Het gebruik van alleen een wachtwoord is al jaren niet voldoende om accounts en bedrijfsgegevens te beschermen. Cybercriminelen hebben talloze manieren ontwikkeld om inloggegevens te bemachtigen — via phishing, credential stuffing of simpelweg door hergebruik van wachtwoorden. Tweestapsverificatie (2FA) voegt daarom een noodzakelijke beveiligingslaag toe: naast een wachtwoord moeten gebruikers een tweede handeling uitvoeren om in te loggen. Daarmee wordt ongeautoriseerde toegang veel effectiever voorkomen.
Zolang 2FA optioneel is, blijft adoptie achter
Toch blijkt uit onderzoek van Visma onder 319 IT- en beleidsverantwoordelijken in Nederland dat de invoering van 2FA in veel Nederlandse organisaties achterblijft. Slechts 26% heeft volledige adoptie onder medewerkers bereikt. Nog eens 27% zit tussen de 75–99%, terwijl 29% niet verder komt dan 50–74%.
De reden, zo blijkt uit het onderzoek, is eenvoudig: brede invoering blijft uit zolang organisaties de keuze bij de gebruiker laten. De drempel om 2FA te activeren is voor veel medewerkers te hoog als dit niet wordt afgedwongen of goed ondersteund door het management van de organisatie. Door 2FA verplicht te stellen, maken organisaties hun digitale beveiliging minder afhankelijk van individuele keuzes en zorgen ze voor een eenduidige, hogere basisveiligheid.
Het verplicht stellen van 2FA lijkt misschien een harde maatregel. Toch blijkt uit de onderzoeksresultaten dat al bijna de helft van de organisaties (49%) 2FA verplicht stelt voor alle medewerkers en dat nog eens 22% dit doet voor specifieke afdelingen, zoals finance of IT. Wat mij betreft zouden andere organisaties dit voorbeeld moeten volgen.
Ook leveranciers hebben een zorgplicht
De verantwoordelijkheid om toegang tot systemen en data goed te beveiligen ligt niet alleen bij organisaties zelf. Softwareleveranciers spelen een cruciale rol in het afdwingen van veilig gedrag. Zij kunnen hun klanten ondersteunen door 2FA in hun oplossingen niet alleen standaard aan te bieden, maar het gebruik ervan ook te verplichten.
Toch gebeurt dit nog maar zelden in de praktijk, merk ik en geven ook de resultaten uit dit onderzoek aan. Veel leveranciers durven 2FA niet standaard in te schakelen uit angst dat gebruikers afhaken of naar de concurrent overstappen. Maar die commerciële terughoudendheid is niet langer houdbaar. Leveranciers hebben een duidelijke zorgplicht: zij moeten waarborgen dat gegevens veilig worden verwerkt. Wie zichzelf serieus neemt als leverancier, stelt 2FA verplicht — uiteraard afgestemd op het type data en het risicoprofiel van de applicatie.
Opvallend genoeg zegt maar liefst 68% van de respondenten dat zij de voorkeur geven aan applicaties die standaard 2FA verplicht stellen. Dat laat wat mij betreft zien dat de markt hier klaar voor is.
Gebruiksvriendelijkheid en uitrol bepalen succes
Verplichten betekent niet dat je de gebruiker zelf mag vergeten. Organisaties moeten goed nadenken over welke vorm van 2FA ze inzetten. De authenticator-app is het meest populair (36%) blijkt uit ons onderzoek, maar in specifieke sectoren past deze methode niet altijd even goed bij de dagelijkse praktijk van gebruikers. Denk aan medewerkers in de zorg die geen telefoon gebruiken op de werkvloer, of werken met gedeelde apparaten. Voor hen kan automatische codegeneratie via een wachtwoordmanager veel gebruiksvriendelijker zijn dan 2FA via sms of een aparte app.
Daarnaast is een gefaseerde uitrol met voldoende uitleg en ondersteuning cruciaal. Uit het onderzoek blijkt dat goede interne communicatie en actieve managementsteun direct bijdragen aan hogere acceptatie. Waar de interne communicatie hoog wordt beoordeeld, ligt de acceptatie onder medewerkers significant hoger. Zilliz is een goed voorbeeld van een bedrijf dat 2FA succesvol geïmplementeerd heeft. Dankzij een goed doordachte aanpak wisten zij 100% 2FA-adoptie in vier maanden tijd te bereiken.
Een duidelijke keuze is nodig
2FA verplicht stellen lijkt misschien een ingrijpende stap, maar het is ook een noodzakelijke. De technologie is breed beschikbaar, medewerkers kunnen ermee werken, en de risico’s van niets doen zijn simpelweg te groot.
Zowel organisaties als leveranciers moeten verantwoordelijkheid nemen. Organisaties doen dat door 2FA als standaardmaatregel te verplichten en goed te begeleiden, leveranciers door 2FA standaard te activeren. Alleen dan wordt 2FA niet langer een keuze, maar een vanzelfsprekend onderdeel van digitale veiligheid.
Dit is een ingezonden bijdrage van Visma. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.