Tweefactorauthenticatie (MFA)
Met tweefactorauthenticatie (MFA) beveilig je je account met een extra laag naast je wachtwoord. Na het inschakelen heb je bij elke aanmelding ook een 6-cijferige code uit een authenticator-app nodig. Deze documentatie beschrijft twee schermen: het instelscherm (/mfa/setup), waar je MFA inschakelt, en het verificatiescherm (/mfa/challenge), waar je bij het inloggen je code invoert. Beide schermen zijn bedoeld voor behandelaren die hun eigen account extra willen beveiligen.
Overzicht
| Route | /mfa/setup (instellen), /mfa/challenge (verifiëren bij inloggen) |
| Doelgroep | Behandelaar |
| Benodigde rechten | Geen specifiek recht; elke ingelogde gebruiker kan zijn eigen MFA instellen |
Het instellen verloopt in een aantal stappen: je start de instelling, scant de QR-code met een authenticator-app, bevestigt met een eenmalige code en bewaart je herstelcodes. Daarna vraagt het verificatiescherm bij elke nieuwe aanmelding om een code. Heb je geen toegang meer tot je authenticator-app, dan kun je je met een herstelcode aanmelden.
Je hebt een authenticator-app nodig, bijvoorbeeld Google Authenticator, Authy of Microsoft Authenticator.
Hoe het werkt
MFA voegt een tweede stap toe aan het inloggen: naast je wachtwoord (iets wat je weet) bewijs je dat je een vooraf geregistreerde authenticator bezit (iets wat je hebt). Hieronder staat het model achter de schermen — welke factoren bestaan, hoe herstelcodes zich gedragen, waarom inschakelen extra bevestiging vraagt en hoe het beleid van je organisatie meespeelt.
TOTP-factoren en methoden
De factor is een TOTP (Time-based One-Time Password). Bij het instellen deelt Scrivio een geheime sleutel met je authenticator-app (via de QR-code of de handmatige code). Je app gebruikt die sleutel plus de huidige tijd om elke ~30 seconden een nieuwe 6-cijferige code af te leiden. De server berekent dezelfde code en vergelijkt ze; daarom hoeft er niets over het netwerk te worden verstuurd en werkt het ook zonder internet op je telefoon.
Je kunt meerdere methoden naast elkaar registreren (bijvoorbeeld je telefoon én een tweede apparaat). Eén methode geldt als je voorkeursmethode; die wordt standaard gevraagd. Heb je meer dan één methode ingesteld, dan laat het verificatiescherm zien welke beschikbaar zijn, zodat je een andere kunt kiezen als je je voorkeursapparaat niet bij de hand hebt.
Herstelcodes
Herstelcodes zijn je vangnet als je geen toegang meer hebt tot een authenticator-app. Bij het inschakelen genereert Scrivio eenmalig een eindige set codes, die je daarna nooit meer volledig te zien krijgt (alleen de hashes worden bewaard). Bewaar ze daarom direct op een veilige plek.
| Eigenschap | Gedrag |
|---|---|
| Eenmalig | Elke herstelcode werkt precies één keer; na gebruik vervalt hij. |
| Eindig | De set is beperkt — gebruik je er veel, dan kun je zonder komen te zitten. |
| Opnieuw genereren | Een nieuwe set aanmaken maakt de oude set in één keer ongeldig, ook codes die je nog niet had gebruikt. |
Je kunt je voorraad zien teruglopen: het systeem houdt bij hoeveel ongebruikte codes je nog hebt. Raakt die bijna leeg, genereer dan een nieuwe set — en vervang je oude lijst, want die werkt vanaf dat moment niet meer.
Beveiligde herauthenticatie bij inschakelen
Het inschakelen van MFA is een gevoelige handeling, dus daarvoor geldt step-up-herauthenticatie: je sessie moet recent bevestigd zijn. Heb je je te lang geleden aangemeld, dan vraagt het instelscherm je eerst om opnieuw in te loggen; daarna wordt de instelling automatisch hervat. Zo kan iemand die jouw scherm even overneemt niet zomaar je tweede factor wijzigen. Verder moet je e-mailadres geverifieerd zijn voordat je MFA kunt inschakelen.
Organisatiebeleid en overgangsperiode
Een organisatiebeheerder kan MFA verplicht stellen voor de hele organisatie. Om te voorkomen dat iedereen ineens buitengesloten raakt, geldt een overgangsperiode (grace period):
- Vanaf het moment dat MFA verplicht wordt, loopt een vooraf ingesteld aantal dagen waarin het inschakelen nog optioneel is. In die periode kun je gewoon blijven werken en zelf een geschikt moment kiezen om MFA in te stellen.
- Heb je MFA al ingeschakeld, dan raakt het beleid je niet — je voldoet al.
- Is de overgangsperiode verstreken en heb je nog steeds geen MFA, dan moet je het alsnog inschakelen voordat je verder kunt. Beheerders zien in hun overzicht wie nog zonder MFA zit en wiens overgangsperiode is verlopen.
Zolang je organisatie MFA niet verplicht, blijft het instellen volledig vrijwillig.
MFA inschakelen
Open het instelscherm via /mfa/setup. Het scherm opent met een korte uitleg en de knop Begin instellen. Klik hierop om de instelling te starten.
Wanneer je je te lang geleden hebt aangemeld, vraagt het scherm je eerst om opnieuw in te loggen voordat je verdergaat. Dit is een beveiligingsmaatregel: na het opnieuw bevestigen van je wachtwoord wordt de instelling automatisch hervat.
Na het starten ga je verder met het scannen van de QR-code. Wil je stoppen, klik dan op Annuleren om terug te keren naar je profiel.
QR-code scannen
Na het starten toont het scherm een QR-code. Open je authenticator-app en scan de code om je account toe te voegen. Kun je de code niet scannen, gebruik dan de getoonde handmatige code (de geheime sleutel) en voer die in je app in.
Klik op Volgende om de zojuist toegevoegde sleutel te verifiëren. Voer de 6-cijferige code in die je authenticator-app laat zien en klik op Bevestig. Bij een onjuiste code verschijnt een melding; controleer de code en probeer het opnieuw. Met Terug kun je de QR-code opnieuw bekijken.
| Veld | Verplicht | Toelichting |
|---|---|---|
| Verificatiecode | Ja | De 6-cijferige code uit je authenticator-app. De code wordt automatisch gecontroleerd zodra alle zes cijfers zijn ingevuld. |
Is de code geldig, dan toont het scherm je herstelcodes. Bewaar deze codes op een veilige plek: ze geven je toegang tot je account als je geen toegang meer hebt tot je authenticator-app. Klik op Ik heb mijn codes opgeslagen om te bevestigen. MFA is nu ingeschakeld en bij elke volgende aanmelding heb je je authenticator-app nodig.
Inlogverificatie voltooien
Zodra MFA is ingeschakeld, verschijnt bij het inloggen het verificatiescherm (/mfa/challenge). Voer hier de 6-cijferige code uit je authenticator-app in. De code wordt automatisch gecontroleerd zodra je alle zes cijfers hebt ingevuld; je kunt ook op Verifieer klikken. Bij een onjuiste code verschijnt een melding en wordt het veld geleegd zodat je het opnieuw kunt proberen. Na een geslaagde verificatie ga je door naar de pagina waar je naartoe wilde, of naar je dashboard.
Heb je meerdere methodes ingesteld, dan toont het scherm welke methodes beschikbaar zijn.
Geen toegang tot je authenticator? Klik op Gebruik een herstelcode. Voer een van de herstelcodes in die je bij het instellen hebt opgeslagen en klik op Verifieer. Let op: een herstelcode kun je maar één keer gebruiken. Met de knop Terug naar verificatie keer je terug naar het invoeren van een authenticator-code.
| Veld | Verplicht | Toelichting |
|---|---|---|
| Verificatiecode | Ja | De 6-cijferige code uit je authenticator-app. |
| Herstelcode | Nee | Een van je opgeslagen herstelcodes; alleen nodig als je geen toegang hebt tot je authenticator-app. |
Met Annuleren breek je de verificatie af en keer je terug naar het inlogscherm.
Terug naar profiel
Het instellen van MFA gaat altijd uit van je profiel. Klik je tijdens het instellen op Annuleren, of rond je de instelling af met Klaar, dan keer je terug naar je profielpagina. Vanaf je profiel beheer je je accountinstellingen en kun je je tweefactorauthenticatie later opnieuw bekijken.