Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Authenticatie – een eerste kennismaking

Kennisartikelen
Leestijd:
(Multifactor) authenticatie
Beginnen
Aanvallers hebben genoeg aan gestolen inloggegevens om toegang te krijgen tot e-mail, applicaties en data. Daarom is beheren van toegang het vierde basisprincipe voor iedere organisatie. In dit artikel lees je wat authenticatie is, hoe het samenhangt met identificatie en autorisatie en hoe je een goede set aan authenticatie-basismaatregelen neemt.

Doelgroep:

Dit artikel is bedoeld voor organisaties die willen beginnen met het implementeren van authenticatiemaatregelen om zo te voorkomen dat kwaadwillenden vertrouwelijke documenten in handen krijgen of mails sturen uit naam van jouw organisatie. 

Wat is authenticatie?

Om te begrijpen hoe veilig inloggen werkt, is het belangrijk om onderscheid te maken tussen identificatie, authenticatie en autorisatie. Authenticatie is het controleren of iemand echt is wie die zegt te zijn. Bij digitaal inloggen gebeurt dat met een authenticatiefactor. Er zijn drie factoren waarmee je kunt authentiseren: 

1. Iets wat je weet, bijvoorbeeld een wachtwoord of pincode

2. Iets wat je hebt, bijvoorbeeld een pasje of een authenticatorapp op je telefoon

3. Iets wat je bent, bijvoorbeeld een vingerdruk of gezichtsherkenning.

Authenticatie volgt op identificatie: eerst geef je aan wie je bent, daarna controleert het systeem of dat klopt. Autorisatie komt daarna en bepaalt wat je na het inloggen mag doen.

Multifactorauthenticatie (MFA) gebruikt meerdere onafhankelijke factoren om de identiteit van een gebruiker vast te stellen. Denk aan een combinatie van iets wat je weet, iets wat je hebt en iets wat je bent.

Achtergrond

Tegenwoordig zeggen we “hackers breken niet in, ze loggen in”. Het betekent dat hackers minder vaak kwetsbaarheden misbruiken in systemen, maar juist inloggen via gelekte inloggegevens. Cloudflare bevestigt deze trend in hun 2026 threat report en benoemt ook de volgende drie statistieken:

  • 4 procent van alle inlogpogingen zijn van bots die geautomatiseerd inloggegevens testen
  • 54 procent van de ransomware-aanvallen wordt veroorzaakt door malware die inloggegevens steelt
  • Ongeveer 50 procent van de menselijke inlogpogingen wordt gedaan met inloggegevens die in eerdere datalekken zijn buitgemaakt.

In het licht van de Cyberbeveiligingswet (NIS2) is authenticatiemanagement zeer relevant. Artikel 21 benadrukt dat organisaties passende maatregelen moeten nemen om risico’s te beperken. Sterke authenticatie, zoals passkeys, en goed beheer van identiteiten en toegangsrechten zijn hierbij cruciaal. 

Wachtwoorden, een maatregel maar ook een risico

Accounts die wachtwoorden hebben als enige vorm van authenticatie zijn kwetsbaar. Dit komt doordat wachtwoorden in de praktijk vaak op meerdere plekken tegelijk worden gebruikt. Een medewerker kan bijvoorbeeld hetzelfde wachtwoord gebruiken voor een privéaccount en een werkaccount. Als dat privéaccount betrokken raakt bij een datalek, kan het gelekte wachtwoord ook een risico worden voor de organisatie waarvoor de persoon werkt als hij hetzelfde wachtwoord gebruikt. De organisatie heeft dat datalek niet veroorzaakt, maar ondervindt wel de gevolgen van het datalek en de onzorgvuldigheid van de medewerker. Er zijn veel aanvalstechnieken mogelijk met gelekte wachtwoorden of om deze te verkrijgen.

Accounts die alleen zijn beveiligd met een wachtwoord zijn gevoeliger voor phishing dan accounts die extra authenticatie-opties hanteren. Een e-mail die betrouwbaar lijkt, een link naar een nepwebsite of een bericht dat haast of druk veroorzaakt, kan voldoende zijn om iemand naar een valse inlogpagina te leiden. De gebruiker denkt met zijn wachtwoord in te loggen bij een bekende website, terwijl de gegevens bij een aanvaller terechtkomen. Dit is geen teken dat medewerkers onzorgvuldig zijn. Iedereen kan hierin trappen, zeker wanneer de aanval inspeelt op tijdsdruk, routine of vertrouwen. Lees het artikel over phishingaanvallen om te leren hoe je phishing herkent, en wat je ertegen doet.

Daar komt bij dat wachtwoorden voor mensen moeilijk zijn te gebruiken en te onthouden. Sterke wachtwoorden moeten namelijk lang en uniek zijn. Gelijktijdig moeten mensen inloggegevens onthouden voor tientallen websites. Zonder ondersteuning van bijvoorbeeld wachtwoordmanagers leidt dat al snel tot hergebruik, voorspelbare variaties of het bewaren van wachtwoorden op onveilige plekken. Een wachtwoord is daarmee als enige authenticatiemiddel onvoldoende.

Wat kan ik doen?

Er zijn verschillende vormen van authenticatie die je kunt toepassen om het probleem van alleen wachtwoordgebruik aan te pakken. Begin met maatregelen die het risico op misbruik van inloggegevens verkleinen en die voor gebruikers uitvoerbaar blijven. Maatregelen die te ingewikkeld zijn kunnen aanleiding geven dat medewerkers het nut er niet van inzien en ze omzeilen. Goede authenticatie vraagt om een combinatie van techniek, duidelijke afspraken en ondersteuning. 

Passkeys

Gebruik passkeys als authenticatiemiddel waar dat kan. Dat is de veiligste techniek en bestand tegen bijna alle aanvallen, omdat je dan geen wachtwoorden meer gebruikt. Passkeys bestaan in verschillende vormen: op je telefoon, via biometrie of een beveiligingssleutel. Wat ze gemeen hebben is dat ze volgens de FIDO2-standaard authenticeren. 

Hoe maak je een sterk wachtwoord?

Waar wachtwoorden nog worden gebruikt als enige vorm van authenticatie moet je kiezen voor lange, unieke wachtwoorden. Een lange wachtwoordzin is meestal beter te onthouden dan een kort wachtwoord met ingewikkelde tekens. Het belangrijkste is dat hetzelfde wachtwoord niet op meerdere plekken wordt gebruikt. Hergebruik zorgt er namelijk voor dat een incident bij de ene website of app gevolgen kan hebben voor een andere dienst. 

Maak het wachtwoordbeleid praktisch. Te strenge of onduidelijke eisen kunnen er namelijk toe leiden dat medewerkers patronen gaan gebruiken of wachtwoorden onveilig bewaren. Dit betekent:

  • Vereis een minimumlengte van 14 tekens. Hanteer geen maximumlengte.
  • Vereis geen combinatie van letters, cijfers en tekens. Dit maakt het minder praktisch en lokt daardoor hergebruik van wachtwoorden uit.
  • Geef wachtwoorden een onbeperkte tijdsduur. Dit moedigt gebruikers aan om voor iedere website/app/systeem één keer een goed wachtwoord te kiezen. Laat gebruikers alleen hun wachtwoord wijzigen bij vermoeden van uitlekken of misbruik.

Lees al onze tips voor het bedenken van een sterk wachtwoord.

Wachtwoordmanager

Gebruik een wachtwoordmanager of wachtwoordkluis om unieke en sterke wachtwoorden haalbaar te maken. Een wachtwoordmanager neemt de druk weg bij medewerkers, omdat zij niet elk wachtwoord zelf hoeven onthouden of bedenken. Een wachtwoordmanager is namelijk in staat sterke wachtwoorden voor de medewerker te genereren. Daardoor wordt het makkelijker om voor iedere website een ander sterk wachtwoord te gebruiken. 

Voor jouw organisatie is het belangrijk om hierover duidelijke afspraken te maken. Welke wachtwoordmanager wordt gebruikt? Voor welke accounts is die verplicht? Hoe worden gedeelde accounts voorkomen of beheerd? En wie helpt medewerkers bij vragen of het vergeten van een wachtwoord? Een wachtwoordmanager is vooral effectief wanneer deze onderdeel is van een bredere aanpak voor veilig inloggen en accountbeheer. 

Multifactorauthenticatie (MFA)

Een sterk wachtwoord helpt wel tegen wachtwoordaanvallen, maar niet tegen datalekken waar jouw wachtwoord in staat, of een kwaadwillende die meekijkt bij het intypen van jouw wachtwoord. De oplossing is inzetten van MFA; door meerdere authenticatiefactoren te combineren zijn jouw accounts extra beveiligd.

Gebruik MFA waar passkeys technisch niet mogelijk zijn. Kijk daarbij niet alleen of MFA aanstaat, maar ook welke methode wordt gebruikt. Sommige MFA-methoden bieden vooral een extra drempel. Voor veel organisaties is het verstandig om te beginnen met brede invoering van MFA en daarna te bepalen waar sterkere vormen nodig zijn. Denk daarbij aan accounts met veel rechten, accounts van leveranciers en toegang tot systemen met gevoelige of bedrijfskritieke informatie. Er komen veel zaken kijken rondom het inrichten van MFA. Zo zijn er verschillende vormen van MFA beschikbaar, verschillende aanbieders en spelen verschillende aspecten zoals prijs en gebruiksvriendelijkheid altijd een rol. Het is raadzaam om niet overhaast een methode te kiezen maar hier goed bij stil te staan. Lees het artikel Hoe kies je een MFA-methode om de beste MFA-methode te kiezen voor jouw organisatie.

Detecteer en reageer

Als een medewerker vermoedt dat inloggegevens zijn ingevuld op een verkeerde website, dat een account vreemd gedrag vertoont of dat een MFA-prompt onverwacht verschijnt, helpt snel melden om schade te beperken. Wachten of niets doen maakt de situatie vaak erger, omdat een aanvaller dan meer tijd krijgt om toegang uit te breiden of gegevens te kopiëren. Werk in jouw organisatie aan een veilige meldcultuur waarbij medewerkers zich niet hoeven schamen om incidenten te melden.

De basis van veilige authenticatie

Veilige authenticatie begint met overzicht: wie logt waarop in, met welk middel en met welke rechten? Gebruik dit artikel als startpunt en kies daarna de artikelen die passen bij jouw volgende stap. Begin met passkeys waar dat kan, gebruik sterke en unieke wachtwoorden in combinatie met MFA op plaatsen waar passkeys niet worden ondersteund, en werk vervolgens toe naar beleid en beheerprocessen. 

Heb je bovenstaande maatregelen op orde? Dan heb je de eerste algemene basis staan maar ben je er nog niet! Het NCSC raadt je aan om vervolgstappen te nemen voor een passend authenticatiebeleid. Kijk hiervoor naar Hoe beheer ik identiteit en toegang. Zo groeit veilig inloggen uit tot een structureel onderdeel van de digitale weerbaarheid van je organisatie.

Mogen we je wat vragen?