Wat is multi-factor authenticatie (MFA)?

Multi-factor authenticatie (MFA) vereist dat gebruikers twee of meer onafhankelijke verificatiefactoren verstrekken om toegang te krijgen tot een systeem of applicatie. Deze factoren komen uit verschillende categorieën: iets dat u weet (wachtwoord, PIN), iets dat u heeft (beveiligingssleutel, telefoon, smartcard) en iets dat u bent (vingerafdruk, gezichtsherkenning). MFA vermindert het risico op accountcompromittering aanzienlijk omdat een aanvaller meerdere factoren moet bemachtigen in plaats van alleen een wachtwoord.

Wat is het verschil tussen MFA en 2FA?

Twee-factor authenticatie (2FA) is een subset van MFA die precies twee factoren gebruikt. MFA is de bredere term die twee of meer factoren omvat. In de praktijk gebruiken de meeste implementaties twee factoren (2FA), maar omgevingen met hoge beveiliging kunnen drie factoren vereisen — bijvoorbeeld een wachtwoord (kennis), een hardware beveiligingssleutel (bezit) en een vingerafdruk (biometrie). Alle 2FA is MFA, maar niet alle MFA is beperkt tot twee factoren.

Wat is phishing-bestendige MFA?

Phishing-bestendige MFA gebruikt authenticatiemethoden die niet kunnen worden onderschept of hergespeeld door aanvallers via phishing. FIDO2/WebAuthn beveiligingssleutels en platform-authenticatoren (Windows Hello, Apple Touch ID/Face ID) zijn phishing-bestendig omdat ze publieke-sleutelcryptografie gebruiken die gebonden is aan het legitieme domein. SMS-codes, TOTP-apps en pushmeldingen zijn NIET phishing-bestendig omdat ze kunnen worden onderschept via real-time phishing-proxy's of SIM-swapping.

Wat is FIDO2/WebAuthn?

FIDO2 is een open authenticatiestandaard die wachtwoordloze en phishing-bestendige authenticatie mogelijk maakt. WebAuthn is het web-API-component van FIDO2 waarmee websites publieke-sleutelcryptografie kunnen gebruiken voor authenticatie. Gebruikers authenticeren met hardware beveiligingssleutels (YubiKey, Google Titan), platform-authenticatoren (vingerafdruk, gezichtsherkenning) of passkeys die gesynchroniseerd worden tussen apparaten. FIDO2 wordt beschouwd als de gouden standaard voor authenticatiebeveiliging.

Passkeys zijn een FIDO2-gebaseerde wachtwoordloze authenticatiemethode die wachtwoorden vervangt door cryptografische sleutelparen die op gebruikersapparaten worden opgeslagen. In tegenstelling tot traditionele beveiligingssleutels kunnen passkeys via de cloud worden gesynchroniseerd tussen apparaten (Apple iCloud Sleutelhanger, Google Wachtwoordmanager, Microsoft Authenticator). Ze zijn phishing-bestendig, vereisen biometrie of apparaat-PIN voor gebruik en elimineren wachtwoord-gerelateerde risico's. Passkeys worden ondersteund door Apple, Google en Microsoft.

Waarom wordt SMS-gebaseerde MFA als zwak beschouwd?

SMS-gebaseerde MFA is kwetsbaar voor: SIM-swapping (aanvaller overtuigt provider om het nummer over te zetten), SS7-protocolaanvallen (onderscheppen van SMS-berichten op netwerkniveau), real-time phishing-proxy's (aanvaller stuurt de SMS-code in real-time door), social engineering (gebruikers misleiden om codes te delen) en apparaatdiefstal. Hoewel SMS-MFA beter is dan geen MFA, moeten organisaties migreren naar app-gebaseerde TOTP, pushmeldingen of FIDO2 voor kritieke systemen.

Welke compliance-frameworks vereisen MFA?

ISO 27001 (A.8.5 — Veilige authenticatie), SOC 2 (CC6.1 — Logische toegangscontroles), NIS2 (Artikel 21(2)(j) — Multi-factor authenticatie) en DORA (Artikel 9(4)(c) — Sterke authenticatiemechanismen) vereisen allemaal MFA of sterke authenticatie. NIS2 noemt MFA expliciet als een vereiste maatregel. De meeste frameworks vereisen MFA minimaal voor bevoorrechte toegang, met als best practice MFA voor alle gebruikers.

Hoe implementeert u MFA zonder de gebruikerservaring te schaden?

Implementeer conditionele/adaptieve MFA die vereisten aanpast op basis van risico: vereis MFA voor nieuwe apparaten, ongebruikelijke locaties of gevoelige bewerkingen, maar sta vertrouwde apparaten toe MFA over te slaan voor een geconfigureerde periode. Gebruik biometrische authenticatoren (vingerafdruk, gezicht) voor wrijvingsloze verificatie. Ondersteun passkeys voor een wachtwoordloze ervaring. Bied self-service inschrijving en herstel aan. Communiceer de beveiligingsvoordelen naar gebruikers en bied meerdere MFA-opties.

Multi-Factor Authenticatie (MFA): De complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Multi-Factor Authenticatie (MFA): De complete gids voor compliance- en beveiligingsteams

Leer hoe u multi-factor authenticatie implementeert die voldoet aan ISO 27001, SOC 2, NIS2 en DORA-vereisten. Behandelt MFA-methoden, FIDO2/WebAuthn, conditionele toegang, phishing-bestendige MFA en compliancebewijs.

MFA

Authenticatie

Identiteitsbeveiliging

Zero Trust

Compliance

Wat is multi-factor authenticatie?

Multi-factor authenticatie (MFA) is een beveiligingsmechanisme dat vereist dat gebruikers hun identiteit verifiëren met twee of meer onafhankelijke factoren voordat ze toegang krijgen tot een systeem, applicatie of gegevens. Door meerdere authenticatiefactoren uit verschillende categorieën te combineren, zorgt MFA ervoor dat het compromitteren van een enkele referentie (zoals een wachtwoord) onvoldoende is voor een aanvaller om toegang te verkrijgen.

Met diefstal van referenties en phishing-aanvallen die verantwoordelijk zijn voor het merendeel van de inbreuken, is MFA een baseline beveiligingscontrole geworden die door vrijwel elk compliance-framework wordt vereist, waaronder ISO 27001, SOC 2, NIS2 en DORA.

Typen authenticatiefactoren

Factortype	Categorie	Voorbeelden	Sterkte
Wachtwoord/PIN	Iets dat u weet	Wachtwoorden, PIN's, beveiligingsvragen	Laag (phishbaar, raadbaar)
TOTP-code	Iets dat u heeft	Google Authenticator, Authy, Microsoft Authenticator	Gemiddeld (phishbaar via proxy)
SMS-code	Iets dat u heeft	Eenmalige code via SMS	Laag-Gemiddeld (onderschepbaar)
Pushmelding	Iets dat u heeft	Duo Push, Microsoft Authenticator push	Gemiddeld (vatbaar voor fatigue-aanvallen)
Hardware beveiligingssleutel	Iets dat u heeft	YubiKey, Google Titan, Feitian	Hoog (phishing-bestendig)
Biometrie	Iets dat u bent	Vingerafdruk, gezichtsherkenning, irisscan	Hoog (gebonden aan individu)
Passkey	Iets dat u heeft + bent	FIDO2 gesynchroniseerde referenties met biometrische ontgrendeling	Hoog (phishing-bestendig, wachtwoordloos)

Vergelijking MFA-methoden

Methode	Phishing-bestendig	Gebruikerservaring	Implementatiecomplexiteit	Kosten
SMS OTP	Nee	Gemiddeld	Laag	Laag
TOTP-app	Nee	Gemiddeld	Laag	Gratis
Pushmelding	Nee	Hoog	Gemiddeld	Per-gebruiker licentie
Hardware beveiligingssleutel	Ja	Gemiddeld	Gemiddeld	Per-sleutel hardwarekosten
Platform biometrie	Ja	Hoog	Laag	Ingebouwd in apparaten
Passkey	Ja	Zeer hoog	Gemiddeld	Gratis
Smartcard + PIN	Ja	Laag	Hoog	Per-kaart + infrastructuur

Conditionele toegangsbeleid

Conditie	Risiconiveau	MFA-vereiste
Bekend apparaat + bekende locatie	Laag	Geen MFA (sessietoken geldig)
Bekend apparaat + nieuwe locatie	Gemiddeld	MFA vereist
Nieuw apparaat + elke locatie	Hoog	MFA vereist + apparaatregistratie
Bevoorrechte actie	Hoog	Step-up MFA vereist
Admin-/bevoorrecht account	Kritiek	MFA altijd vereist (phishing-bestendig voorkeur)
Onmogelijke reis gedetecteerd	Kritiek	MFA vereist + beveiligingsonderzoek

MFA-implementatiearchitectuur

Component	Functie	Voorbeelden
Identity provider (IdP)	Gecentraliseerde authenticatie en MFA-afdwinging	Azure AD, Okta, Google Workspace, Auth0
MFA-dienst	Tweede-factor verificatie	Duo, RSA SecurID, ingebouwde IdP MFA
SSO-integratie	Single sign-on met MFA bij de IdP	SAML 2.0, OIDC, OAuth 2.0
Directory-dienst	Gebruikers- en groepsbeheer voor MFA-beleid	Active Directory, LDAP, SCIM
Authenticator-apps	Client-side TOTP/push-generatie	Google Authenticator, Microsoft Authenticator, Authy
FIDO2-server	WebAuthn referentiebeheer	Ingebouwd in moderne IdP's

MFA-uitrolstrategie

Fase	Acties	Tijdlijn
Fase 1	MFA inschakelen voor alle beheerders- en bevoorrechte accounts	Week 1-2
Fase 2	MFA inschakelen voor IT- en beveiligingsteams	Week 3-4
Fase 3	MFA inschakelen voor alle medewerkers die toegang hebben tot gevoelige systemen	Maand 2
Fase 4	MFA inschakelen voor alle gebruikers en externe medewerkers	Maand 3
Fase 5	Migreren naar phishing-bestendige MFA (FIDO2/passkeys)	Maand 4-6
Fase 6	Conditionele toegang en adaptieve MFA implementeren	Maand 6-9

Compliancevereisten

Framework-mapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Multi-factor authenticatie	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(c)
Bevoorrechte toegangscontroles	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)(c)
Toegangsbeoordeling	A.5.18	CC6.2	Art. 21(2)(i)	Art. 9(2)
Authenticatielogging	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Beveiliging op afstand	A.8.1	CC6.6	Art. 21(2)(j)	Art. 9(4)(c)
Wachtwoordbeleid	A.8.5	CC6.1	Art. 21(2)(j)	Art. 9(4)(b)

Auditbewijs

Bewijstype	Beschrijving	Framework
MFA-beleid	Gedocumenteerd beleid dat MFA vereist voor gespecificeerde gebruikersgroepen	Alle frameworks
MFA-inschrijvingsrapport	Percentage gebruikers met MFA ingeschakeld per methodetype	Alle frameworks
Conditionele toegangsregels	Configuratie van risicogebaseerde MFA-beleidsregels	ISO 27001, SOC 2
Authenticatielogs	Records die MFA-uitdagingen en resultaten tonen	Alle frameworks
MFA-uitzonderingenregister	Gedocumenteerde uitzonderingen met risico-acceptatie en herzieningsdata	Alle frameworks
Audit bevoorrechte accounts	Bewijs dat alle bevoorrechte accounts MFA ingeschakeld hebben	Alle frameworks
Documentatie herstelprocedure	Proces voor MFA-reset en accountherstel	ISO 27001, SOC 2

Veelgemaakte fouten

Fout	Risico	Oplossing
MFA alleen voor beheerders	Reguliere gebruikersaccounts gecompromitteerd via phishing	MFA inschakelen voor alle gebruikers, te beginnen met hoog-risicogroepen
Uitsluitend vertrouwen op SMS	SIM-swapping en onderscheppingsaanvallen	Migreren naar TOTP-apps, push of FIDO2 beveiligingssleutels
Geen MFA voor serviceaccounts	Bevoorrechte serviceaccounts gecompromitteerd	Certificaat-gebaseerde auth of managed identities gebruiken voor serviceaccounts
MFA-fatigue kwetsbaarheid	Gebruikers keuren frauduleuze pushmeldingen goed	Number matching implementeren, push-pogingen beperken, FIDO2 gebruiken
Geen MFA-bypass procedures	Gebruikers buitengesloten zonder herstelmogelijkheid	Herstelprocedures documenteren en testen met identiteitsverificatie
Legacy-applicaties uitsluiten	Onbeschermde toegangspunten tot de omgeving	Reverse proxy of VPN met MFA gebruiken voor legacy-apps

Hoe Orbiq MFA-compliance ondersteunt

Orbiq helpt u authenticatiebeveiligingscontroles aan te tonen:

Bewijsverzameling — Centraliseer MFA-beleid, inschrijvingsrapporten en authenticatielogs
Continue monitoring — Volg MFA-adoptiepercentages en authenticatiebeveiligingshouding
Trust Center — Deel uw authenticatiebeveiligingscontroles via uw Trust Center
Compliance-mapping — Map MFA-controles naar ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Vooraf samengestelde bewijspakketten voor auditorsbeoordeling

Verder lezen

Identiteits- en toegangsbeheer — Uitgebreide IAM-strategie
Privileged Access Management — Bevoorrechte accounts beveiligen
Zero Trust — MFA als zero trust-fundament
Gegevensprivacy — Authenticatie voor privacycompliance
Security Awareness Training — Gebruikers trainen in MFA best practices