Een sterk wachtwoord voelt veilig, maar dat gevoel bedriegt. Wachtwoorden lekken, worden geraden of belanden via een nepmail bij iemand die er niets goeds mee voorheeft. Op het moment dat een crimineel jouw wachtwoord heeft, is er nog maar één ding dat hem tegenhoudt: multifactor authenticatie.

In dit artikel leggen we uit wat multifactor authenticatie precies is, welke vormen er zijn en hoe veilig ze onderling verschillen. Daarna laten we zien hoe je MFA aanzet in Microsoft 365, wat conditional access daaraan toevoegt en welke valkuilen je beter kunt vermijden.

Wat is multifactor authenticatie?

Multifactor authenticatie, afgekort MFA, betekent dat je je identiteit met meer dan één bewijs aantoont. Een wachtwoord alleen is één factor: iets wat je weet. MFA voegt daar een tweede aan toe, bijvoorbeeld iets wat je hebt (je telefoon of een hardware key) of iets wat je bent (je vingerafdruk of gezicht).

Het idee is simpel. Zelfs als iemand je wachtwoord weet, komt hij niet binnen zonder die tweede factor. En die tweede factor zit op jouw telefoon of in jouw vingerafdruk, niet in een gelekt databestand op internet.

Dat verschil is groot. Microsoft publiceerde een veelgenoemde bevinding dat MFA meer dan 99 procent van de geautomatiseerde aanvallen op accounts blokkeert. Geen enkele maatregel is waterdicht, maar er is weinig dat zo veel oplevert voor zo weinig moeite.

Waarom een wachtwoord alleen niet meer volstaat

Het probleem met wachtwoorden is niet dat ze slecht zijn bedacht. Het probleem is hoe mensen ermee omgaan. Veel mensen gebruiken hetzelfde wachtwoord voor meerdere diensten. Lekt er één, dan liggen de andere ook open. Criminelen proberen gelekte combinaties geautomatiseerd uit bij honderden diensten tegelijk, een techniek die credential stuffing heet.

Daar komt phishing bij. Een overtuigende nepmail die om je inloggegevens vraagt, en de crimineel heeft je wachtwoord zonder dat hij iets hoefde te kraken. We schreven eerder uitgebreid over hoe je je bedrijf beschermt tegen phishing, maar de korte versie is: mensen trappen erin, ook slimme mensen, ook jouw mensen.

MFA vangt dat op. Een gestolen wachtwoord is dan niet langer genoeg. Daarom is MFA een hoeksteen van moderne beveiliging en een vast onderdeel van het zero trust-principe, waarbij je niets en niemand automatisch vertrouwt.

De verschillende factoren en hun veiligheid

Niet elke vorm van MFA is even sterk. Het is goed om de verschillen te kennen, want de keuze bepaalt hoeveel bescherming je echt krijgt.

Sms-code

Bij deze methode krijg je een code per sms toegestuurd die je invoert na je wachtwoord. Het werkt, en het is beter dan helemaal geen tweede factor. Maar sms is de zwakste vorm van MFA. Criminelen kunnen via sim-swapping je telefoonnummer kapen, en sms-berichten zijn onderschept. Gebruik sms alleen als er echt geen alternatief is.

Authenticator-app

Een app zoals Microsoft Authenticator of Google Authenticator genereert codes op je telefoon, of stuurt een melding waarop je tikt om de inlogpoging goed te keuren. Dit is een stuk veiliger dan sms, omdat de code niet over een netwerk wordt verstuurd dat te onderscheppen valt. Voor de meeste bedrijven is een authenticator-app de praktische standaard.

Passkeys

Passkeys gaan een stap verder. In plaats van een code gebruik je een digitale sleutel die op je apparaat staat en die je ontgrendelt met je vingerafdruk, gezicht of pincode. Een passkey is gebonden aan de echte website, dus zelfs een overtuigende nepsite krijgt je sleutel niet te pakken. Dat maakt passkeys sterk bestand tegen phishing. We legden eerder uit hoe passkeys en veilig inloggen werken en waarom ze het wachtwoord langzaam vervangen.

Hardware key

Een fysiek sleuteltje zoals een YubiKey is de sterkste optie. Je steekt hem in een usb-poort of houdt hem tegen je telefoon om in te loggen. Omdat de sleutel fysiek aanwezig moet zijn, is inloggen op afstand zonder dat sleuteltje onmogelijk. Voor beheerders en mensen met toegang tot gevoelige systemen is een hardware key een verstandige keuze.

De rode draad: kies bij voorkeur een authenticator-app, passkey of hardware key boven sms. Hoe sterker de factor, hoe minder kans dat een aanvaller eromheen werkt.

Hoe je MFA aanzet in Microsoft 365

Microsoft 365 ondersteunt MFA standaard, ook in de zakelijke abonnementen die de meeste MKB-bedrijven gebruiken. Je hebt er dus geen losse licentie voor nodig om te beginnen.

De snelste manier is via de zogenaamde security defaults. Dat is een set basisinstellingen die Microsoft aanbiedt en die MFA in één keer voor alle gebruikers afdwingt. Voor een klein bedrijf zonder bijzondere eisen is dat een prima startpunt. Je activeert het in het Microsoft Entra-beheercentrum onder de eigenschappen van je organisatie.

Wil je meer controle, dan zet je security defaults uit en werk je met conditional access (daarover zo meer). In beide gevallen krijgen je medewerkers bij de eerste keer inloggen de vraag om MFA in te stellen. Ze koppelen dan hun telefoon aan Microsoft Authenticator, en vanaf dat moment is hun account beter beschermd.

Plan dit moment bewust. Stuur vooraf een korte uitleg rond, zodat niemand verrast wordt door het verzoek en iedereen weet dat het echt van jullie komt. Een goede uitrol voorkomt verwarring en supportvragen.

Wat conditional access toevoegt

Met conditional access til je MFA naar een hoger niveau. In plaats van overal en altijd om een tweede factor te vragen, stel je regels in die kijken naar de situatie. De toegang is dan voorwaardelijk, vandaar de naam.

Een paar voorbeelden. Je kunt instellen dat MFA niet nodig is op het vertrouwde kantoornetwerk, maar wel zodra iemand van buitenaf inlogt. Of je vraagt extra verificatie bij inlogpogingen uit een land waar je niet zaken doet. Je kunt toegang ook beperken tot apparaten die je bedrijf beheert. Dat laatste sluit mooi aan op modern werkplekbeheer met Microsoft Intune, waarmee je apparaten centraal registreert en controleert.

Conditional access vergt iets meer instelwerk en is beschikbaar vanaf de Microsoft 365-abonnementen met de bijbehorende Entra-licentie. Voor bedrijven die hun beveiliging serieus nemen, is het de moeite meer dan waard. Je krijgt sterkere bescherming zonder dat je medewerkers de hele dag codes hoeven in te tikken.

Veelvoorkomende valkuilen en hoe je ze voorkomt

MFA werkt alleen als je het goed inricht. Een paar valkuilen komen we in de praktijk steeds weer tegen.

De bekendste is MFA-moeheid. Sommige aanvallers die al een wachtwoord hebben, sturen een stortvloed aan goedkeuringsmeldingen naar de telefoon van het slachtoffer, in de hoop dat die op een gegeven moment uit ergernis of per ongeluk op “goedkeuren” tikt. Hier helpt number matching, dat in Microsoft Authenticator standaard al actief is. De gebruiker moet dan een getal uit het inlogscherm overtypen in de app, wat klakkeloos goedkeuren onmogelijk maakt.

Een tweede valkuil is het ontbreken van een herstelmethode. Wat gebeurt er als iemand zijn telefoon verliest of een nieuw toestel krijgt? Zonder plan zit die medewerker buitengesloten. Zorg daarom dat elke gebruiker meer dan één factor heeft ingesteld, en regel een duidelijke procedure voor het opnieuw instellen van MFA, met goede verificatie zodat een aanvaller die procedure niet kan misbruiken.

Tot slot zien we vaak dat beheerdersaccounts worden vergeten. Juist die accounts hebben de meeste rechten en zijn het aantrekkelijkst voor criminelen. Geef beheerders de sterkste vorm van MFA, bij voorkeur een hardware key of passkey, en maak hier geen uitzondering op. Het zijn deze accounts die het verschil maken tussen een afgeslagen aanval en een geslaagde ransomware-besmetting.

Veelgestelde vragen over multifactor authenticatie

Is MFA verplicht voor mijn bedrijf?

Voor veel organisaties wordt sterke authenticatie steeds vaker een eis, bijvoorbeeld vanuit verzekeraars of nieuwe wetgeving zoals NIS2 voor het MKB. Ook als het in jouw situatie nog niet strikt verplicht is, is het een van de verstandigste maatregelen die je kunt nemen.

Vertraagt MFA het werk van mijn medewerkers?

Nauwelijks. Met een authenticator-app of passkey kost een tweede factor een paar seconden. Met conditional access vraag je er alleen om wanneer het nodig is, bijvoorbeeld buiten kantoor. De winst aan veiligheid weegt ruim op tegen die paar seconden.

Wat als een medewerker zijn telefoon kwijtraakt?

Daarom richt je vooraf een herstelmethode in. Laat iedereen meer dan één factor instellen en zorg voor een veilige procedure om MFA opnieuw te koppelen op een nieuw toestel. Dan blijft iemand nooit zomaar buitengesloten.

Is sms-verificatie goed genoeg?

Het is beter dan niets, maar sms is de zwakste vorm. Sim-swapping en onderschepping maken het kwetsbaar. Kies waar het kan voor een authenticator-app, passkey of hardware key.

Tot slot

Multifactor authenticatie is een van de weinige beveiligingsmaatregelen die veel oplevert voor weinig moeite. Een gestolen wachtwoord is dan niet langer genoeg, en daarmee blokkeer je het overgrote deel van de aanvallen die dagelijks op accounts afkomen.

Begin met MFA aanzetten voor iedereen en kies een sterke factor. Number matching tegen MFA-moeheid staat in Microsoft Authenticator standaard al aan, en daarna bouw je verder uit met conditional access. Loop je vast bij het instellen, of wil je zeker weten dat je omgeving goed staat? Qware ICT helpt ondernemers in Dordrecht en de regio Drechtsteden om hun Microsoft 365-omgeving veilig in te richten. Bel ons gerust op 078 653 1820 voor een vrijblijvend gesprek.