Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Meerfactor authenticatie

Verdediging

Een manier van identiteit vaststellen waarvoor meerdere onafhankelijke bewijzen van identiteit zijn vereist.

Meerfactor authenticatie (MFA) is een authenticatiemethode waarbij je twee of meer onafhankelijke factoren moet overleggen om toegang te krijgen tot een systeem, applicatie of account. In plaats van alleen een wachtwoord combineer je iets dat je weet (wachtwoord of pincode), iets dat je hebt (telefoon, hardware token of smartcard) en iets dat je bent (vingerafdruk of gezichtsherkenning). MFA is een van de meest effectieve beveiligingsmaatregelen die je kunt implementeren. Volgens onderzoek van Microsoft blokkeert MFA tot 99,9 procent van alle geautomatiseerde aanvallen op accounts. Het NCSC adviseert MFA als basisbeveiliging voor alle organisaties, ongeacht grootte of sector. De opkomst van credential harvesting en phishing maakt MFA belangrijker dan ooit: zonder MFA is een gestolen wachtwoord voldoende voor volledige accounttoegang.

Hoe werkt meerfactor authenticatie?

MFA werkt door meerdere verificatiestappen te combineren bij het inlogproces. Eerst voer je je gebruikersnaam en wachtwoord in, dat is de eerste factor: iets dat je weet. Vervolgens vraagt het systeem om een tweede factor. Dit kan een eenmalige code zijn die je ontvangt via een authenticator-app, een pushmelding op je telefoon, een vingerafdrukscanner of een fysieke beveiligingssleutel als een YubiKey. De combinatie van twee verschillende factorcategorieen maakt het voor aanvallers exponentieel moeilijker om toegang te krijgen.

De drie factorcategorieen zijn: kennisgebaseerde factoren (wachtwoord, pincode, beveiligingsvraag), bezitsfactoren (smartphone, hardware token, smartcard) en biometrische factoren (vingerafdruk, gezichtsherkenning, irisscan). De kracht van MFA zit in het combineren van factoren uit verschillende categorieen. Twee wachtwoorden na elkaar is geen MFA, een wachtwoord plus een authenticator-code wel. Sommige systemen ondersteunen ook locatiegebaseerde en gedragsgebaseerde factoren als aanvullende verificatie.

Moderne MFA-systemen maken onderscheid in verificatiemethoden op basis van het beveiligingsniveau. Sms-codes worden steeds minder aanbevolen vanwege de kwetsbaarheid voor SIM swapping en het onderscheppen van berichten via SS7-kwetsbaarheden. TOTP-codes via apps als Google Authenticator of Microsoft Authenticator zijn veiliger omdat ze lokaal op het apparaat worden gegenereerd. Hardware security keys op basis van FIDO2/WebAuthn bieden het hoogste beschermingsniveau omdat ze niet kunnen worden gephisht: de key verifieert cryptografisch het domein van de website, waardoor een nep-inlogpagina automatisch wordt geweigerd.

Hoe implementeer je meerfactor authenticatie?

Begin met een inventarisatie van alle systemen en applicaties die MFA ondersteunen. Prioriteer systemen met toegang tot gevoelige data of kritieke bedrijfsprocessen: e-mail, VPN, cloudplatformen, administratiesystemen en beheerderstoegang tot servers. Sinds juli 2025 is eHerkenning op niveau EH2 of hoger verplicht voor zakelijke communicatie met de overheid, wat twee-factor authenticatie al vereist voor elk bedrijf dat zaken doet met de Belastingdienst, UWV of KvK.

Kies een MFA-oplossing die past bij je organisatie en budget. Voor kleine bedrijven zijn cloudgebaseerde oplossingen als Cisco Duo, Microsoft Entra of Google Workspace ideaal vanwege lage opstartkosten en eenvoudige implementatie. Grotere organisaties kiezen vaak voor enterprise-oplossingen die integreren met bestaande identity providers en Single Sign-On. Let bij de selectie op ondersteuning voor meerdere authenticatiemethoden, zodat je de methode kunt afstemmen op het beveiligingsniveau per applicatie.

Rol MFA gefaseerd uit om de adoptie soepel te laten verlopen. Begin met IT-beheerders en medewerkers met toegang tot gevoelige systemen. Communiceer helder naar medewerkers waarom MFA wordt ingevoerd en hoe het werkt. Bied ondersteuning bij de eerste inlogpogingen en zorg voor een duidelijke fallback-procedure als een medewerker de tweede factor kwijtraakt. Registreer altijd minimaal twee authenticatiemethoden per gebruiker om lockouts te voorkomen en stel recovery codes beschikbaar op een beveiligde locatie.

Best practices voor meerfactor authenticatie

Gebruik geen sms als enige tweede factor. Sms-codes zijn kwetsbaar voor SIM swapping en SS7-kwetsbaarheden waardoor berichten kunnen worden onderschept. Kies voor authenticator-apps of hardware security keys. Als je organisatie hoge beveiligingseisen heeft, zoals in de financiele sector, bij overheidsinstanties of voor beheerdersaccounts, zijn FIDO2-sleutels een geschikte keuze vanwege hun phishing-resistentie.

Implementeer conditional access-beleid naast MFA. Hiermee stel je aanvullende eisen op basis van locatie, apparaat of risicoscore. Een inlogpoging vanuit een onbekend land kan extra verificatie vereisen of volledig worden geblokkeerd, zelfs als de gebruiker de juiste MFA-code heeft. Conditional access maakt je authenticatiebeleid contextbewust en adaptief, zonder dat het voor reguliere gebruikers onnodig ingewikkeld wordt.

Vergeet beheeraccounts niet, deze zijn het meest waardevol voor aanvallers en moeten de strengste MFA-eisen hebben. Gebruik aparte admin-accounts met phishing-resistente MFA-methoden voor alle beheerwerkzaamheden. Monitor actief op MFA-bypass-pogingen en ongebruikelijke authenticatiepatronen via je SIEM-oplossing. Evalueer periodiek welke MFA-methoden je toestaat en faseer verouderde methoden uit naarmate veiligere alternatieven beschikbaar komen. Overweeg op termijn passwordless authenticatie via passkeys om wachtwoorden volledig overbodig te maken.

De toekomst van meerfactor authenticatie beweegt richting passwordless authenticatie. Technologieen als passkeys, gebaseerd op de FIDO2/WebAuthn-standaard, maken het mogelijk om in te loggen zonder wachtwoord. In plaats daarvan gebruikt het apparaat een cryptografisch sleutelpaar dat is gekoppeld aan de gebruiker via biometrie of een apparaat-pincode. Apple, Google en Microsoft ondersteunen passkeys inmiddels in hun besturingssystemen en browsers. Voor organisaties betekent dit dat de transitie naar passwordless authenticatie binnen bereik komt, hoewel de meeste bedrijfssystemen nog een hybride aanpak vereisen met zowel traditionele MFA als passkeys.

Bij het uitrollen van MFA is het belangrijk om ook na te denken over noodtoegang en uitzonderingssituaties. Wat gebeurt er als de MFA-infrastructuur zelf uitvalt? Hoe log je in als de authenticator-server niet bereikbaar is? Zorg voor een gedocumenteerd break-glass-procedure dat beschrijft hoe beheerders in noodgevallen toegang krijgen tot kritieke systemen, inclusief wie toestemming moet geven en hoe de noodtoegang achteraf wordt geauditeerd. Zonder een dergelijke procedure kan een storing in de MFA-infrastructuur leiden tot een volledige lockout van je bedrijfskritieke systemen.

Veelgestelde vragen over meerfactor authenticatie

Wat is het verschil tussen MFA en 2FA?

2FA (twee-factor authenticatie) is een vorm van MFA waarbij precies twee factoren worden gebruikt. MFA is de overkoepelende term voor authenticatie met twee of meer factoren. In de praktijk worden de termen vaak door elkaar gebruikt.

Is MFA verplicht onder NIS2?

NIS2 schrijft geen specifieke technologie voor, maar vereist passende beveiligingsmaatregelen voor toegangscontrole. MFA wordt door het NCSC en ENISA beschouwd als basismaatregel en is in de praktijk vrijwel altijd vereist om aan NIS2-eisen te voldoen.

Wat als een medewerker de telefoon kwijtraakt?

Zorg dat elke medewerker minimaal twee authenticatiemethoden heeft geregistreerd. Stel een herstelproces op waarbij de identiteit via een alternatief kanaal wordt geverifieerd voordat MFA wordt gereset. Bewaar recovery codes veilig.

Kan MFA worden omzeild?

Geavanceerde aanvallers gebruiken realtime phishing-proxies of social engineering om MFA te omzeilen. FIDO2 hardware security keys zijn resistent tegen deze technieken. Combineer MFA met monitoring op verdachte inlogpatronen.

Wat kost MFA voor een MKB-bedrijf?

Authenticator-apps zijn gratis. Cloudgebaseerde MFA-oplossingen kosten 2 tot 8 euro per gebruiker per maand. Hardware security keys kosten 25 tot 70 euro per stuk. De investering is minimaal vergeleken met de kosten van een account-compromis.

Implementeer meerfactor authenticatie met de juiste partner. Bekijk Identity & Access Management op IBgidsNL.