Multi-Factor Authenticatie (MFA)

Waarom wachtwoorden alleen niet meer volstaan

In 2024 gebruikte 61 procent van de Nederlandse bedrijven met twee of meer medewerkers meerfactorauthenticatie — een flinke stijging ten opzichte van de 26 procent die dat in 2017 deed. Toch betekent dit dat vier op de tien organisaties nog steeds volledig afhankelijk zijn van wachtwoorden als enige beveiligingslaag. En dat terwijl cybercriminelen wachtwoorden inmiddels rapen als vallende bladeren. Phishing-kits die je voor een paar euro op darknet-forums koopt, credential-stuffing-aanvallen die in minuten duizenden combinaties testen, en datalekken die miljarden inloggegevens op straat gooien: de infrastructuur voor het stelen van wachtwoorden is geïndustrialiseerd.

Multi-factor authenticatie (MFA) is het antwoord dat de cybersecuritysector al jaren predikt, en de statistieken geven haar gelijk. Microsoft rapporteert dat MFA 99,9 procent van alle geautomatiseerde aanvallen op accounts blokkeert. Google concludeerde dat het toevoegen van een tweede factor de kans op een succesvolle accountovername met meer dan 99 procent vermindert. Toch slaagt de implementatie in de praktijk lang niet altijd — niet vanwege technische beperkingen, maar vanwege onderschatting, organisatorische weerstanden en de keuze voor het verkeerde type MFA.

Dit artikel neemt u mee door de wereld van multi-factor authenticatie: welke methoden er zijn, hoe ze van elkaar verschillen in betrouwbaarheid en gebruiksvriendelijkheid, wat NIS2 vereist, hoe u een implementatie aanpakt die uw medewerkers daadwerkelijk omarmen, en welke fouten u koste wat het kost moet vermijden.

De drie factoren: iets wat u weet, heeft of bent

MFA werkt op basis van het combineren van twee of meer verificatiefactoren uit verschillende categorieën. De eerste categorie is kennis: iets wat u weet, zoals een wachtwoord, pincode of antwoord op een beveiligingsvraag. De tweede is bezit: iets wat u heeft, zoals een smartphone, een hardware-token of een smartcard. De derde is inherentie: iets wat u bent, zoals een vingerafdruk, gezichtsherkenning of een irisscan. Echte MFA vereist factoren uit minimaal twee verschillende categorieën — een wachtwoord gecombineerd met een pincode telt technisch gezien niet als MFA, omdat beide in de kennis-categorie vallen.

De meest basale vorm van MFA die vandaag de dag wijd verspreid is, werkt via sms: na het invoeren van een wachtwoord ontvangt u een eenmalige code op uw telefoon. Dit is beter dan niets, maar het is ook de minst veilige MFA-variant die er is. SIM-swapping — waarbij een aanvaller uw telefoonnummer laat overzetten naar zijn eigen SIM-kaart — maakt sms-codes volledig omzeilbaar. Telecom-medewerkers die omgekocht worden, social engineering bij klantenservice en kwetsbaarheden in het SS7-protocol (het signaleringssysteem dat telefoonnetwerken gebruiken om gesprekken en berichten te routeren) zijn bekende aanvalsvectoren. In landen als Nigeria en de VS zijn hele criminele netwerken gespecialiseerd in SIM-swapping gericht op crypto-investeerders en executives.

TOTP-apps (Time-based One-Time Password) zoals Google Authenticator, Microsoft Authenticator of Aegis vormen een veiliger alternatief. Deze apps genereren elke 30 seconden een nieuwe zescijferige code op basis van een geheime sleutel en de huidige tijd — zonder dat er enige communicatie met een server nodig is. Ze werken ook offline, zijn niet kwetsbaar voor SIM-swapping en zijn gratis te implementeren. De zwakte zit in phishing: een overtuigende neppagina kan zowel uw wachtwoord als uw TOTP-code in realtime onderscheppen en doorsturen naar de echte site (een zogeheten adversary-in-the-middle aanval, of AitM). Evilginx, Modlishka en soortgelijke tools maken dit triviaal eenvoudig voor aanvallers met enige technische kennis.

Push-notificaties — waarbij een authenticatie-app op uw telefoon een goedkeuringsverzoek toont — zijn gebruiksvriendelijker maar kwetsbaar voor MFA-fatigue. Bij deze aanval stuurt een crimineel die al over uw wachtwoord beschikt, eindeloos push-notificaties totdat u er gefrustreerd eentje goedkeurt. In 2022 wist een aanvaller op precies deze manier toegang te krijgen tot Uber: na tientallen pushes stuurde de aanvaller een WhatsApp-bericht met de mededeling dat hij IT-personeel was en dat de push geaccepteerd moest worden, waarna de medewerker capituleerde.

FIDO2 en passkeys: de phishing-resistente gouden standaard

Bovenaan de betrouwbaarheidshiërarchie staan FIDO2-beveiligingssleutels en passkeys. FIDO2 (Fast Identity Online 2) is een open standaard die asymmetrische cryptografie gebruikt: uw apparaat of sleutel genereert een uniek sleutelpaar per website, waarna de privésleutel nooit het apparaat verlaat en de publieke sleutel bij de website staat. Zelfs als een aanvaller u naar een perfecte kopie van uw banksite lokt, kan de authenticatie niet werken omdat de publieke sleutel aan het echte domein is gebonden.

Hardware-tokens zoals de YubiKey (Yubico) of de Google Titan Key zijn de fysieke vorm van FIDO2. Ze kosten tussen de 25 en 65 euro per stuk, werken via USB-A, USB-C of NFC, en zijn extreem robuust. De ROI is indrukwekkend: Google meldde dat na de invoering van FIDO2-sleutels voor alle 85.000 medewerkers in 2017 niet één account meer succesvol werd gecompromitteerd via phishing. Forrester Research berekende een ROI van 203 procent over drie jaar voor FIDO2-implementaties, met name door de eliminatie van helpdeskkosten voor wachtwoordresets.

Passkeys zijn de consumentvriendelijke evolutie van FIDO2, ontworpen voor gebruik zonder fysieke hardware. Ze gebruiken de beveiligde enclave van uw smartphone of laptop (de Secure Enclave op iPhones en Macs, of de Trusted Platform Module-chip in Windows-apparaten) om de privésleutel op te slaan, en biometrie — uw vingerafdruk of gezicht — als lokale verificatie. Passkeys werken op iOS 16+, Android 9+, Windows 10+ en macOS Ventura+. Grote platforms als Google, Apple, Microsoft, PayPal, GitHub en Amazon hebben passkeys al uitgerold. Gebruikers loggen er drie keer sneller mee in dan met wachtwoorden plus MFA, terwijl de phishing-resistentie even sterk is als bij hardware-tokens.

Wat NIS2 van u vraagt

De Europese NIS2-richtlijn, die in Nederland via de Cyberbeveiligingswet wordt omgezet en naar verwachting in 2025 volledig van kracht wordt, verplicht essentiële en belangrijke entiteiten in artikel 21, lid 2, aanhef en onder j, expliciet om multi-factor authenticatie of continue authenticatie te implementeren (Bron: NCSC / Digitale Overheid). Dit geldt voor de toegang tot netwerken, systemen en kritieke toepassingen — zowel voor medewerkers als voor externe partijen die toegang hebben tot uw systemen.

Wat dit concreet betekent: als uw organisatie onder NIS2 valt (denk aan energie, transport, gezondheidszorg, digitale infrastructuur, managed service providers en diverse andere sectoren), bent u wettelijk verplicht om MFA te implementeren (Bron: NCSC / Digitale Overheid). Niet als best practice, maar als compliance-vereiste. Toezichthouders kunnen bij overtredingen boetes opleggen tot 10 miljoen euro of twee procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt.

Voor organisaties in de zorgsector geldt bovendien de NEN 7510-norm, die beveiligingseisen stelt aan de omgang met patiëntgegevens. Toegangsbeveiliging — inclusief sterke authenticatie — is een kernvereiste. De NEN 7510 implementatiebegeleiding die gespecialiseerde aanbieders bieden, helpt zorginstellingen om MFA in te bouwen als onderdeel van een breder informatiebeveiligingsmanagementsysteem. Wie ook werkt aan NIS2 compliance begeleiding zal merken dat MFA vrijwel altijd een van de eerste concrete maatregelen is die geïmplementeerd moeten worden.

De zes stappen naar een succesvolle MFA-uitrol

Een MFA-implementatie die mislukt, faalt bijna altijd om organisatorische redenen, niet om technische. Medewerkers omzeilen het systeem, de helpdesk wordt overspoeld met calls, of het management krijgt een vrijstelling waarmee de beveiliging van de meest gevoelige accounts juist ondergraven wordt. De volgende aanpak is gebaseerd op ervaringen uit tientallen implementaties bij Nederlandse organisaties van uiteenlopende omvang.

De eerste stap is inventarisatie. Breng alle systemen, applicaties en toegangspunten in kaart die MFA moeten ondersteunen. Onderscheid hierbij systemen die al native MFA-ondersteuning hebben (de meeste cloud-diensten zoals Microsoft 365, Google Workspace en Salesforce), systemen waarvoor een SAML- of OIDC-integratie via een identity provider nodig is, en legacy-systemen die mogelijk helemaal geen moderne authenticatieprotocollen ondersteunen. Dit laatste categorie vereist een aparte aanpak — soms via een authenticatiegateway, soms via een VPN met MFA als voordeur.

De tweede stap is risicoclassificatie. Niet alle systemen hebben hetzelfde beschermingsniveau nodig. Definieer welke applicaties en data het gevoeligst zijn — ERP-systemen, financiële administratie, klantgegevens, code-repositories, Active Directory — en begin de MFA-uitrol hier. Maak gebruik van risicogebaseerde authenticatie: systemen die afwijkend gedrag detecteren (een login vanuit een ongebruikelijk land, op een vreemd tijdstip, of via een nieuw apparaat) eisen dan automatisch een extra verificatiestap, ook als de gebruiker normaal gesproken met één factor kan inloggen.

De derde stap is methodeselektie. Kies voor kritieke systemen bij voorkeur FIDO2-tokens of passkeys. Voor de bredere medewerkersbasis zijn TOTP-apps een goede standaard, mits u gebruikers traint op phishing-risico's. SMS-MFA kunt u reserveren voor noodscenario's of als fallback, maar niet als primaire methode voor gevoelige systemen.

De vierde stap is communicatie en training. MFA-uitrolprojecten die zonder adequate communicatie worden gelanceerd, falen. Kondigt u de uitrol weken van tevoren aan, leg uit waarom het nodig is (gebruik concrete voorbeelden zoals datalekken in de sector), bied meerdere kanalen voor hulp aan en zorg voor een tijdelijke gewenningsperiode. Een goedbezochte awareness-sessie vooraf reduceert het aantal helpdesktickets na uitrol met 40 tot 60 procent.

De vijfde stap is uitrol in fasen. Begin met de IT-afdeling en het management (die technisch vaardig genoeg zijn om problemen zelf op te lossen én wier accounts het meest aantrekkelijk zijn voor aanvallers), daarna de meest kritieke gebruikers, en dan de rest van de organisatie. Plan de brede uitrol niet in december of rondom andere drukke periodes.

De zesde stap is monitoring en onderhoud. Registreer MFA-bypass-pogingen, mislukte authenticaties en accounts die MFA hebben uitgeschakeld. Stel een beleid op voor verloren devices en noodherstel — zonder noodprocedure riskeren medewerkers volledig buitengesloten te raken. Review de MFA-configuratie minstens jaarlijks en zorg dat nieuwe systemen standaard met MFA worden uitgerold.

De tien meest gemaakte fouten bij MFA-implementaties

De eerste en meest voorkomende fout is het verlenen van uitzonderingen aan senior management. De CEO en de CFO hebben toegang tot de meest gevoelige informatie in uw organisatie — en zijn tegelijkertijd het meest gerichte doelwit voor spear-phishing en CEO-fraude. Precies zij mogen geen uitzondering krijgen.

De tweede fout is het gebruik van SMS als enige MFA-methode voor kritieke systemen. We legden eerder uit waarom: SIM-swapping en SS7-aanvallen maken sms-codes omzeilbaar voor gemotiveerde aanvallers.

De derde fout is het implementeren van MFA alleen op de externe toegang en niet op interne systemen. Zodra een aanvaller eenmaal binnen is — via een gecompromitteerd account, een phishing-aanval of een infectie — kan hij zich lateraal door uw netwerk bewegen als MFA alleen de voordeur bewaakt.

De vierde fout is slechte herstelprocedures. Medewerkers verliezen telefoons, wisselen van apparaat of vergeten hun authenticator-app te migreren bij een telefoonwissel. Zonder goede noodprocedures worden zij volledig buitengesloten. Tegelijkertijd moeten noodprocedures zelf veilig zijn — een helpdeskmedewerker die zonder verificatie MFA reset op aanvraag van een beller, ondermijnt de hele beveiliging.

De vijfde fout is het niet monitoren van MFA-events. Weet u hoeveel keer per dag MFA-verificaties mislukken? Hoeveel push-verzoeken worden afgewezen? Welke accounts nooit MFA activeren ondanks dat het verplicht is? Zonder logging en alerting bent u blind voor aanvalspogingen.

De zesde fout is het vergeten van service-accounts en gedeelde accounts. Technische accounts die applicaties gebruiken om met andere systemen te praten, worden vaak overgeslagen bij MFA-implementaties. Dit zijn echter aantrekkelijke doelwitten, omdat ze vaak brede rechten hebben en minder worden gemonitord.

De zevende fout is geen rekening houden met offline scenario's. Medewerkers die in vliegtuigen werken, in gebieden zonder dekking, of simpelweg hun telefoon hebben vergeten: de MFA-oplossing moet hiermee omkunnen zonder dat de beveiliging wordt omzeild.

De achtste fout is een te rigide beleid zonder risicogebaseerde aanpassing. Een medewerker die van zijn vaste werkplek op een bekende IP-adres inlogt tijdens normale werktijden, hoeft niet elke keer dezelfde intensieve verificatie te doorlopen als iemand die inlogt vanuit een onbekend land op drie uur 's nachts.

De negende fout is het niet testen van de herstelflow. Implementeer MFA, maar test ook wat er gebeurt als een medewerker zijn authenticator kwijt is. Werkt de herstelstroom? Hoe lang duurt het? Wie is bevoegd om MFA te resetten?

De tiende fout is stilstand na implementatie. MFA-methoden evolueren, aanvalstechnieken ook. Wat vandaag veilig is, kan morgen achterhaald zijn. Plan jaarlijkse reviews en volg ontwikkelingen in authenticatiestandaarden.

Kosten en tooling: wat mag u verwachten

De kosten van MFA lopen sterk uiteen afhankelijk van de gekozen methode. TOTP-apps op basis van open standaarden zijn gratis — Google Authenticator, Microsoft Authenticator en Aegis kosten niets en werken met elke TOTP-compatibele dienst. De kosten zitten dan in implementatietijd en helpdesk-belasting. Platformgebonden MFA zoals die ingebakken zit in Microsoft Entra ID (voorheen Azure AD) is opgenomen in Microsoft 365-licenties en kost per saldo niets extra voor Microsoft-omgevingen.

Losse identity providers zoals Okta, Duo Security, Ping Identity of OneLogin kosten typisch 2 tot 6 euro per gebruiker per maand, afhankelijk van het pakket en de omvang. Ze bieden als voordeel een centraal beheeroverzicht over alle applicaties, geavanceerde beleidsopties en gedetailleerde rapportages. Voor organisaties met veel verschillende applicaties en een heterogene IT-omgeving zijn ze de moeite waard.

FIDO2-hardware tokens kosten eenmalig 25 tot 65 euro per sleutel. U wilt minimaal twee sleutels per medewerker (één primair, één als backup), wat uitkomt op 50 tot 130 euro per persoon. Voor een organisatie van 100 medewerkers spreekt u dan over 5.000 tot 13.000 euro aan hardwarekosten. Weiger dit echter niet als te duur te bestempelen voordat u de alternatieven afweegt: één succesvolle ransomware-aanval kost gemiddeld meer dan 200.000 euro aan herstel, losgeld en omzetverlies.

Vergeet ook de enterprise wachtwoordbeheer oplossingen niet in dit verhaal: wachtwoordmanagers en MFA versterken elkaar. Een wachtwoordmanager zorgt voor sterke, unieke wachtwoorden; MFA zorgt dat zelfs bij diefstal van die wachtwoorden de schade beperkt blijft. Samen vormen ze een fundamenteel sterkere beveiligingslinie dan elk van beide afzonderlijk. Organisaties die ook nadenken over toegangsbeheer voor bevoorrechte gebruikers doen er goed aan te kijken naar privileged access management, waarbij MFA de eerste verdedigingslinie vormt voor de accounts met de meeste rechten.

De opkomst van passkeys en de toekomst van authenticatie

De authenticatiewereld is in beweging. Passkeys — de FIDO2-gebaseerde standaard die Apple, Google en Microsoft samen hebben ontwikkeld — zijn inmiddels breed beschikbaar en worden door steeds meer diensten ondersteund. Ze elimineren wachtwoorden volledig: in plaats van een wachtwoord te onthouden en in te voeren, authenticeert u met uw biometrie (vingerafdruk of gezicht) op uw apparaat, waarna het apparaat de cryptografische uitdaging van de website oplost. Het is sneller, veiliger en gebruiksvriendelijker tegelijkertijd.

Uit onderzoek blijkt dat gebruikers met passkeys drie keer sneller inloggen dan met traditionele wachtwoord-plus-MFA-combinaties, terwijl de phishing-resistentie gelijk is aan die van hardware-tokens. Grote platforms rapporteren succespercentages van 95 procent of hoger bij passkey-authenticatie — significant beter dan de 32 tot 56 procent bij SMS-codes, die gebruikers regelmatig niet op tijd ontvangen of verkeerd invoeren.

Continue authenticatie is een andere trend die opkomt: in plaats van één sterke verificatie bij inloggen, bewaken systemen continu gedragspatronen (typgedrag, muisbewegingen, locatie, apparaat) en verhogen zij de authenticatievereisten zodra afwijkingen worden gedetecteerd. Dit is bijzonder relevant voor werkomgevingen waar medewerkers lang ingelogd blijven.

Voor organisaties die vandaag beginnen met MFA, luidt het advies: implementeer TOTP-apps als basisstandaard, overweeg passkeys voor medewerkers met moderne apparatuur, reserveer FIDO2-hardware tokens voor de meest gevoelige rollen en systemen, en plan een migratie weg van SMS-MFA zodra de omstandigheden dit toelaten. Wie dit combineert met een zero trust netwerktoegang architectuur, bouwt aan een toegangsbeheeromgeving die zelfs geavanceerde aanvallers buiten de deur houdt.

Multi-factor authenticatie is geen luxe, geen vinkje op een compliance-checklist en geen maatregel voor grote bedrijven alleen. Het is de minimale beveiligingsstandaard voor elke organisatie die haar digitale assets serieus beschermt. Met de huidige beschikbaarheid van gratis TOTP-apps, ingebakken MFA in cloudplatformen en gebruiksvriendelijke passkeys is er geen technische of financiële reden meer om het uit te stellen. De vraag is alleen nog: wanneer begint u?