Twee-factor authenticatie (2FA) wordt vaak gepresenteerd als iets wat je per definitie met een smartphone doet. Een sms-code ontvangen, een authenticator-app openen, je vingerafdruk scannen. Maar wat als je geen smartphone hebt, die kwijt bent, of hem simpelweg niet wil gebruiken voor je digitale beveiliging? Dan ben je echt niet de enige, en gelukkig zijn er degelijke alternatieven.
In dit artikel leggen we uit welke opties je hebt om 2FA in te stellen zonder dat je een telefoon nodig hebt. We behandelen hardwaresleutels, desktop-authenticatoren, back-upcodes en sms-alternatieven. Elke methode heeft zo zijn eigen voor- en nadelen, die we eerlijk benoemen.
Of je nu een zakelijke gebruiker bent die liever alles via de computer regelt, of iemand die simpelweg geen vertrouwen heeft in de telefoonbeveiliging: er is altijd een werkende oplossing voor jou.
Waarom 2FA sowieso belangrijk is
Een sterk wachtwoord alleen is tegenwoordig niet meer voldoende. Bij grote datalekken worden miljoenen wachtwoorden tegelijk gestolen en doorverkocht op het dark web. Met 2FA voeg je een tweede slot toe aan je account: zelfs als iemand je wachtwoord heeft, kom je niet binnen zonder die tweede stap.
Die tweede stap hoeft echt niet via je smartphone te lopen. Het gaat erom dat je iets weet (je wachtwoord) combineert met iets wat je hebt of bent. Dat tweede element kan net zo goed een fysiek apparaatje zijn dat aan je sleutelbos hangt, of een programma op je computer.
Optie 1: een hardwaresleutel
Een hardwaresleutel is een klein USB-apparaatje dat je aansluit op je computer wanneer je wil inloggen. Je steekt het in de poort, drukt op een knopje, en klaar. Geen codes overtypen, geen telefoon nodig.
De bekendste merken zijn YubiKey en Google Titan Key. Een YubiKey 5 NFC kost rond de 55 euro en werkt met honderden diensten, waaronder Google, Microsoft, GitHub, Dropbox en veel wachtwoordmanagers. De Google Titan Key is iets goedkoper maar minder breed inzetbaar.
Wil je ook toegang via een apparaat met USB-C of Bluetooth, dan zijn er duurdere varianten. YubiKey heeft modellen tot zo’n 90 euro voor brede compatibiliteit.
Voordelen van een hardwaresleutel
Een hardwaresleutel is de veiligste vorm van 2FA die je kunt gebruiken. Hij is niet kwetsbaar voor phishing, want de sleutel controleert of de website echt is voordat hij reageert. Je hebt geen internetverbinding nodig om hem te gebruiken, en er is geen code die iemand kan onderscheppen.
Nadelen van een hardwaresleutel
Je moet de sleutel altijd bij je hebben. Verlies je hem, dan heb je geen toegang meer tenzij je van tevoren back-upsleutels of alternatieve inlogmethoden hebt ingesteld. Niet elke website ondersteunt hardwaresleutels, al groeit dat aantal snel. En de aanschafprijs is hoger dan een gratis app.
Optie 2: een authenticator-app op je computer
Authenticator-apps genereren tijdgebonden codes van zes cijfers, de zogenaamde TOTP-codes. Die codes wisselen elke 30 seconden. Normaal gebruik je zo’n app op je telefoon, maar er bestaan ook versies voor Windows, Mac en Linux.
Een praktische optie voor Windows is WinAuth, een gratis en open-source programma. Voor Mac kun je Authenticator (van 2stable) gebruiken, beschikbaar in de Mac App Store voor een paar euro. Op Linux werkt KeePassXC goed, een wachtwoordmanager die ook TOTP-codes kan genereren.
Je scant de QR-code van een dienst eenmalig in via je computer, en daarna geeft het programma steeds de juiste code. Simpel en effectief.
Voordelen van desktop-authenticatoren
Je hebt je telefoon niet nodig, je werkflow blijft op een apparaat, en de codes zijn net zo veilig als die van een mobiele authenticator. Back-ups maken is makkelijker omdat je alles op je computer hebt staan.
Nadelen van desktop-authenticatoren
Als iemand toegang heeft tot je computer, heeft die ook toegang tot je codes. Je inloggen en je tweede factor zitten dan op hetzelfde apparaat, wat minder ideaal is vanuit beveiligingsoogpunt. Voor extra gevoelige accounts, zoals bankieren of je e-mail, is een hardwaresleutel dan toch een betere keuze.
Optie 3: back-upcodes bewaren
De meeste grote diensten, zoals Google, Microsoft en GitHub, geven je bij het instellen van 2FA een reeks eenmalige back-upcodes. Dit zijn codes van acht tot tien tekens die je precies een keer kunt gebruiken als alternatief voor je gewone tweede factor.
Je hoeft hier geen app of apparaat voor te hebben. Druk de codes af, bewaar ze op een veilige plek, en gebruik er een als je geen andere optie hebt. Dit is meer een noodoplossing dan een dagelijkse methode, maar het is wel een verstandige aanvulling op welke methode je ook kiest.
Bewaar die codes nooit alleen digitaal op hetzelfde apparaat als je inloggegevens. Afdrukken en in een kluis of lade leggen is nog steeds een van de veiligste manieren.
Optie 4: e-mail als tweede factor
Sommige diensten bieden aan om een verificatiecode naar je e-mailadres te sturen in plaats van naar je telefoon. Dit is minder veilig dan de bovenstaande opties, want als iemand toegang heeft tot je e-mail, heeft die ook de code. Maar het is beter dan helemaal geen 2FA.
Gebruik deze optie alleen als tijdelijke maatregel, of voor minder gevoelige accounts. Zorg er in elk geval voor dat je e-mailaccount zelf wel goed beveiligd is met een sterke methode.
Optie 5: een wachtwoordmanager met TOTP-ondersteuning
Wachtwoordmanagers zoals Bitwarden (gratis basisversie, premium voor 10 dollar per jaar) en 1Password (rond 3 euro per maand) kunnen ook TOTP-codes genereren en opslaan. Je installeert ze op je computer, en ze doen tegelijk dienst als wachtwoordkluis en authenticator.
Dit is handig omdat alles op een plek staat. Het nadeel is hetzelfde als bij desktop-authenticatoren: je wachtwoord en je tweede factor zitten dicht bij elkaar. Voor de meeste mensen is dit echter een praktische en acceptabele afweging, zeker als je de wachtwoordmanager zelf ook goed beveiligt met een sterk hoofdwachtwoord en eventueel een hardwaresleutel.
Welke optie past bij jou?
Ben je op zoek naar maximale veiligheid en gebruik je veel verschillende diensten? Kies dan voor een YubiKey. De investering van 55 tot 90 euro betaalt zich terug in gemak en betrouwbaarheid.
Wil je een gratis oplossing die goed genoeg is voor dagelijks gebruik? Dan is een desktop-authenticator zoals WinAuth of KeePassXC een praktische keuze. Combineer dat altijd met back-upcodes voor als er iets misgaat.
Gebruik je toch soms een smartphone naast je computer? Dan kun je ook hybride gaan: een authenticator-app op je telefoon plus back-upcodes en eventueel een hardwaresleutel als extra backup. Hoe meer lagen, hoe beter.
Aan de slag: zo stel je het in
De exacte stappen verschillen per dienst, maar de globale aanpak is overal vergelijkbaar. Ga naar de beveiligingsinstellingen van je account. Zoek naar twee-stapsverificatie of tweefactorauthenticatie. Kies de gewenste methode en volg de instructies op het scherm.
Bij een hardwaresleutel selecteer je meestal de optie voor een beveiligingssleutel of FIDO2-sleutel. Sluit de YubiKey aan en druk op de knop wanneer dat wordt gevraagd. Bij een desktop-authenticator kies je de optie voor een authenticator-app, scan je de QR-code via je programma, en typ je de gegenereerde code in ter bevestiging.
Sla altijd je back-upcodes op voordat je het proces afrondt. Dat is geen optionele stap, maar een noodzaak. Als je ooit je tweede factor kwijtraakt en geen back-upcodes hebt, ben je buitengesloten van je eigen account.
2FA instellen zonder smartphone is niet moeilijker dan de standaardmethode. Het vraagt alleen een kleine voorbereiding en de keuze voor het juiste gereedschap. Eenmaal ingesteld merk je er amper iets van, behalve dat je een stuk beter beschermd bent.