Kennis BLOG's

Overwin de psychologische barrières die de inzet van 2FA blokkeren

Geschreven door Wouter van den Eerenbeemt | 16 oktober 2024

tags: 2FA, Beveiliging, Visma Beveiligingsbewustzijn

Stel je voor: je maakt op een willekeurige website een nieuw account aan en er verschijnt een prompt die je aanbeveelt om Twee-factor Authenticatie (2FA) in te schakelen. Wat is je eerste reactie? Misschien zucht je eens diep en rol je met je ogen? Dus, waarom is het voor sommigen zo moeilijk om deze simpele (en cruciale) beveiligingslaag te gebruiken?

Schakel 2FA in, doe wat goed is!

Zijn we van nature lui? Te goed van vertrouwen? Onbewust van de dreigende gevaren? Spoiler: de gevaren zijn er zeker. In dit BLOG verkennen we enkele real-life incidenten en statistieken die illustreren hoe belangrijk het is om 2FA te activeren. Nu, meteen en direct!

2FA is een vorm van Multi-Factor Authenticatie (MFA). Bij 2FA zijn er precies twee verificatiefactoren vereist om in te loggen, de naam zegt het al. Denk hierbij aan een wachtwoord en een code die naar je telefoon wordt gestuurd. Lees meer (in het Engels): Wat is 2FA (twee-factor authenticatie)?

MFA heeft aangetoond het risico op een gekraakt gebruikersaccount met 99,22% te verminderen. Toch zijn er nog steeds een aanzienlijk aantal gebruikers die ervoor kiezen om 2FA (of MFA) niet te activeren om zelfs hun belangrijkste accounts te beschermen. 🙄

Cyberbeveiligingsmaand

Elk jaar, in de maand oktober, richten we de schijnwerpers op bewustzijn rondom cyberbeveiliging, dan 'vieren' we namelijk (European) Cyber Security Month. Dit jaar ligt onze focus op Twee-factor Authenticatie (2FA).

Visma Circle sluit zich hier van harte bij aan.

Ons beveiligingsteam pleit onvermoeibaar voor de beste praktijken zoals het creëren van sterke wachtwoorden, het beveiligen van netwerken en het omarmen van twee-factor (of multi-factor) authenticatie.

En eerlijk gezegd: ze hebben compleet gelijk.

Maar ondanks uitgebreide instructie-inspanningen over de gehele linie, van branches, organisaties en gemeenschappen, is er nog steeds aanzienlijke aarzeling in het adopteren van 2FA. Hoe kunnen wij als beveiligingsambassadeurs onze digitale gemeenschap beschermen tegen cyberdreigingen wanneer de weerstand tegen 2FA zo'n grote uitdaging is?

Laten we één stap terugnemen en enkele van de hoofdoorzaken van deze wijdverspreide aarzeling onderzoeken.

Waarom zijn mensen nog steeds terughoudend om 2FA te adopteren?

Het Visma (ons moederbedrijf) cyberbeveiligingsteam heeft de meest voorkomende psychologische redenen onderzocht die mensen beletten 2FA te adopteren:

Gemak versus veiligheid:

De extra stap van het hebben van een apparaat in de buurt voor verificatie zien sommigen als een ongemak. Vooral voor accounts die ze vaak moeten benaderen.

Deze 'perceptie van ongemakkelijkheid' gaat meer over het ongemak van verandering dan over een wezenlijke barrière. Het weerspiegelt een psychologische weerstand tegen het veranderen van gevestigde gewoonten (inloggen met alleen gebruikersnaam/e-mail en wachtwoord), ondanks het feit dat veel mensen allang gewend zijn aan het gebruik van 2FA voor hun online bankieren, online betalingen en winkelen.

Waargenomen complexiteit:

Misverstanden over de complexiteit van het instellen van 2FA kunnen gebruikers ervan weerhouden 2FA te gebruiken. Dit soort misverstanden creëren ongegronde angst voor nieuwe processen, hoewel het instellen van 2FA meestal eenvoudig is, als je zorgt voor een fatsoenlijk beschikbare handleiding en begeleiding.

Naïef vertrouwen in wachtwoorden:

Ondanks de bekende risico's blijven sommige gebruikers overmatig vertrouwen op de veiligheid van hun wachtwoorden. Dit komt vaak voort uit de mentaliteit van "mij overkomt het toch niet". Zoiets leidt helaas tot een gevaarlijke vorm van zelfgenoegzaamheid.

Voor gevoelige diensten waarbij geld of persoonlijke informatie is betrokken, zoals bankieren of zelfs verschillende Visma-software-oplossingen, verwachten veel gebruikers echter daadwerkelijk dat ze sterkere authenticatiemethoden zoals 2FA zien. De oplossing lijkt er dus in te liggen dat we een manier moeten vinden om deze houding en mate van voorzichtigheid uit te breiden naar alle soorten accounts.

Incidenten kunnen overal en bij iedereen gebeuren.

Gebrek aan bewustzijn:

Een gebrek aan begrip van cyberrisico's en de voordelen van 2FA kan scepsis en aarzeling veroorzaken bij het activeren ervan. Kennis is macht en dit scenario is geen uitzondering, daarom streven we ernaar onze gemeenschap te informeren over zowel de risico's als de voordelen van het nemen van voorzorgsmaatregelen op het gebied van cyberbeveiliging.

Weerstand tegen verandering: 

Verandering wordt vaak met weerstand ontvangen. Hoewel de voordelen ervan bekend zijn, kan de verstoring van vertrouwde routines ontmoedigend zijn.

Niettemin, met toenemende wettelijke mandaten voor 2FA binnen diensten van overheidsinstanties in de VS en de EU, wordt deze weerstand direct aangepakt. Mandaten voor online betalingen (PSD2) en aanstaande regelgevingen zoals NIS2 en DORA dwingen organisaties en gebruikers al om zich aan te passen, wat betekent dat de gebruikersacceptatie alleen maar zal groeien naarmate mensen meer gewend raken aan het gebruik van 2FA.

Angst om buitengesloten te worden:

Zorgen over het buitengesloten raken bij vergeten verificatiemethoden of een verloren apparaat kunnen gebruikers ervan weerhouden 2FA aan te nemen. Deze angst komt voort uit een waargenomen persoonlijk risico, in plaats van een werkelijke moeilijkheid met de technologie. Dit onderstreept het belang van heldere communicatie en back-upopties, zoals het opslaan van noodcodes en toegang tot ondersteuning.



Er zijn natuurlijk talloze redenen waarom het activeren van 2FA absoluut essentieel is voor zowel organisaties als individuen, waaronder het beschermen van persoonlijke (klant)gegevens, het beveiligen van bedrijfsactiva en het vergroten van het klantvertrouwen, die allemaal zwaarder wegen dan psychologische afschrikmiddelen. Lees meer (in het Engels): Wat is 2FA (twee-factor authenticatie)?

Hoe kunnen we deze psychologische barrières aanpakken en 2FA-adoptie aanmoedigen?

We geloven dat de oplossing ligt in het in staat stellen van mensen om zelf goede beveiligingsbeslissingen te nemen. Daarom leggen wij bij Visma Circle zoveel nadruk op initiatieven zoals de Cyber Security Month, waar we proberen bewustzijn te verspreiden over potentiële bedreigingen en onze gemeenschap uit te rusten met de kennis en hulpmiddelen die ze nodig hebben om zichzelf te beschermen.

Een van de meest effectieve manieren om het beveiligingsgedrag van mensen te veranderen, is door middel van storytelling. In plaats van alle redenen op te sommen waarom mensen 2FA zouden moeten gebruiken, denken we dat het vertellen van een verhaal over wanneer 2FA een cyberaanval heeft voorkomen of had kunnen voorkomen, effectiever is.

Het is een bewezen techniek die de boodschap vertaalt van “iets dat potentieel zou kunnen gebeuren” naar “iets dat is gebeurd en waarschijnlijk opnieuw zal gebeuren”. Het maakt de dreiging echt in de geest van mensen en maakt hen op hun beurt meer geneigd hun gedrag te veranderen.

Incidenten gebeuren veel vaker dan mensen denken en treffen velen van ons dagelijks. Een recent voorbeeld van de impact die 2FA (of het gebrek daaraan) kan hebben op organisaties, wat de gevolgen van het over het hoofd zien van deze vitale beveiligingslaag maar al te goed aantoont, vind je in de case Orange España.

Orange España-inbreuk (2024)

Eerder dit jaar kreeg Orange España, een van de grootste mobiele aanbieders van Spanje, te maken met een drie uur durende internetstoring omdat een hacker erin slaagde om essentiële delen van de internetinfrastructuur te manipuleren. Je raadt het al - dit had kunnen worden voorkomen als 2FA was geïmplementeerd.

De hacker kreeg toegang via het RIPE-account van Orange, waar het wachtwoord eenvoudigweg "ripeadmin" was - zeker niet de sterkste keuze. Met die toegang kon de hacker verstoringen veroorzaken in hoe het internetverkeer van Orange werd gerouteerd, wat resulteerde in een substantiële verstoring van Orange's internettoegang en een daling van 50% in het verkeer.

Hoewel gelukkig geen klantgegevens waren gecompromitteerd, hadden sterkere beveiligingsmaatregelen deze chaos kunnen voorkomen. Toen destijds werd gevraagd waarom twee-factor authenticatie nog niet verplicht was gesteld, verklaarde de organisatie dat ze “de implementatie van 2FA naar voren aan het schuiven waren om het zo snel mogelijk verplicht te maken voor alle RIPE NCC Access-accounts.”

Deze zaak is een duidelijk voorbeeld van hoe een gebrek aan sterke authenticatie ernstige gevolgen kan hebben voor bedrijven en hun klanten. 2FA (of MFA) is van cruciaal belang voor het beschermen van alle soorten accounts, het vermijden van verstoringen en het beveiligen van wat het belangrijkst is.

Sociale media en het pleidooi voor 2FA

Hoewel we allemaal hebben gehoord over grote cyberaanvallen op organisaties, moeten we niet vergeten dat dit op elk moment kan gebeuren, op al onze accounts. Dit is niet alleen een werkgerelateerd probleem, maar ook een persoonlijk probleem. Zelfs als het jou niet direct heeft getroffen, is de kans groot dat dit wel geldt voor iemand die je kent.



Recente statistieken tonen ons aan hoe cruciaal 2FA is voor onze persoonlijke sociale media-accounts:

  • In 2023 alleen al werd een alarmerende 25% van de Facebook-accounts overgenomen. Facebook-accounts zijn de meest gecompromitteerde accounttypen, met ongeveer 67.941 Facebook-accounts die elke maand in de VS worden gecompromitteerd.
  • Instagram scoort ook hoog in hacking-incidenten, met een gemiddelde van 36.222 accounts die elke maand worden getroffen.
  • 71% van de gebruikers die uit hun Instagram- en Facebook-accounts werden buitengesloten, ervoeren hackers die zich voordeden om contact op te nemen met hun vrienden.

De cijfers maken het duidelijk - sociale-mediaplatforms zijn magneten voor cybercriminelen. Maar er is goed nieuws: het toevoegen van een extra beveiligingslaag, zoals 2FA, kan het risico echt verminderen. Beschouw het adopteren van 2FA niet alleen als een optie, maar als een must-do. Door 2FA in te stellen, doe je iets echt belangrijks om je digitale leven te beschermen, net zoals je je waardevolle spullen in het echte leven zou beschermen.

Toegang tot stapsgewijze handleidingen om 2FA op je sociale media-accounts te activeren.

Activeer vandaag nog 2FA

De rol van 2FA in het versterken van cyberbeveiligingsverdedigingen, het verminderen van risico's en het verbeteren van gegevensbescherming is cruciaal. Deze incidenten dienen als een alarmerende herinnering aan wat er kan gebeuren als we de fout maken om het belang ervan over het hoofd te zien. Net zoals we instinctief onze voordeuren op slot doen om onze huizen te beschermen of veiligheidsgordels dragen voor de veiligheid, zouden we 2FA zoveel mogelijk in ons digitale leven moeten integreren.

Of je nu een individu bent of een organisatie, beschouw het adopteren van 2FA als het toevoegen van een extra slot op de deur van je online accounts. Dezelfde mindset van voorzorg en beveiliging die we in de fysieke wereld gebruiken, moeten we ook toepassen in de digitale wereld, zodat we veilig blijven en beschermd zijn tegen mogelijke bedreigingen. 

We zijn er trots op dat we 2FA hebben geïmplementeerd bij Visma en zorgen ervoor dat we de hoogste beveiligingsnormen voor onze gemeenschap handhaven. We pleiten sterk voor de adoptie van 2FA en we moedigen iedereen aan hun online beveiliging te prioriteren door deze op al hun accounts in te schakelen.

Lees meer over het beveiligingsprogramma van Visma. (Engels)

Visma Circle conformeert zich aan het beveiligingsprogramma van Visma en voldoet hiermee aan de allerhoogste beveiligingsstandaarden.