Twee-factor-authenticatie: FAQ
Twee-factor-authenticatie (ook wel 2FA genoemd) is een extra beveiliging voor de applicaties en data van de UU. In deze FAQ vind je veelgestelde vragen en antwoorden.
Deze FAQ is opgedeeld in de volgende categorien:
- Algemene vragen over twee-factor-authenticatie
- Praktische zaken
- Office 365 en 2FA
- Thuiswerken en VPN
- Wachtwoord of twee-factor-authenticatie vergeten of resetten
- Vragen over de YubiKey
-
1. Algemene vragen over twee-factor-authenticatie
Vaak gebruiken we alleen een wachtwoord (iets wat je weet) om bij onze applicatie of dienst in te loggen. Dit is feitelijk één-factor-authenticatie. Maar wanneer iemand dit bijvoorbeeld afkijkt of kraakt, zijn jouw gegevens toegankelijk voor een ander. Met twee-factor-authenticatie voegen we naast je wachtwoord een tweede factor toe: iets wat je hebt.
Deze tweede factor kan een mobiele telefoon zijn die een eenmalige code genereert (via een app bijvoorbeeld) of – indien dat niet mogelijk is – een fysieke USB-stick (genaamd een YubiKey)*. Die code (ook wel token genoemd) moet je vervolgens intypen nádat je jouw wachtwoord hebt ingevoerd. Het is dus een dubbele controle. Banken gebruiken twee-factor-authenticatie al veel langer (denk aan tan-codes of een identifier).
Met twee-factor-authenticatie (afgekort: 2FA) heb je dus twee dingen nodig om in te loggen, namelijk met:
- iets wat je weet (je Solis-id en wachtwoord)
- én iets wat je hebt (app op je telefoon/YubiKey)
Hiermee worden jouw (en onze) gegevens dus veel beter beveiligd, omdat het voor kwaadwillenden veel moeilijker is om toegang te krijgen tot zowel jouw wachtwoord als jouw twee-factor-authenticatie.
Welke methode voor jou het meest geschikt is, lees je bij de vraag “Welke methode kan ik het beste gebruiken?”.
Er zijn verschillende applicaties en diensten die extra beveiligd zijn met twee-factor-authenticatie. Dit aantal diensten breidt zich steeds meer uit. Wanneer je gebruik moet maken van twee-factor-authenticatie, krijg je vanzelf een melding op je scherm bij het inloggen (nadat je je Solis-id en wachtwoord hebt ingevoerd zoals gebruikelijk). Dit ziet er (afhankelijk van de methode die je hebt gekozen) zo uit:
Wanneer je gebruik maakt van een applicatie of dienst die beveiligd is met twee-factor-authenticatie:
- Log je zoals gebruikelijk in met je Solis-id en wachtwoord
- Moet je jouw twee-factor-authenticatie bij je hebben (zoals je mobiele telefoon). Wanneer er gevraagd wordt om de twee-factor-authenticatie uit te voeren, dan heb je deze nodig om gebruik te kunnen maken van de applicaties of diensten die hiermee beveiligd zijn.
- Je moet (in de regel) eens per dag authenticeren met tweede-factor-authenticatie voor de applicaties en diensten die hiermee beveiligd zijn.
Er zijn meerdere methodes. Je kunt deze methodes instellen via https://mysolisid.uu.nl, daar word je door de stappen geleid om de gekozen methode in te stellen. We raden het gebruik van de NetIQ app op je mobiele telefoon aan. Je kunt maar één methode tegelijk gebruiken.
Heb je een (visuele of lichamelijke) beperking in combinatie met (een van) de methodes en wil je advies? Neem dan contact op met de ICT Servicedesk.
Eerste methode: je mobiele telefoon met de NetIQ app (aanbevolen).
Deze methode is het handigst als je altijd een mobiele smartphone bij je hebt en geen code wilt overtypen. Wanneer een applicatie vraagt om twee-factor-authenticatie, hoef je alleen op de knop “Accept” te drukken op je mobiele telefoon. Een internetverbinding op je mobiel is vereist.
Tweede methode: de Google authenticator App.
Deze methode is het handigst als je altijd een mobiele smartphone bij je hebt en je al gebruik maakt van twee-factor-authenticatie via Google authenticator bij andere dingen. Hierbij moet je handmatig een zes-cijferige code overtypen van je telefoon op je computer. Een internetverbinding op je mobiel is niet nodig om de code op te halen.
Derde methode: de Microsoft authenticator App.
Deze methode is ook handig voor als je altijd een smartphone bij de hand hebt. Voor gast gebruikers bij de UU is het ook verplicht om deze app te gebruiken voor het verkrijgen van toegang tot een UU Teams of Sharepoint bijvoorbeeld. Zie ook Office 365: Instellen MFA voor gastgebruikers (Microsoft Authenticator).
Vierde methode: een YubiKey (fysieke USB-stick die je bij je moet hebben).
Wanneer een applicatie of dienst vraagt om twee-factor-authenticatie, moet je de YubiKey in je computer stoppen en op een knop drukken op de YubiKey. Hierna krijg je toegang. Je hoeft niets over te typen en je hebt geen mobiele telefoon nodig.
Let op: het kan zijn dat je nog een methode gebruikt met SMS, dit kun je omzetten naar een 2FA methode met een applicatie. Volg hiervoor deze handleiding: Twee-factor-authenticatie: wisselen van methode
Dit doe je via de mysolisid-portal. Wanneer je naar https://mysolisid.uu.nl/mfa gaat, kom je direct in het juiste menu terecht. Hier word je stap-voor-stap geholpen met het instellen.
Je hebt een PC / laptop èn een mobiel apparaat nodig, omdat je een QR-code moet scannen met het mobiele apparaat (bijvoorbeeld je telefoon) omdat je daarop je twee-factor-authenticatie moet activeren. Die code moet je scannen vanaf een ander scherm dan je telefoon.
Je kan je methode veranderen door in te loggen op http://mysolisid.uu.nl/ en vervolgens te klikken op “Twee-factor-authenticatie”. Klik dan op “settings” om je recovery code te zien (klik op “show”). Noteer deze goed (of kopieer hem) en klik op “go back to overview”. Daarna kan je klikken op “Deactivate with recovery code” en de instructies verder volgen.
Zodra je 2fa gedeactiveerd is, kan je deze opnieuw instellen via een andere methode door naar https://mysolisid.uu.nl/mfa te gaan en de instructies op te volgen voor de door jouw gekozen methode.
Neem contact op met de ICT Servicedesk. Zij helpen je verder.
-
2. Praktische zaken
Ik gebruik één apparaat.
Dit gaat niet lukken. Je hebt een apparaat nodig dat de QR-code toont en een tablet of smartphone om de QR-code te scannen.
Ik gebruik twee apparaten.
Tips om de QR-code goed te scannen:
- Houd je telefoon goed stil tijdens het scannen. Het kan even duren voordat hij gescand wordt. Je camera moet namelijk scherpstellen op de QR-code.
- Houd de telefoon op armlengte voor je scherm: niet te dichtbij dus.
- Zorg ervoor dat de QR-code volledig in beeld is tijdens het scannen.
- Zorg ervoor dat alleen de QR-code in beeld is tijdens het scannen.
- Houd geen objecten zoals je vinger voor de camera tijdens het scannen.
- Verhoog de helderheid van je computerscherm. Dit verhoogt het contrast van de QR-code waardoor je camera het makkelijker kan scannen.
Problemen met de camera?
- Werkt je camera niet dan kun geen gebruik maken van de NetIQ of Google Authenticator app.
- De app opent mijn camera niet automatisch. Sluit de app en open het opnieuw.
- Werkt het nog niet? Herstart dan je telefoon en probeer het opnieuw.
Heb je te lang gewacht, dan kan je de QR-code niet meer scannen. Sluit de browser op je pc en de app af en begin opnieuw.
Dat hangt ervan af. Je kunt applicaties op twee manieren gebruiken:
- Als je op je eigen laptop of PC werkt met een applicatie die je lokaal geïnstalleerd hebt (het staat dan in je startmenu of op je bureaublad , zoals op UU-laptops of UU-desktops standaard het geval is) blijft je 2FA op dat betreffende apparaat – na de eerste keer inloggen – net zolang geldig als je UU-wachtwoord: 180 dagen (tenzij je tussentijds je wachtwoord wijzigt).
- Als je een webvariant gebruikt en dus via je internetbrowser (zoals Firefox, Edge, Chrome enz.) bijvoorbeeld Word of Excel opent, is je inlog geldig zolang je sessie duurt. Ben je langer dan 30 minuten inactief, dan wordt deze sessie automatisch afgebroken. Als je de webapplicatie opnieuw start, moet je opnieuw inloggen met 2FA.
Die code (token) in Google authenticator verandert om de 30 seconden. Dit is ook hoe lang die code geldig is. Het heeft dus geen zin om die codes te bewaren.
Tip: er zit altijd enige vertraging in het tonen van de code en de tijd die je hebt om de code in te typen. Wanneer bijvoorbeeld een code na 30 seconden verdwijnt bij Google authenticator, heb je altijd nog wat extra seconden de tijd deze in te voeren op je computer. Gaat dit te snel, dan raden we aan om de app NetIQ te gebruiken.
Als het echt niet anders kan, kun je een YubiKey aanvragen. Deze moet je wel altijd bij je hebben en niet in je computer achterlaten wanneer je weggaat. Zie het kopje YubiKey in deze FAQ.
We hebben binnen de UU een grote diversiteit aan gebruikers. Uiteraard zijn er ook collega’s die niet beschikken over een (voor 2FA geschikte) telefoon/smartphone. In de regel kunnen zij bij de eigen faculteit een telefoon aanvragen. Zo niet, dan is er een alternatief beschikbaar vanuit ITS, namelijk een Yubikey. Neem voor advies voor jouw specifieke situatie contact op met de ICT Servicedesk.
Indien je een app op je mobiel gebruikt voor twee-factor-authenticatie, is het raadzaam om toch je telefoon op te gaan halen. Voor de veiligheid van jouw gegevens en die van de UU (waarvoor twee-factor-authenticatie juist is) is het niet mogelijk dat iemand anders een tijdelijke twee-factor-authenticatie kan regelen.
Wanneer je batterij leeg is, is de enige optie om dan de telefoon aan een (geleende) lader aan te sluiten – en daarna alsnog de twee-factor-code (token) in te voeren bij de desbetreffende applicatie of dienst.
Dan moet je eerst de 2FA methode op je oude telefoon deactiveren en vervolgens opnieuw instellen op je nieuwe telefoon.
Dit kan met de actieve 2FA op je oude telefoon of met behulp van de herstelcode die je hebt gekregen bij het instellen. Als je één van deze twee opties hebt dan kun je jouw twee-factor-authenticatie via https://mysolisid.uu.nl/mfa zelf uitschakelen en opnieuw instellen op je nieuwe telefoon.
Heb je geen toegang meer tot je oude telefoon of heb je de herstelcode niet bewaard? Neem dan contact op met de Servicedesk.
Neem zo snel mogelijk contact op met de ICT Servicedesk. Zij helpen je verder en kunnen (indien je jouw UU-mail op je telefoon hebt gekoppeld) je telefoon eventueel op afstand wissen.
Ja, dat kan zeker. Alleen wanneer je kiest voor het gebruik van de YubiKey, dien je die wel zelf op te halen bij een van de IT-balies van UU. Je kunt er ook zelf eentje kopen wanneer je in het buitenland bent. Regel dit met je leidinggevende (i.v.m. kosten en dergelijke).
Nee. Het beleid geldt voor iedereen en wordt per systeem ingesteld. Uitzonderingen maken is niet mogelijk.
Nee, dat kan niet. Je twee-factor-authenticatie is strikt persoonlijk, inclusief eventuele bijbehorende code of Yubikey.
Linux-gebruikers bij de UU zullen geen andere impact bemerken dan de gebruikers van Windows- of Mac-computers.
-
3. Office 365 en 2FA
Voor een Teams vergadering is het niet nodig voor gasten op de UU om 2FA te gebruiken.
Gasten moeten na 3 mei 2022 echter wel gebruik maken van extra beveiliging wanneer ze toegang krijgen tot een UU Teams omgeving of bijvoorbeeld bestanden op Sharepoint. Dit heet MFA (Multi-factor authenticatie). Meer over MFA voor gasten lees je hier: Microsoft 365: Multi-factor authenticatie (MFA) voor gastgebruikers.
Dat ligt aan het type Yubikey wat je hebt. Sommige varianten kun je in je telefoon steken (dat ligt ook weer aan de aansluiting die je op je telefoon hebt). Een voorbeeld van zo’n model wat je in je telefoon kunt steken is de USB-C variant. Ook zijn er NFC-varianten die draadloos werken (vergelijkbaar met de techniek die gebruikt wordt bij de campuskaart als je gaat printen). Neem voor advies voor jouw specifieke situatie contact op met de ICT Servicedesk.
Vaak wel. Voor specifieke situaties (denk aan laboratoria) is er maatwerk beschikbaar. Neem indien nodig contact op met jouw informatiemanager om te kijken naar een passende oplossing.
Dat ligt aan de versie. Outlook 2016 (Windows of Mac) en nieuwere versies werken zonder problemen met 2FA. Oudere versies waarschijnlijk niet. Bovendien zijn oudere versies (dan 2016) vanwege het vaak ontbreken van cruciale beveiligingsupdates kwetsbaar.
Elke medewerker en student van de UU beschikt over meerdere gratis licenties. Dit betekent dat je zonder extra kosten de nieuwste versie van Office op verschillende (privé) apparaten kunt installeren zolang je bij de UU werkt of studeert. Installeren doe je door in te loggen (sign in) op het Office 365 platform (https://www.office.com) met je Solis-id en wachtwoord. Je ziet dan rechts bovenin de knop “Install Office” staan.
-
4. Thuiswerken en VPN
Toegang met behulp van VPN AnyConnect is voorzien van twee-factor-authenticatie. Per sessie zal je daar dus twee-factor-authenticatie moeten gebruiken naast je Solis-id en wachtwoord.
-
5. Twee-factor-authenticatie vergeten of resetten
Heb je de app niet meer of is deze leeg (zoals Google authenticator), heb je inmiddels een andere telefoon, of ben je jouw YubiKey kwijt? En heb je ook geen herstelcode? Neem dan contact op met de ICT Servicedesk.
Heb je nog wel de herstelcode bewaard die je hebt gekregen bij het instellen? Dan kun je jouw twee-factor-authenticatie via https://mysolisid.uu.nl/mfa zelf resetten met behulp van deze code. Je gebruikt deze code om eerst de methode die je had ingesteld te deactiveren. Hierna kun je opnieuw 2FA instellen.
Deze herstelcode heb je nodig wanneer je bijvoorbeeld je mobiele telefoon kwijt bent of wanneer je geen toegang meer hebt tot je huidige twee-factor-authenticatie. Met de herstelcode kun je dan toch twee-factor-authenticatie opnieuw instellen.
Die code moet je ergens veilig opbergen op een plek waar alleen jij bij kunt. Opslaan op een UU-locatie (zoals de U- of O-schijf) wordt niet aangeraden, omdat je er dan niet mogelijk bij kan als je die herstelcode nodig hebt. Sommige wachtwoordmanagers bieden ook ruimte om een herstelcode op te slaan.
Werk je straks langere tijd in het buitenland? Dan wordt aangeraden om in het geval van een (werk-)vakantie of langdurig verblijf die herstelcode te kopiëren en mee te nemen.
-
6. Vragen over de YubiKey
Wanneer je niet de mogelijkheid hebt om via een app op een mobiele telefoon de twee-factor-authenticatie te kunnen uitvoeren, kan een YubiKey uitkomst bieden.
Je kunt deze aanvragen via de ICT Servicedesk. Je kunt er ook eentje zelf kopen.
Dit zijn een aantal websites waar je terecht kunt:
- https://www.yubico.com/nl/store/
- https://www.mkbsecurity.com/nl/product/security-peripherals/yubico/yubikey-5-nfc/
- https://www.kommago.nl/yubico-yubikey-5-nfc/pid=64646?utm_source=tweakers.net&utm_medium=referral&utm_campaign=pricewatch
Neem anders contact op met de ICT Servicedesk voor advies.
In dat geval kun je waarschijnlijk geen gebruik maken van een YubiKey. Neem contact op met de ICT Servicedesk voor advies.
Via de UU zijn standaard de USB-A variant beschikbaar gesteld, het is ook mogelijk een USB-C variant te krijgen wanneer de USB-A variant niet geschikt is voor jouw apparaat. Indien je nog een ander type nodig hebt, raden we je aan met je leidinggevende te overleggen over de mogelijkheden.
Nee, een YubiKey is en blijft strikt persoonlijk en is verbonden aan de aanvrager. Deze mag daarom niet aan derden worden uitgeleend of worden gebruikt door anderen.
Neem dan zo snel mogelijk contact op met de ICT Servicedesk.
Wanneer je hier vaak tegenaan loopt, is het beter om te kiezen voor een app op je mobiele telefoon.
Is dit niet mogelijk? Er zijn ook YubiKeys die uitgerust zijn met NFC of een USB-aansluiting die past op je mobiele telefoon. De UU heeft deze niet standaard in het assortiment, omdat dit uitzonderingen zijn. Neem contact op met je leidinggevende om deze te bestellen.
Laatst bijgewerkt op: 22/01/2024