Welke tweede factor authenticatie (2FA) app moet ik gebruiken?
Inloggen is vervelend, het liefst doe je het helemaal niet. En dan wordt het tegenwoordig ook nog eens lastiger gemaakt met de 2FA eisen. Een nieuwe technologie, Passkeys, zou het einde moeten betekenen van wachtwoorden en alle inlogproblemen, alleen introduceert deze vorm van top notch veiligheid voor een ander probleem: wat als je geen toegang hebt tot de Passkey? Vandaar een ietwat pragmatische aanbeveling.
Aanbevolen voor Apple fans
Wanneer je minimaal 2 Apple devices hebt met een veiligheidsmodule (iPhone, nieuwere MacBooks), dan zou ik, wanneer de mogelijkheid er is, Passkeys aanbevelen. Wanneer je een passkey aanmaakt zijn ze ook beschikbaar op de andere apparaten die verbonden zijn met dezelfde iCloud account. Er zijn ook andere diensten die Passkeys kunnen opslaan, maar het risico met passkeys is dat je goed moet nadenken over het scenario waarin je geen toegang meer hebt tot je device.
Ondersteund de dienst geen Passkeys, maar wel ‘Google Authenticator’? In plaats van Google Authenticator kun je ook je Apple apparaat gebruiken. Scan de code met de standaard camera app van je telefoon, en je krijgt de mogelijkheid de inlogcodes toe te voegen aan je wachtwoorden app.
Het grote nadeel: je zit dieper vast in het Apple ecosysteem. Dus lees vooral verder.
Aanbevolen voor de rest
Proton Authenticator is van de Zwiterse dienst Proton, die privacy centraal stelt. Verdient geld met abonnementen en breidt steeds verder uit. Hun OTP Authenticator is echter volledig gratis en kan gegevens veilig synchroniseren tussen verschillende apparaten die dezelfde app draaien, zowel op Desktop (Mac (M1+)/Windows/Linux) als op mobiel (iOS/(Open)Android). De synchronisatie is niet open, maar de app zelf is wel open source (GPL).
(Betaalde) password managers
Betaalde password managers bieden ook allemaal ondersteuning aan voor tweede factor authenticatie. Een risico is als iemand toegang heeft tot deze kluis deze persoon echt overal bij kan. Hiervoor hebben deze partijen over het algemeen goede maatregelen genomen.
1Password
Ik heb zelf geen ervaring met 1Password, maar het wordt door velen aanbevolen: Een degelijke, gebruiksvriendelijke, en lang bestaande password manager uit Canada, die geld verdient via abonnementen voor de dienst. Ondersteund wachtwoorden, OTP codes en Passkeys.
Proton Pass
Bouwt voort op de eerder genoemde Proton Authenticator, maar je moet wel de betaalde dienst nemen om 2FA codes geïntegreerd mee op te slaan. Ondersteund ook Passkeys. Geen ervaring mee.
Bitwarden
Amerikaanse dienst, maar wel met de mogelijkheid tot opslaan van de gegevens in de EU (of eventueel een zelf gehoste opslag). Bestaat lang, en verdient vooral geld met abonnementen. Ondersteund wachtwoorden en OTP codes, maar nog geen Passkeys. Geen ervaring mee.
Meer onafhankelijkheid?
Passkeys vereisen al snel dat je een clouddienst afneemt (dan wel direct betaald, dan wel betaald via de niet goedkope hardware); tenzij je écht netjes meerdere hardware keys (Ubikey is een bekende leverancier) aanmaakt in geval van nood.
FreeOTP(+)
Als iets flexibeler gratis alternatief kun je FreeOTP+ installeren. Let op: codes veilig opslaan is niet gemakkelijk!
- Google Android (dit is een open versie van wat vaak ook ‘Google Authenticator’ wordt genoemd, wanneer je een QR code moet scannen om een code te maken, gebruik dan deze app).
- Open Android (F-Droid)
- iOS
Denk er wel aan om soms een export te maken; deze export moet je veilig opslaan: een beveiligde notitie, of b.v. een office document met wachtwoord. In geval van nood kun je deze dan weer importeren. Ten overvloede: ligt een export op straat, dan heb je dus geen veilige 2FA meer(!).
Hardware sleutels
Misschien wel de meest concrete manier van tweede factor authenticatie: hardware keys. Het grootste voordeel is tegelijkertijd het grootste nadeel: ze zijn niet te kopiëren. Dus pas op met diensten die maar 1 sleutel kunnen opslaan en doe het altijd ook voor een tweede sleutel.
Te vermijden
In het verleden heb ik Authy aanbevolen, maar die draait niet op Open Android versies, en de desktop integratie is ook gestopt, dus ik vertrouw ze niet langer voor de langere termijn. Google Authenticator is niet zo flexibel met meerdere devices, ze ondersteunen slechts import en export. Microsoft Authenticator idem.