Is SMS-2FA echt onveilig?

Niet fundamenteel onveilig, wel zwakker dan apps. Sim-swapping (een crimineel laat de provider je nummer overdragen op een nieuwe simkaart) komt voor. Voor accounts met financiële impact: bij voorkeur authenticator-app of hardware-sleutel.

Welke authenticator-app is het beste?

Voor de meeste mensen: Authy (gratis, cloud-back-up via telefoonnummer + wachtwoord) of de ingebouwde authenticator van een wachtwoordmanager (1Password, Bitwarden). Google Authenticator is solide maar simpel.

Wat is het verschil tussen 2FA en TOTP?

2FA is het concept (twee verificatiestappen). TOTP (Time-based One-Time Password) is het protocol dat authenticator-apps gebruiken om elke 30 seconden een nieuwe code te genereren. Vrijwel alle authenticator-apps gebruiken TOTP.

Moet ik mijn telefoonnummer geven voor 2FA?

Voor SMS-2FA wel. Voor authenticator-app of hardware-sleutel: nee. Veel providers vereisen helaas eerst SMS-2FA voordat je een sterkere methode kunt instellen.

Werken authenticator-apps zonder internet?

Ja. TOTP-codes worden offline berekend op basis van een gedeelde sleutel + huidige tijd. Geen netwerk nodig. Wel moet de telefoon-tijd correct zijn (auto-tijd aan).

Tweefactor-authenticatie (2FA) bij telecom, energie en banken

Met alleen een wachtwoord ben je niet meer veilig. 2FA voegt een tweede stap toe (code per SMS, app of YubiKey). Wij leggen uit hoe je het activeert bij grote Nederlandse providers en welke methode het meest veilig is.

Drie vormen van 2FA, niet allemaal even veilig

SMS-code: de provider stuurt een 6-cijferige code per SMS. Eenvoudig, maar kwetsbaar voor sim-swapping en SS7-aanvallen op het mobiele netwerk.
Authenticator-app: Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden. Code wordt op je toestel zelf berekend, niet via netwerk verstuurd. Veiliger.
Hardware-sleutel (YubiKey, Titan): fysiek apparaat dat je in USB-poort plugt of via NFC tegen je telefoon houdt. Meest veilig, niet te phishen.

Volgorde van voorkeur

Hardware-sleutel > authenticator-app > SMS. Gebruik authenticator-app als minimum voor accounts met financiële impact (bank, telecom, e-mail).

Activeren per provider

KPN Mijn KPN: log in, profiel, beveiliging, tweestapsverificatie. SMS-only.
Ziggo MijnZiggo: instellingen, beveiliging. SMS of authenticator-app sinds 2024.
Odido (T-Mobile): app, profiel, beveiligingsinstellingen.
ING / Rabobank / ABN: ingebouwd in eigen app via Mobiel Bevestigen. Activeer ook de hardware-knop ('Random Reader' bij Rabo) voor desktop-bankieren.
Energieleveranciers (Vattenfall, Eneco, Essent): variabel, vaak alleen SMS.
Google / Apple-account: authenticator + hardware-sleutel allebei mogelijk. Zet beiden aan.

Wat als je je 2FA-toestel verliest?

Sla recovery-codes op: bij activatie krijg je 8-10 eenmalige codes. Bewaar ze in een wachtwoordmanager (apart van het account zelf!) of print ze en leg ze in de kluis.
Activeer een tweede authenticator-bron: Authy en 1Password syncen via cloud, Google Authenticator (vanaf 2023) ook. Op nieuw toestel direct herstelbaar.
Voeg een back-up YubiKey toe: bij gebruik van hardware-sleutels altijd 2 hebben, op verschillende plaatsen.
Bij volledig verlies: contact met de provider/bank, identificatie via paspoort + adres, herstel duurt 1-5 werkdagen.

Print je recovery-codes

Een uitgeprint vel A4 met je codes, bewaard in dezelfde la als je paspoort, is in noodgevallen sneller dan inloggen op een tweede telefoon.

Tweefactor-authenticatie (2FA) bij telecom, energie en banken

Drie vormen van 2FA, niet allemaal even veilig

Activeren per provider

Wat als je je 2FA-toestel verliest?

Veelgestelde vragen

Geschreven door

Bijgewerkt op