Wat is 2FA (Two-Factor Authentication)?
2FA (Two-Factor Authentication) is een beveiligingsmechanisme waarbij een gebruiker twee onafhankelijke vormen van Authenticatie moet doorlopen om toegang te krijgen tot een systeem. Het verhoogt de beveiliging aanzienlijk ten opzichte van alleen een wachtwoord. Zie ook MFA.
In OT-omgevingen voorkomt 2FA dat een aanvaller met alleen gestolen wachtwoorden toegang krijgt tot bijvoorbeeld SCADA, HMI of Remote Access-systemen.
🧠 De drie authenticatiefactoren
Een veilige 2FA-oplossing combineert twee van deze drie factoren:
| Categorie | Voorbeeld |
|---|---|
| Iets wat je weet | Wachtwoord, pincode |
| Iets wat je hebt | Authenticator app, token, badge |
| Iets wat je bent | Vingerafdruk, gezichtsherkenning |
Meest gebruikt: wachtwoord + app (bijv. Microsoft Authenticator of Google Authenticator).
🔐 Waarom is 2FA belangrijk?
| Risico zonder 2FA | Gevolg |
|---|---|
| Gestolen of gelekt wachtwoord | Directe toegang tot kritieke systemen |
| Phishing van credentials | Bypassing van Single Sign-On of VPN |
| Geen logging van tweede factor | Onopgemerkte sessie-overname of brute-force |
2FA verkleint deze risico’s drastisch, zeker in combinatie met Access Control, Zero Trust en Security Awareness.
🏭 Toepassing in OT-omgeving
| Locatie | Toepassing van 2FA |
|---|---|
| Remote onderhoud | 2FA bij VPN-verbinding of Jump Server |
| Engineering Station | Inloggen met smartcard of app-gebaseerde 2FA |
| Historian of SCADA | Webinterface beveiligd met extra authenticatiefactor |
| Cloud-toepassingen | 2FA vereist bij inloggen op dashboards of portals |
✅ Best practices
- Gebruik app-gebaseerde authenticatie (TOTP of push) boven SMS (kwetsbaarder)
- Voer 2FA in voor alle accounts met verhoogde rechten (admin, remote access)
- Integreer 2FA met Active Directory of IAM-oplossing
- Combineer met RBAC en Least Privilege
- Monitor inlogpogingen en log fouten op 2FA-verificatie in SIEM
📌 Samengevat
2FA is een fundamentele laag in moderne OT/IT-beveiliging Het beschermt accounts zelfs als wachtwoorden zijn gelekt of gephisht en is essentieel bij externe toegang tot industriële netwerken.