Van weerstand naar routine: Zo pak je 2FA-adoptie succesvol aan

Een wachtwoord als enige verdedigingslinie gebruiken is vragen om problemen. Cybercriminelen weten via phishing maar al te vaak eenvoudig inloggegevens te bemachtigen. Ze maken gebruik van eerder gestolen gebruikersnaam/wachtwoordcombinaties om automatisch toegang proberen te krijgen tot andere accounts. Omdat veel mensen hun wachtwoorden hergebruiken, werkt deze methode vaak verrassend goed. Tweefactorauthenticatie (2FA) is een krachtig middel om dit soort aanvallen te dwarsbomen. Het verbetert de beveiliging door gebruik te maken van het principe: iets wat je weet, iets wat je bent, en iets wat je hebt. Wat je weet is vaak je wachtwoord. Wat je bent, is je identiteit, meestal gerepresenteerd door je gebruikersnaam of e-mailadres. En iets wat je hebt, is bijvoorbeeld een eenmalige token die je via een app of sms ontvangt. Door deze lagen te combineren, wordt het voor cybercriminelen aanzienlijk moeilijker om binnen te dringen. Ondanks dat de technologie al tientallen jaren bestaat en wordt toegepast, blijft een brede invoering van 2FA bij veel organisaties achter. Hoe komt dat? En belangrijker nog: wat kun je eraan doen?

2FA: in verschillende soorten en maten

Waar hebben we het eigenlijk over als het over 2FA gaat? Bij 2FA heb je naast een wachtwoord ook een tweede factor nodig om in te loggen. Dat kan een code zijn via sms, een pushmelding op je telefoon of een cijfercode uit een authenticator-app. De meest moderne variant is de passkey: biometrische verificatie, zoals gezichtsherkenning of een vingerafdruk.

Waarom adoptie van 2FA stokt

Een van de belangrijkste redenen waarom mensen 2FA niet activeren, is het gebrek aan gebruiksgemak. De extra handeling bij elke inlogpoging wordt ervaren als gedoe. Zeker in sectoren zoals de zorg, waar de werkdruk hoog is en zorgmedewerkers hier niet de tijd voor hebben. Hierdoor kunnen gevoelige, persoonlijke data uit bijvoorbeeld clientendossiers minder goed beveiligd zijn.

Vanwege die drempel voor mensen om die extra handeling te verrichten, durft nog steeds niet elke softwareleverancier het aan om 2FA standaard aan te zetten en te verplichten voor klanten. De angst bestaat dat het verplichten van 2FA klanten afschrikt, waardoor ze misschien wel bij de concurrent gaan kijken. Toch rust er op softwareleveranciers een duidelijke zorgplicht: zij moeten ervoor zorgen dat data veilig wordt verwerkt. Als je jezelf serieus neemt als leverancier, dan stel je 2FA verplicht, uiteraard met inachtneming van het soort data en het bijbehorende risicoprofiel van de applicatie.

Daarnaast ontbreekt bij veel mensen het besef van de noodzaak van 2FA. Gebruikers realiseren zich niet altijd even goed hoe kwetsbaar hun accounts kunnen zijn en zien beveiliging pas als een prioriteit wanneer het te laat is. Dit komt voort uit een gebrek aan bewustwording over de risico’s, het hergebruik van wachtwoorden en een gebrek aan kennis over de tactieken die cybercriminelen gebruiken om binnen te dringen.

Een derde obstakel is de complexiteit en de technische drempel die 2FA voor sommige gebruikers met zich meebrengt. Voor mensen die weinig ervaring hebben met digitale technologie kan het activeren van 2FA zonder duidelijke uitleg te moeilijk zijn. En dus activeren veel mensen het dan maar niet.

Praktijkvoorbeeld: succesvolle adoptie in de zorg

Een goed voorbeeld van hoe 2FA wél succesvol geïmplementeerd kan worden, is dat van Visma-bedrijf ZilliZ, een softwareleverancier die zich richt op kleinschalige zorginstellingen. Omdat hun gebruikers vaak zorgmedewerkers zijn die naast hun zorgtaken ook administratief werk doen, moet de software eenvoudig en veilig zijn. ZilliZ nam hierin verantwoordelijkheid en besloot om 2FA verplicht te stellen voor al zijn gebruikers. Het bedrijf koos als 2FA-methode voor Time-Based One-Time Passwords via een wachtwoordmanager. Dit zijn eenmalige codes die elke 30 seconden veranderen. De code wordt berekend met een algoritme dat een geheime en unieke sleutel combineert met het exacte tijdstip. Gebruikers hoeven hiervoor geen authenticator-app te gebruiken: de wachtwoordmanager zelf (die vaak toch al gebruikt wordt om in te loggen) kan deze codes automatisch genereren en invullen. Zo blijft de extra beveiligingslaag behouden, zonder dat medewerkers extra stappen of apparaten nodig hebben. Waarom geen sms of authenticator-app? Omdat niet alle zorgmedewerkers met een telefoon op de werkvloer rondlopen en vaak werken met gedeelde tablets. Belangrijk was dat het laagdrempelig bleef.

Maar het bleef niet bij beleid. De invoering werd zorgvuldig begeleid met een stapsgewijze aanpak:

Gefaseerde uitrol: gebruikers kregen maar liefst vier maanden de tijd om 2FA in te stellen voordat het verplicht werd. Zo kon iedereen het in zijn eigen tempo en op een eigen gekozen moment instellen.
Multichannel communicatie: Via e-mails, nieuwsbrieven, pop-ups in de ZilliZ-app, blogs, telefonische ondersteuning, webinars én een ‘EHBO-kit’ op het inlogscherm.
Aangepaste boodschap per doelgroep: zorgmedewerkers kregen meldingen in de app; beheerders ontvingen documentatie en updates per mail.
Herinneringen en ondersteuning: met regelmatige reminders en hulp op maat werd niemand aan zijn lot overgelaten.

Het resultaat: 100% 2FA-adoptie in vier maanden tijd

Deze aanpak bleek zeer effectief. Waar voor aanvang van de campagne 25% van alle gebruikers 2FA had ingesteld, was dat twee weken voor de deadline al 72%. Op de einddatum werd het verplicht: zonder 2FA kwam je niet meer binnen. Maar tegen die tijd was iedereen voorbereid.

De aanpak van ZilliZ laat zien dat 2FA wél breed ingevoerd kan worden — mits je de gebruiker centraal stelt. De belangrijkste lessen:

Verplicht stellen kan, mits goed begeleid: geef gebruikers voldoende tijd, informatie en hulp.
Multichannel werkt: e-mail alleen is niet genoeg. Gebruik alle beschikbare kanalen om verschillende doelgroepen te bereiken.
Denk aan de context van de gebruiker: werk je met tablets, gedeelde apparaten of met mensen die minder digitaal vaardig zijn? Pas je strategie daarop aan.
Leg niet alleen uit wat, maar ook waarom: verhoog de intrinsieke motivatie.
Wees meer dan een leverancier: leg 2FA niet alleen op aan je klanten, maar help hen ook om hun gebruikers te overtuigen.

Ondanks dat 2FA een barrière vormt voor cybercriminelen, hoeft het dat niet te zijn voor de gebruikers. Met de juiste aanpak wordt het een vanzelfsprekend onderdeel van veilige software. ZilliZ bewijst dat zelfs in een sector met hoge werkdruk volledige adoptie haalbaar is.

Dit is een ingezonden bijdrage van Visma. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.

Van weerstand naar routine: Zo pak je 2FA-adoptie succesvol aan

2FA: in verschillende soorten en maten

Waarom adoptie van 2FA stokt

Praktijkvoorbeeld: succesvolle adoptie in de zorg

Het resultaat: 100% 2FA-adoptie in vier maanden tijd

Blijf op de hoogte, abonneer!

Cisco geeft strijd om slimste switches ter wereld nieuwe impuls

Axis-camera’s zien dankzij metadata meer dan je denkt

Rackspace en Rubrik bundelen krachten voor versterkte cyberweerbaarheid

CrowdStrike introduceert tools om kwaadaardige AI-modellen te blokkeren

ExtraHop lanceert all-in-one sensor voor Network Detection and Response

Cisco zet Foundation AI op en komt met opensource security AI-model

Versnel je AI-succes met NVIDIA AI Computing van HPE

Probeer gratis het nieuwste high-end Synology backup-systeem

Versterk je cybersecurity met DNS best practices

Navigeren door technologische ontwrichting

Kaseya DattoCon Europe

Nutanix Cloud Day Nederland 2025

Akamai Customer Day Benelux

Nürnberg Digital Festival 2025

GITEX DIGI_HEALTH 5.0 - Thailand

IT Arena