MFA, oftewel multifactorauthenticatie, is een login die om meer dan één soort bewijs vraagt voordat je binnenkomt. Het klassieke recept combineert iets wat je weet, zoals een wachtwoord, met iets wat je hebt, zoals een code op je telefoon, of iets wat je bent, zoals een vingerafdruk. Het idee is simpel: een dief die je wachtwoord raadt of steelt, stuit nog steeds op een tweede gesloten deur.

Denk aan een kluisje bij de bank. Jouw sleutel alleen opent hem niet, en de sleutel van de bank ook niet. Allebei moeten ze tegelijk omdraaien. MFA werkt net zo: elke factor op zichzelf is onvolledig, dus een aanvaller moet twee aparte dingen kraken in plaats van één. Daarom is MFA een van de meest doeltreffende verdedigingen tegen phishing en wachtwoorddiefstal.

De factoren zijn niet allemaal even sterk. Een code per sms is prima voor accounts met weinig risico maar kan worden onderschept, terwijl een authenticator-app of hardwaresleutel veel moeilijker te omzeilen is. Wanneer MFA wordt gecombineerd met single sign-on, krijgen gebruikers één veilige login die meerdere systemen tegelijk beschermt.

De eerlijke zwakke plek is de mens, niet de wiskunde. Aanvallers bestoken een doelwit nu met inlogmeldingen om twee uur ‘s nachts, in de gok dat hij op “ja” tikt om het getril te laten stoppen. Number-matching, waarbij je een code op het scherm overtypt, ondergraaft die truc. De andere les die teams op de harde manier leren is herstel regelen vóór je het nodig hebt. Raak je de telefoon met je enige authenticator kwijt, dan sluit je jezelf net zo grondig buiten als elke hacker, dus back-upcodes en een tweede geregistreerd apparaat horen erbij.

Bij TopDevs zetten we MFA aan op de systemen die we bouwen en op onze eigen tools, omdat het de overgrote meerderheid van accountovernames tegenhoudt met nauwelijks extra moeite.