Logo Universiteit Utrecht

Handleidingen

Terug
Doelgroep: Gasten, Medewerkers en Studenten

Twee-factor-authenticatie: FAQ

Twee-factor-authenticatie (ook wel 2FA genoemd) is een extra beveiliging voor de applicaties en data van de UU. In deze FAQ vind je veelgestelde vragen en antwoorden.

Deze FAQ is opgedeeld in de volgende categorien:

  1. Algemene vragen over twee-factor-authenticatie
  2. Praktische zaken
  3. Thuiswerken en VPN
  4. Wachtwoord of twee-factor-authenticatie vergeten of kwijt
  5. Vragen over de YubiKey
  • 1. Algemene vragen over twee-factor-authenticatie

    Vaak gebruiken we alleen een wachtwoord (iets wat je weet) om bij onze applicatie of dienst in te loggen. Dit is feitelijk één-factor-authenticatie. Maar wanneer iemand dit bijvoorbeeld afkijkt of kraakt, zijn jouw gegevens toegankelijk voor een ander. Met twee-factor-authenticatie voegen we naast je wachtwoord een tweede factor toe: iets wat je hebt.

    Deze tweede factor kan een mobiele telefoon zijn die een eenmalige code genereert (via een app bijvoorbeeld) of – indien dat niet mogelijk is – een fysieke USB-stick (genaamd een YubiKey)*. Die code (ook wel token genoemd) moet je vervolgens intypen nádat je jouw wachtwoord hebt ingevoerd. Het is dus een dubbele controle. Banken gebruiken twee-factor-authenticatie al veel langer (denk aan tan-codes of een identifier).

    Met twee-factor-authenticatie (afgekort: 2FA) heb je dus twee dingen nodig om in te loggen, namelijk met:

    • iets wat je weet (je Solis-id en wachtwoord) ​
    • én iets wat je hebt (app op je telefoon/YubiKey)

    Hiermee worden jouw (en onze) gegevens dus veel beter beveiligd, omdat het voor kwaadwillenden veel moeilijker is om toegang te krijgen tot zowel jouw wachtwoord als jouw twee-factor-authenticatie.

    Welke methode voor jou het meest geschikt is, lees je bij de vraag “Welke methode kan ik het beste gebruiken?”.

    Er zijn verschillende applicaties en diensten die extra beveiligd zijn met twee-factor-authenticatie. Dit aantal diensten breidt zich steeds meer uit. Wanneer je gebruik moet maken van twee-factor-authenticatie, krijg je vanzelf een melding op je scherm bij het inloggen (nadat je je Solis-id en wachtwoord hebt ingevoerd zoals gebruikelijk). Dit ziet er (afhankelijk van de methode die je hebt gekozen) zo uit:

     

    Wanneer je gebruik maakt van een applicatie of dienst die beveiligd is met twee-factor-authenticatie:

    • Log je zoals gebruikelijk in met je Solis-id en wachtwoord
    • Moet je jouw twee-factor-authenticatie bij je hebben (zoals je mobiele telefoon). Wanneer er gevraagd wordt om de twee-factor-authenticatie uit te voeren, dan heb je deze nodig om gebruik te kunnen maken van de applicaties of diensten die hiermee beveiligd zijn.
    • Je moet (in de regel) eens per dag authenticeren met tweede-factor-authenticatie voor de applicaties en diensten die hiermee beveiligd zijn.

    Er zijn drie methodes. We raden het gebruik van de NetIQ app op je mobiele telefoon aan. Je kunt maar één methode tegelijk gebruiken.

    Heb je een (visuele of lichamelijke) beperking in combinatie met (een van) de methodes en wil je advies? Neem dan contact op met de ICT Servicedesk.

    Eerste methode: je mobiele telefoon met de NetIQ app (aanbevolen).

    Deze methode is het handigst als je altijd een mobiele smartphone bij je hebt en geen code wilt overtypen. Wanneer een applicatie vraagt om twee-factor-authenticatie, hoef alleen op de knop “Accept” te drukken op je mobiele telefoon. Een internetverbinding op je mobiel is vereist.

    Tweede methode: de Google authenticator App.

    Deze methode is het handigst als je altijd een mobiele smartphone bij je hebt en je al gebruik maakt van twee-factor-authenticatie via Google authenticator bij andere dingen. Hierbij moet je handmatig een zes-cijferige code overtypen van je telefoon op je computer. Een internetverbinding op je mobiel is niet nodig om de code op te halen.

    Derde methode: een YubiKey (fysieke USB-stick die je bij je moet hebben).

    Wanneer een applicatie of dienst vraagt om twee-factor-authenticatie, moet je de YubiKey in je computer stoppen en op een knop drukken op de YubiKey. Hierna krijg je toegang. Je hoeft niets over te typen en je hebt geen mobiele telefoon nodig.

    Dit doe je via de mysolisid-portal. Wanneer je naar https://mysolisid.uu.nl/mfa gaat, kom je direct in het juiste menu terecht. Hier word je stap-voor-stap geholpen met het instellen.

    Meestal wel. Je hebt in ieder geval een tweede apparaat nodig, omdat je een QR-code moet scannen met het mobiele apparaat (bijvoorbeeld je telefoon) om daarop twee-factor-authenticatie moet activeren. Die code moet je scannen vanaf een ander scherm dan je telefoon.

    Je kan je methode veranderen door in te loggen op http://mysolisid.uu.nl/ en vervolgens te klikken op “Twee-factor-authenticatie”. Klik dan op “settings” om je recovery code te zien (klik op “show”). Noteer deze goed (of kopieer hem) en klik op “go back to overview”. Daarna kan je klikken op “Deactivate with recovery code” en de instructies verder volgen.

    Zodra je 2fa gedeactiveerd is, kan je deze opnieuw instellen via een andere methode door naar https://mysolisid.uu.nl/mfa te gaan en de instructies op te volgen voor de door jouw gekozen methode.

    Neem contact op met de ICT Servicedesk. Zij helpen je verder.

     

  • 2. Praktische zaken

    Ik gebruik één apparaat.

    Dit gaat niet lukken. Je hebt een apparaat nodig dat de QR-code toont en een tablet of smartphone om de QR-code te scannen.

    Ik gebruik twee apparaten.

    Tips om de QR-code goed te scannen:

    • Houd je telefoon goed stil tijdens het scannen. Het kan even duren voordat hij gescand wordt. Je camera moet namelijk scherpstellen op de QR-code.
    • Houd de telefoon op armlengte voor je scherm: niet te dichtbij dus.
    • Zorg ervoor dat de QR-code volledig in beeld is tijdens het scannen.
    • Zorg ervoor dat alleen de QR-code in beeld is tijdens het scannen.
    • Houd geen objecten zoals je vinger voor de camera tijdens het scannen.
    • Verhoog de helderheid van je computerscherm. Dit verhoogt het contrast van de QR-code waardoor je camera het makkelijker kan scannen.

    Problemen met de camera?

    • Werkt je camera niet dan kun geen gebruik maken van de NetIQ of Google Authenticator app.
    • De app opent mijn camera niet automatisch. Sluit de app en open het opnieuw.
    • Werkt het nog niet? Herstart dan je telefoon en probeer het opnieuw.

    Heb je te lang gewacht, dan kan je de QR-code niet meer scannen. Sluit de browser op je pc en de app af en begin opnieuw.

    Je logt zoals gebruikelijk in met je Solis-id en wachtwoord wanneer dit nodig is bij een applicatie of dienst. Dit verandert niet.

    Daarnaast heb je gemiddeld één keer per dag twee-factor-authenticatie nodig om gebruik te maken van applicaties die beveiligd zijn met twee-factor-authenticatie

    Die code (token) in Google authenticator verandert om de 30 seconden. Dit is ook hoe lang die code geldig is. Het heeft dus geen zin om die codes te bewaren.

    Tip: er zit altijd enige vertraging in het tonen van de code en de tijd die je hebt om de code in te typen. Wanneer bijvoorbeeld een code na 30 seconden verdwijnt bij Google authenticator, heb je altijd nog wat extra seconden de tijd deze in te voeren op je computer. Gaat dit te snel, dan raden we aan om de app NetIQ te gebruiken.

    Als het echt niet anders kan, kun je een YubiKey aanvragen. Deze moet je wel altijd bij je hebben en niet in je computer achterlaten wanneer je weggaat. Zie het kopje YubiKey in deze FAQ. 

    Je kunt dan een ding doen: maak gebruik van een YubiKey. Zie het kopje YubiKey in deze FAQ. 

    Indien je een app op je mobiel gebruikt voor twee-factor-authenticatie, is het raadzaam om toch je telefoon op te gaan halen. Voor de veiligheid van jouw gegevens en die van de UU (waarvoor twee-factor-authenticatie juist is) is het niet mogelijk dat iemand anders een tijdelijke twee-factor-authenticatie kan regelen.

    Wanneer je batterij leeg is, is de enige optie om dan de telefoon aan een (geleende) lader aan te sluiten – en daarna alsnog de twee-factor-code (token) in te voeren bij de desbetreffende applicatie of dienst.

    Neem zo snel mogelijk contact op met de ICT Servicedesk. Zij helpen je verder en kunnen (indien je jouw UU-mail op je telefoon hebt gekoppeld) je telefoon eventueel op afstand wissen.

    Ja, dat kan zeker. Alleen wanneer je kiest voor het gebruik van de YubiKey, dien je die wel zelf op te halen bij een van de IT-balies van UU. Je kunt er ook zelf eentje kopen wanneer je in het buitenland bent. Regel dit met je leidinggevende (i.v.m. kosten en dergelijke).

    Nee. Het beleid geldt voor iedereen en wordt per systeem ingesteld. Uitzonderingen maken is niet mogelijk.

    Nee, dat kan niet. Je twee-factor-authenticatie is strikt persoonlijk, inclusief eventuele bijbehorende code of Yubikey.

    Linux-gebruikers bij de UU zullen geen andere impact bemerken dan de gebruikers van Windows- of Mac-computers.

  • 3. Thuiswerken en VPN

    Toegang met behulp van VPN AnyConnect is voorzien van twee-factor-authenticatie. Per sessie zal je daar dus twee-factor-authenticatie moeten gebruiken naast je Solis-id en wachtwoord.

  • 4. Twee-factor-authenticatie vergeten of kwijt

    Heb je de app niet meer of is deze leeg (zoals Google authenticator), heb je inmiddels een andere telefoon, of ben je jouw YubiKey kwijt? En heb je ook geen herstelcode? Neem dan contact op met de ICT Servicedesk.

    Heb je nog wel de herstelcode bewaard die je hebt gekregen bij het instellen? Dan kun je jouw twee-factor-authenticatie via https://mysolisid.uu.nl/mfa zelf resetten met behulp van deze code. Je gebruikt deze code om eerst de methode die je had ingesteld te deactiveren. Hierna kun je opnieuw 2FA instellen.

    Deze herstelcode heb je nodig wanneer je bijvoorbeeld je mobiele telefoon kwijt bent of wanneer je geen toegang meer hebt tot je huidige twee-factor-authenticatie. Met de herstelcode kun je dan toch twee-factor-authenticatie opnieuw instellen.

    Die code moet je ergens veilig opbergen op een plek waar alleen jij bij kunt. Opslaan op een UU-locatie (zoals de U- of O-schijf) wordt niet aangeraden, omdat je er dan niet mogelijk bij kan als je die herstelcode nodig hebt. Sommige wachtwoordmanagers bieden ook ruimte om een herstelcode op te slaan.

    Werk je straks langere tijd in het buitenland? Dan wordt aangeraden om in het geval van een (werk-)vakantie of langdurig verblijf die herstelcode te kopiëren en mee te nemen.

  • 5. Vragen over de YubiKey

    Dit is een USB-sleutel die je in je desktop of laptop moet stoppen. Wanneer de applicatie of dienst vraagt om twee-factor-authenticatie, hoef je alleen maar op een knop te drukken van de YubiKey.

    Wanneer je niet de mogelijkheid hebt om via een app op een mobiele telefoon de twee-factor-authenticatie te kunnen uitvoeren, kan een YubiKey uitkomst bieden.

    In dat geval kun je waarschijnlijk geen gebruik maken van een YubiKey. Neem contact op met de ICT Servicedesk voor advies.

    Via de UU is momenteel alleen de USB-A variant binnen UU beschikbaar gesteld. Indien je een ander type nodig hebt, raden we je aan met je leidinggevende te overleggen over de mogelijkheden.

    Nee, een YubiKey is en blijft strikt persoonlijk en is verbonden aan de aanvrager. Deze mag daarom niet aan derden worden uitgeleend of worden gebruikt door anderen.

    Neem dan zo snel mogelijk contact op met de ICT Servicedesk.

    Wanneer je hier vaak tegenaan loopt, is het beter om te kiezen voor een app op je mobiele telefoon.

    Is dit niet mogelijk? Er zijn ook YubiKeys die uitgerust zijn met NFC of een USB-aansluiting die past op je mobiele telefoon. De UU heeft deze niet standaard in het assortiment, omdat dit uitzonderingen zijn. Neem contact op met je leidinggevende om deze te bestellen.

Laatst bijgewerkt op: 2/10/2020

Terug
Feedback

Heeft deze handleiding je geholpen?

Je helpt ons met jouw feedback. Zo kunnen we onze handleidingen verbeteren!

Sending