Veelgestelde vragen over 2 Factor authenticatie

Extra beveiliging van ledenportals
Wat is 2 factor authenticatie precies?
2 factor authenticatie is een extra beveiliging die doorlopen dient te worden, naast de reguliere methode van een gebruikersnaam en wachtwoord, om toegang te krijgen tot een afgeschermd deel van een website, webportal of een mobiele app.
Omdat alleen een goede combinatie van username en wachtwoord niet voldoende zijn om toegang te krijgen tot het account, verbetert 2 factor authenticatie de veiligheid van de gegevens. Daarnaast verkleint het de kans dat hackers toegang krijgen tot het account.

Welke 2 factor authenticatie methoden worden er aangeboden?
De desbetreffende CBO bepaalt welke 2 factor authenticatie methoden beschikbaar zijn. De methoden kunnen dus per CBO verschillen.
Zo kan een CBO alleen SMS-verificatie of alleen de Authenticator App verificatie ter beschikking stellen. De CBO kan de keuze ook aan de gebruiker zelf laten.
In de toekomst kunnen additionele 2 factor authenticatie methoden ter beschikking worden gesteld, bijvoorbeeld fingerprint, face ID.

Ben ik verplicht om een 2 factor authenticatie methode te activeren?
De verplichting voor de gebruiker om een 2 factor authenticatie methode te activeren wordt bepaald door de policy die een CBO hanteert.
Kan ik meerdere 2 factor methodieken tegelijkertijd koppelen?
Het is niet mogelijk om meerdere 2 factor methodieken tegelijkertijd te koppelen aan één account.

Welke data worden er van mij opgeslagen?
Om een goed werkende 2 factor authenticatie service aan te kunnen bieden, worden de volgende gegevens van een gebruiker, die een 2 factor authenticatie methode heeft geactiveerd, versleuteld opgeslagen in een database in West-Europa:
• CBO waarbij de gebruiker is aangesloten;
• Inlognaam / relatienummer;
• Mobiel nummer (indien verificatie middels sms is geactiveerd).
Deze gegevens worden niet gedeeld met derden.

Wat is het belang van de Recovery code?
Bij registratie voor SMS-verificatie of Authenticatie App wordt eenmalig een unieke Recovery code getoond. Bewaar deze code goed op een veilige plek. Deze Recovery code heb je nodig voor de SMS-verificatie als je een nieuw telefoonnummer hebt gekregen en voor de Authenticatie App als je een nieuw toestel hebt. Met deze code kun je de oude registratie uitzetten en je opnieuw registreren.

Hoe activeer ik de SMS-verificatie?
Tijdens het activatieproces van de SMS-verificatie wordt eerst ter controle een One Time Password via SMS gestuurd naar het mobiele nummer dat van deze gebruiker bekend is. Het ontvangen One Time Password dient in de website, webportal of app ingevuld te worden om de registratie af te ronden. Verder wordt eenmalig een speciale Recovery code verstrekt. Met behulp van deze Recovery code kan in geval van nood de 2 factor authenticatie uit worden gezet (zoals een PUK code bij een telefoon SIM-kaart).
Bewaar deze Recovery code dus goed op een veilige plek.

Ik heb geen One Time Password ontvangen tijdens het activatieproces
Als er geen One Time Password via SMS is ontvangen tijdens het activeringsproces, controleer dan eerst of het mobiele nummer dat is vastgelegd bij dit account nog klopt.
Zo niet, wijzig het mobiele nummer en doorloop het activatieproces opnieuw.
Als het mobiele nummer wel klopt, doorloop het activatieproces ter controle opnieuw. Wordt dan nog steeds geen One Time Password ontvangen via SMS, neem dan contact op met de desbetreffende CBO voor verdere ondersteuning.

Is het mogelijk om een buitenlands mobiele telefoonnummer te gebruiken voor de SMS verificatie?
Ja, dit is mogelijk.

Hoe werkt de SMS-verificatie?
Als de SMS-verificatie als 2 factor authenticatie methodiek is geactiveerd, dan wordt bij een nieuwe inlog, na een succesvolle invoer van username en password, een SMS gestuurd met een One Time Password code naar het mobiele nummer dat gekoppeld is aan de gebruiker. Deze code dient ingevoerd te worden op de website, webportal of app.
Als de code juist is, dan krijgt de gebruiker toegang tot de omgeving.
Als de code onjuist is, dan krijgt de gebruiker geen toegang tot de omgeving.

Hoe lang is de One Time Password code via SMS geldig?
De One Time Password code is 1 minuut geldig. Als deze tijd is verstreken dan wordt de code ongeldig verklaard en dient een nieuwe code aangevraagd te worden.

Hoe vaak kan ik een One Time Password code via SMS verkeerd invoeren?
Na 10 foutieve pogingen, zal het account voor 15 minuten geblokkeerd worden.

Hoe kan ik de SMS-verificatie uitschakelen?
Na een succesvolle inlog op de website, webportal of app van de CBO, kan de SMS-verificatie worden uitgezet. Ter controle zal een One Time Password via SMS worden gestuurd naar het mobiele nummer dat van deze gebruiker bekend is.
Het ontvangen One Time Password dient op de website, webportal of app ingevuld te worden om de uitschakeling van de SMS-verificatie af te ronden.

Wat moet ik doen als ik een nieuw telefoonnummer heb, maar de SMS-verificatie staat nog gekoppeld aan mijn oude telefoonnummer waartoe ik geen toegang meer heb?
In dit geval kan door middel van de Recovery code, die getoond is aan de gebruiker tijdens het activatieproces, de SMS-verificatie uit worden gezet.
Als de Recovery code niet meer in bezit is van de gebruiker, dan dient de gebruiker contact op te nemen met de desbetreffende CBO.

Hoe activeer ik de Authenticator verificatie?
Tijdens het activatieproces van de Authenticator verificatie, dient eerst de Authenticator app van bijvoorbeeld Google of van Microsoft gedownload en geïnstalleerd te worden op een mobiel device. Als de app reeds is geïnstalleerd kan deze stap overgeslagen worden.
De website, webportal of app zal een QR-code tonen. Deze QR-code dient in de Authenticator app gescand te worden. Hiermee wordt de Authenticator app gekoppeld aan het account van de gebruiker.
Als de QR-Code niet gescand kan worden, kan de koppeling van de Authenticator app aan het account tevens plaatsvinden middels het invoeren van een code.
Verder zal eenmalig een speciale Recovery code worden verstrekt. Met behulp van deze Recovery code kan in geval van nood de 2 factor authenticatie uit worden gezet (zoals een PUK code bij een telefoon SIM kaart).

Hoe werkt de Authenticator verificatie?
Als de Authenticator methodiek als 2 factor authenticatie methodiek is geactiveerd, dan wordt bij een nieuwe inlog, na een succesvolle invoer van username en password, gevraagd om de Authenticator code in te vullen. Deze benodigde code wordt getoond in de Authenticator app.
Als de code juist is, dan krijgt de gebruiker toegang tot de omgeving.
Als de code onjuist is, dan krijgt de gebruiker geen toegang tot de omgeving.

Hoe vaak kan ik een verkeerde Authenticator code invoeren?
Na 10 foutieve pogingen, zal het account voor 15 minuten geblokkeerd worden.

Wat moet ik doen als ik mijn Recovery Code niet weet?
Als de Recovery code niet meer in bezit is van de gebruiker, dan dient de gebruiker contact op te nemen met de desbetreffende CBO.

Wat moet ik doen als ik geen toegang meer heb tot mijn Authenticator app en ik geen back-up kan restoren?
In dit geval kan door middel van de Recovery code, die getoond is aan de gebruiker tijdens het activatieproces, de Authenticator verificatie uit worden gezet.
Als de Recovery code niet meer in bezit is van de gebruiker, dan dient de gebruiker contact op te nemen met de desbetreffende CBO.

Hoe kan ik de Authenticator verificatie uitschakelen?
Na een succesvolle inlog op de website, webportal of app van de CBO kan de Authenticator verificatie worden uitgezet. Ter controle zal gevraagd worden om de Authenticator code in te vullen. Deze benodigde code wordt getoond in de Authenticator app.
Als de code juist is, dan wordt de Authenticator validatie uitgeschakeld.
Als de code onjuist is, dan blijft de Authenticator validatie geactiveerd.