Al gedurende enkele jaren worden computers beveiligd met wachtwoorden. Er zijn al heel wat oplossingen de bedacht en toegepast om het stelen van deze wachtwoorden te bemoeilijken, zoals bijvoorbeeld het omzetten van het wachtwoord naar een versleutelde tekenreeks wat door veel websites gedaan wordt (en eigenlijk door alle websites gedaan zou moeten worden).
Ondanks deze voorzorgsmaatregelen gebeurt het nog geregeld dat wachtwoorden in handen van criminelen vallen. Deze wachtwoorden worden bijvoorbeeld verkregen door phishing. Bij phishing stuurt de crimineel bijvoorbeeld een e-mail uit naam van de bank met de vraag om in te loggen. Klik je op de link in deze e-mail, dan kom je vaak op een website terecht die bijna niet van de echte te onderscheiden is. Wanneer je hier inlogt met je gegevens hebben de criminelen je inloggegevens te pakken. Om het inloggen met gestolen gegevens te bemoeilijken, passen veel partijen tegenwoordig tweestapsverificatie toe. Tweestapsverificatie betekent simpel gezegd, zoals de naam misschien al doet vermoeden, dat er 2 acties nodig zijn om te verifieren dat jij het bent die probeert in te loggen en niet iemand die op enige manier jouw gegevens te pakken heeft gekregen. Bij het gebruik van tweestapsverificatie (ookwel 2FA of 2-factor authentication) log je eerst in met je gebruikersnaam en wachtwoord, zoals je gewend bent, maar om daadwerkelijk in te kunnen loggen moet je vervolgens nog een code invoeren. Deze code kan bijvoorbeeld via een SMS naar jouw mobiel worden verzonden, maar het is ook mogelijk om gebruik te maken van authentication apps.
Tweestapsverificatie via SMS
SMS-verificatie is op dit moment nog de meest bekende variant van tweestapsverificatie. Het komt neer op het volgende, jouw account is gekoppeld aan je mobiele nummer. Probeer je in te loggen, dan doe je dat met je gebruikersnaam en wachtwoord. Vervolgens ontvang je een sms met een code die je in dient te vullen. Klopt de code, dan ben je pas daarna succesvol ingelogd. Het voordeel van deze methode is de eenvoud. Je hoeft maar 1 keer je telefoonnummer te koppelen aan je account en bij het inloggen hoef je alleen te wachten op het smsje. Een van de nadelen van deze methode is dat sommige criminelen de telefoonprovider weten te overtuigen dat ze jou zijn. Ze vragen dan jouw nummer om te zetten naar hun simkaart, waarna zij de verificatiesmsjes ontvangen. Tweestapsverificatie via een verificatie app
Naast tweestapsverificatie via sms, is het ook mogelijk om gebruik te maken van een zogeheten authenticator app. Een goed voorbeeld van zo'n app is de Google Authenticator. Je kunt bij deze app kiezen voor een handmatige invoer of voor het scannen van een streepjescode. Wanneer je een account hebt waarbij je tweestapsverificatie aan wilt zetten, log je op dat account in. Veel platformen bieden de mogelijkheid om meteen een QR-code te scannen, waarne je account gekoppeld is aan jouw authenticator app en er een sleutel wordt aangemaakt. Wil je vervolgens inloggen op je account, dan doe je dat eerst met je gebruikersnaam en wachtwoord. Vervolgens open je de authenticator app, die een code toont die bij het account hoort. Deze code is beperkt geldig, dertig seconden om precies te zijn. Neem de code over en je kunt veilig inloggen. Beveiligen middels hardwaresleutel
Er is nog een derde mogelijkheid, namelijk door gebruik te maken van een hardwaresleutel. Dit daadwerkelijk een fysiek onderdeel, bijvoorbeeld een USB-stick. De beveiligingscode kan pas worden uitgelezen wanneer je deze hardware inplugt. Daar zit ook meteen de zwakte van dit systeem, ben je de fysieke sleutel kwijt, dan kom je er ook niet meer in.