zijn de grondbeginselen, gevolgd door een helder onderscheid tussen wat je in 2026 echt beschermt en wat alleen veilig voelt.

Wat tweefactorauthenticatie echt is

Tweefactorauthenticatie is een bijzonder geval van multifactorauthenticatie. Het idee past in één zin: om te bewijzen wie je bent, volstaat één geheim niet meer, je hebt er twee nodig van verschillende aard. Steelt een aanvaller je wachtwoord, dan mist hij nog altijd de tweede factor. De kracht van de methode zit niet in het aantal bewijzen, maar in het combineren van twee verschillende soorten. Twee wachtwoorden blijven één factor, dus één slot.

De drie authenticatiefactoren

Elke authenticatiemethode valt in een van deze drie families.

  • Iets wat je weet: een wachtwoord, een pincode, het antwoord op een geheime vraag.
  • Iets wat je hebt: je telefoon, een app die codes genereert, een fysieke beveiligingssleutel.
  • Iets wat je bent: je vingerafdruk, je gezicht, je iris.

Echte MFA put uit twee verschillende families. Een wachtwoord (iets wat je weet) plus een eenmalige code op je telefoon (iets wat je hebt) is degelijke 2FA. Een wachtwoord plus een geheime vraag blijft binnen één familie, en is nauwelijks beter dan een wachtwoord alleen.

SMS, de zwakke schakel

Jarenlang was de code per sms de opstap naar 2FA voor het grote publiek. In 2026 is het de methode die ik afraad zodra er een alternatief is. Sms heeft twee structurele zwaktes. De eerste is de simswap: een aanvaller overtuigt (of omkoopt) je provider om je nummer naar zijn eigen simkaart te verhuizen, en ontvangt jouw codes in jouw plaats. De tweede is onderschepping: het oude telefonienetwerk (SS7) was nooit bedoeld om geheimen te vervoeren, en een code op een vergrendeld scherm is te lezen zonder het toestel te ontgrendelen. De NIST raadt sms als authenticatiekanaal al af sinds 2016. Een sms-code is beter dan niets, maar behandel hem als laatste redmiddel, nooit als je hoofdverdediging.

TOTP, een code van zes cijfers elke 30 seconden

De methode die sms ruimschoots vervangt heet TOTP, kort voor Time-based One-Time Password (eenmalig wachtwoord op basis van tijd). Het principe is eenvoudiger dan het klinkt. Bij het inschakelen toont de site een QR-code: die bevat een geheime sleutel, eenmalig gedeeld tussen de site en je app. Vanaf dan combineert je app die sleutel met de huidige tijd, opgedeeld in vensters van 30 seconden, en leidt daar een code van zes cijfers uit af. De site maakt dezelfde berekening en vergelijkt. Omdat beide kanten de sleutel kennen en dezelfde klok lezen, komen ze op dezelfde code uit zonder ooit iets over het netwerk uit te wisselen. Daarom werkt TOTP in het vliegtuig, zonder enige verbinding: alles wordt lokaal berekend, en de code verandert elke 30 seconden.

Welke authenticator-app kiezen

Google Authenticator is nog altijd de bekendste, maar niet de enige, en lange tijd bood hij geen back-up of export. Wat echt telt, is dat je je geheimen kunt versleutelen en herstellen op de dag dat je van telefoon wisselt. Mijn aanbevelingen:

  • Aegis (Android): opensource, versleutelde kluis, nette export. Mijn standaardkeuze op Android.
  • 2FAS (iOS en Android): verzorgde interface, versleutelde back-ups, browserextensie.
  • Bitwarden: handig als je deze wachtwoordmanager al gebruikt, alles staat op één plek.
  • FreeOTP: opensource en gesteund door Red Hat. Julian T. raadde hem me jaren geleden aan, en het is een betrouwbare keuze gebleven.

Een waarschuwing: wachtwoorden en TOTP-codes in dezelfde kluis bewaren is gemakkelijk, maar zo breng je je twee factoren op één plek samen. Houd ze voor een kritiek account gescheiden.

FIDO2-hardwaresleutels en phishingbestendige MFA

TOTP heeft een beperking die je moet kennen: een code kan gephisht worden. Een nepsite, tussen jou en de echte dienst geschoven, vraagt je code en speelt hem in real time door voordat hij verloopt. Hier komen hardwarebeveiligingssleutels (YubiKey en soortgelijke) in beeld, gebouwd op de standaarden FIDO2 en WebAuthn. Hun truc: de sleutel controleert het exacte domein van de site voordat hij antwoordt. Op een nepdomein weigert hij, punt. Dit heet phishingbestendige MFA, en het is een sprong vooruit, geen kleine verbetering. Op mijn projecten verloopt beheertoegang en elk account met veel op het spel via een hardwaresleutel, zonder uitzondering.

Passkeys, het einde van het wachtwoord

Passkeys zijn het sluitstuk van al het voorgaande, en de grote omslag van 2024 tot 2026. Ze steunen op dezelfde FIDO2/WebAuthn-basis als hardwaresleutels, maar trekken de logica helemaal door: ze vervangen het wachtwoord in plaats van het aan te vullen. In de praktijk maakt je toestel een paar cryptografische sleutels aan. De privésleutel verlaat het toestel nooit (of synchroniseert, versleuteld, via je ecosysteem of wachtwoordmanager). Om in te loggen ontgrendel je die sleutel met je vingerafdruk, je gezicht of de pincode van het toestel. Drie grote gevolgen: niets te onthouden of in te typen, ingebouwde phishingbestendigheid (de sleutel is aan het domein gebonden), en vooral geen gedeeld geheim op de server. Een datalek levert dan geen enkel te stelen wachtwoord meer op. Apple, Google en Microsoft ondersteunen ze, en de lijst met compatibele sites groeit elke maand. Biedt een dienst een passkey aan, zet hem dan aan.

Herstelcodes, je vangnet

Een punt dat te veel mensen over het hoofd zien, tot de dag dat ze hun telefoon verliezen. Bij het inschakelen van 2FA geven de meeste diensten je een lijst herstelcodes (vaak een tiental, elk één keer bruikbaar). Dat zijn je reservesleutels: ermee raak je binnen, zelfs zonder je app of je telefoon. Noteer ze offline of bewaar ze veilig in je wachtwoordmanager. Zonder die codes kan het verlies van een toestel je voorgoed buiten je eigen account sluiten. Heb je ze allemaal gebruikt, genereer dan een nieuwe reeks.

Waar te beginnen

Het plan komt neer op vijf stappen. Zet MFA aan overal waar het bestaat, te beginnen bij je e-mail en je wachtwoordmanager (dat zijn de sleutels tot al de rest). Kies altijd TOTP boven sms. Schakel passkeys in zodra een dienst ze aanbiedt. Houd een hardwaresleutel achter de hand voor je gevoeligste accounts. En bewaar je herstelcodes op een veilige plek. Precies die volgorde volg ik wanneer ik veilige platforms bouw, en niets houdt je tegen om ze vandaag al op je eigen accounts toe te passen.

Een vraag over het uitrollen van MFA in je organisatie? Neem contact op, ik help graag.