'Organisaties moeten tweestapsverificatie verplichten om online beveiliging te verbeteren'

Het gebruik van een wachtwoord volstaat al jaren niet om te zorgen dat cybercriminelen geen toegang krijgen tot je onlineaccount. Twee-factor authenticatie (2FA) voegt een noodzakelijke beveiligingslaag toe: naast een wachtwoord moeten gebruikers een tweede handeling uitvoeren om in te loggen. Hierdoor voorkomt men ongeautoriseerde toegang veel effectiever. Toch blijven aanvallen met gestolen inloggegevens effectief, omdat 2FA ontbreekt of slechts optioneel is. Brede invoering blijft uit zolang organisaties de keuze bij de gebruiker laten. World Password Day is een uitstekend moment om die twijfel te doorbreken: organisaties moeten 2FA verplicht stellen.

De verantwoordelijkheid ligt niet alleen bij organisaties zelf, maar ook bij softwareleveranciers. Zij kunnen hun klanten ondersteunen door 2FA niet alleen standaard aan te bieden, maar het gebruik ervan te verplichten. Alleen dan worden hun klanten, en daarmee ook de meeste organisaties en hun gebruikers, daadwerkelijk gestimuleerd om werk te maken van hun digitale veiligheid. 

Toch gebeurt dit nog zelden. Veel leveranciers durven het niet aan om 2FA standaard in te schakelen, uit vrees dat de extra handeling gebruikers afschrikt. Ze vrezen dat een verplichting klanten naar de concurrentie drijft. Maar die commerciële terughoudendheid is niet langer houdbaar. Op softwareleveranciers rust een duidelijke zorgplicht: zij moeten waarborgen dat men data veilig verwerkt. Wie zichzelf serieus neemt als leverancier, stelt 2FA verplicht – uiteraard afgestemd op het type data en het risicoprofiel van de applicatie.

Tegelijkertijd moeten organisaties goed nadenken over welke vorm van 2FA ze inzetten. De gekozen methode moet aansluiten op de dagelijkse praktijk van gebruikers. Denk aan medewerkers in de zorg die geen telefoon gebruiken op de werkvloer, of werken met gedeelde apparaten. Voor hen kan automatische codegeneratie via een wachtwoordmanager veel gebruiksvriendelijker zijn dan 2FA via sms of een aparte app. Ten slotte is een gefaseerde uitrol essentieel: geef gebruikers voldoende tijd, uitleg en ondersteuning om 2FA in te stellen vóórdat het verplicht wordt. Alleen dan wordt 2FA geen obstakel, maar een vanzelfsprekende stap in veilig werken.