Multi-factor authentication bevestigt wie je bent door meer dan één onafhankelijk identiteitsbewijs te vragen. In plaats van te vertrouwen op één wachtwoord, vraagt het om minstens twee factoren uit verschillende categorieën: iets wat je weet, iets wat je hebt, en iets wat je bent. Eén ervan fout, en de deur blijft dicht.

Waarom dit werkt, komt neer op onafhankelijkheid. Een wachtwoord kan lekken bij een datalek, gephisht worden, of hergebruikt zijn van een andere site, en je merkt het misschien nooit. Maar dat een aanvaller ook nog op datzelfde moment jouw telefoon of vingerafdruk in handen heeft, is een veel grotere opgave. Het is het verschil tussen een slot met één sleutel en een slot dat twee sleutels in aparte zakken vereist. Sterke authenticatie als deze is inmiddels een basisverwachting, geen luxe.

MFA combineert bijzonder goed met single sign-on: gebruikers loggen één keer in met meerdere factoren, en die ene sterke login dekt vervolgens elke gekoppelde app. De factoren verschillen in sterkte, dus voor gevoelige accounts wint een authenticator-app of hardwaresleutel het van een sms-code.

Bij dat laatste punt is het de moeite waard stil te staan. Sms-codes zijn te onderscheppen via SIM-swapping, waarbij een aanvaller een provider overtuigt jouw nummer naar zijn telefoon te zetten. Push-goedkeuringen kennen een andere valkuil: mensen tikken uit gewoonte op “akkoord” als de meldingen blijven komen, een truc die bekendstaat als MFA-vermoeidheid. Een passkey of hardwaresleutel omzeilt allebei, want er valt niets te typen en niets te onderscheppen. Hetzelfde idee zit achter access control, waar de sterkte van het bewijs moet passen bij hoe gevoelig het beschermde ding is.

Eén praktische kanttekening: houd rekening met de dag dat iemand zijn telefoon kwijtraakt. Zonder herstelroute, zoals eenmalig geprinte back-upcodes of een tweede geregistreerd apparaat, kan een sterke MFA-opzet precies de mensen buitensluiten die hij moest beschermen.

Bij TopDevs maken we MFA standaard op beheeraccounts en klantsystemen, omdat het de meest gebruikte route van aanvallers wegneemt: een gestolen of hergebruikt wachtwoord.