Technisch · 4 min lezen
Authenticatie
Authenticatie is de manier waarop een website of app controleert of jij bent wie je zegt te zijn. Wachtwoorden zijn de bekendste methode, maar lang niet de veiligste.
Inhoudsopgave
Je opent de beheerpagina van je website en er verschijnt een inlogscherm. Je vult je gebruikersnaam en wachtwoord in. De vraag is: hoe weet dat systeem of jij écht de eigenaar bent, of dat iemand anders dat wachtwoord heeft gevonden? Dat is authenticatie: het proces van bewijzen dat je bent wie je beweert te zijn.
De uitsmijter op de deur
Stel je een club voor met een uitsmijter bij de ingang. Jij staat op de lijst: naam, foto, geboortedatum. De uitsmijter vergelijkt jou met de lijst en laat je door. Authenticatie werkt precies zo.
Er zijn drie klassieke manieren om je te bewijzen: iets wat je weet (een wachtwoord of pincode), iets wat je hebt (je telefoon of een token) en iets wat je bent (je vingerafdruk of gezicht). De meeste moderne systemen combineren twee van deze drie. Dat heet tweefactorauthenticatie, of 2FA.
De nieuwste methode zijn passkeys: je smartphone slaat een cryptografische sleutel op en gebruikt je vingerafdruk of gezichtsherkenning om te bewijzen dat jij het bent. Geen wachtwoord, geen phishing, geen gelekte database. EmDash CMS gebruikt passkeys standaard voor het admin-paneel.
Wat er misgaat als je het negeert
Slechte authenticatie is de voordeur die je openstaat terwijl je op vakantie bent:
- Zwak wachtwoord zonder 2FA. Brute-force aanvallen raden een wachtwoord als "welkom2024" binnen seconden.
- Hergebruikte wachtwoorden. Één gelekte database elders betekent dat aanvallers ook op jouw website binnenkomen.
- Geen 2FA op [WordPress](/begrippen/wordpress)-beheer. WordPress-accounts zijn een groot doelwit. De loginpagina is bij elke installatie hetzelfde adres, dus bots scannen ze automatisch.
- Geen [HTTPS](/begrippen/ssl-certificaat). Wachtwoorden die via een onbeveiligde verbinding worden verstuurd, kunnen onderweg worden onderschept.
- Vergeten accounts. Een oud beheerdersaccount dat niemand meer gebruikt maar nog actief is met een zwak wachtwoord.
Hoe je het goed aanpakt
Drie concrete stappen voor elke website:
1. Gebruik een wachtwoordmanager. Tools als 1Password of Bitwarden maken voor elke site een uniek, willekeurig wachtwoord aan. Je hoeft er zelf niets van te onthouden.
2. Zet 2FA aan op elk beheerdersaccount. Op WordPress doe je dit via een plugin als WP 2FA. Elke inlogpoging vereist dan ook een code van je telefoon, zelfs als je wachtwoord is gelekt.
3. Geef niemand meer rechten dan nodig. Schrijft iemand een gastblog? Maak een account aan als "auteur", niet als "beheerder". Eindigt een samenwerking? Verwijder het account direct.
Als je een website laat maken , vraag dan altijd hoe authenticatie is geregeld. Als je website care uitbesteedt, zorg dan dat accountbeheer expliciet onderdeel is van de afspraken.
Authenticatie is geen technisch detail
Een inlogscherm lijkt een simpele drempel. Maar achter die drempel liggen je klantgegevens, je content en soms de persoonlijke data van honderden mensen. De AVG verplicht je om die data adequaat te beveiligen. Een gehackt account dat klantgegevens lekt, is niet alleen een reputatieprobleem maar ook een juridisch risico. Een CMS met moderne passkey-authenticatie is geen luxe, maar basishygiëne.
Veelgestelde vragen
Wat is het verschil tussen authenticatie en autorisatie?
Authenticatie bewijst wie je bent. Autorisatie bepaalt wat je mag doen. Na het inloggen weet het systeem dat jij het bent (authenticatie). Of je daarna ook facturen mag bekijken of accounts mag verwijderen, regelt autorisatie. Beide zijn nodig, maar ze zijn niet hetzelfde.
Is 2FA via sms veilig genoeg?
Beter dan niets, maar niet ideaal. Sms-codes kunnen worden onderschept via sim-swapping. Een authenticatie-app als Google Authenticator of Authy is veiliger omdat de codes lokaal op je telefoon worden gegenereerd, zonder via een netwerk te reizen.
Wat is een passkey precies?
Een passkey is een cryptografisch sleutelpaar. Je telefoon bewaart de privésleutel, de website de publieke sleutel. Om in te loggen gebruik je je biometrie om de privésleutel te ontgrendelen. Er is geen wachtwoord dat gelekt kan worden, en phishing werkt niet omdat de sleutel gebonden is aan de exacte domeinnaam.
Wat doe ik als ik denk dat mijn account gehackt is?
Vier stappen: wijzig direct het wachtwoord, zet 2FA aan, controleer welke andere accounts hetzelfde wachtwoord gebruiken en wijzig die ook, en controleer of er onbekende beheerdersaccounts zijn aangemaakt. Verwijder die direct.
Moet ik de AVG melden als mijn website gehackt is?
Als er persoonsgegevens zijn gelekt, in veel gevallen ja. De Autoriteit Persoonsgegevens verplicht een melding binnen 72 uur bij een datalek met risico voor betrokkenen. Niet melden terwijl je dat had moeten doen, levert hogere boetes op dan melden wanneer het niet vereist was.
Veelgestelde vragen
Wat is het verschil tussen authenticatie en autorisatie?
Authenticatie bewijst wie je bent. Autorisatie bepaalt wat je mag doen. Na het inloggen weet het systeem dat jij het bent (authenticatie). Of je daarna ook facturen mag bekijken of accounts mag verwijderen, regelt autorisatie.
Is 2FA via sms veilig genoeg?
Beter dan niets, maar niet ideaal. Sms-codes kunnen worden onderschept via sim-swapping. Een authenticatie-app als Google Authenticator of Authy is veiliger omdat de codes lokaal op je telefoon worden gegenereerd.
Wat is een passkey precies?
Een passkey is een cryptografisch sleutelpaar. Je telefoon bewaart de privésleutel, de website de publieke sleutel. Je gebruikt je biometrie om in te loggen. Er is geen wachtwoord dat gelekt kan worden, en phishing werkt niet omdat de sleutel gebonden is aan de exacte domeinnaam.
Wat doe ik als ik denk dat mijn account gehackt is?
Vier stappen: wijzig direct het wachtwoord, zet 2FA aan, controleer welke andere accounts hetzelfde wachtwoord gebruiken en wijzig die ook, en controleer of er onbekende beheerdersaccounts zijn aangemaakt.
Moet ik de AVG melden als mijn website gehackt is?
Als er persoonsgegevens zijn gelekt, in veel gevallen ja. De Autoriteit Persoonsgegevens verplicht een melding binnen 72 uur bij een datalek met risico voor betrokkenen.
Gerelateerde begrippen
Klaar voor een website die klanten oplevert?
Vertel kort wat je nodig hebt. Je krijgt binnen 24 uur een eerlijk antwoord en een vaste prijs.