Tweestapsverificatie zorgt voor extra beveiliging van je account, omdat je naast je wachtwoord ook je telefoon (of een ander apparaat) nodig hebt om in te loggen. Na het inschakelen van tweestapsverificatie voeg je een extra stap toe: eerst log je in zoals gewoonlijk, daarna dien je een code in te voeren die door je persoonlijke apparaat wordt gegenereerd.
Eerste keer instellen voor eindgebruikers
Wanneer een account nog geen 2FA opgezet heeft voor hun account worden ze na het inloggen doorverwezen naar een pagina waar ze uitgelegd krijgen hoe ze 2FA opzetten voor hun account. Het opzetten van 2FA gebeurt in 3 korte stappen.
Stap 1: Download de app
Gebruikers dienen een authenticator-app (Time-based one-time password) te downloaden. De meest bekende app hiervoor is Google Authenticator. Dit soort apps geven gebruikers de mogelijkheid om een QR-code te scannen of handmatig een lange code in te vullen, waarna een unieke 6-cijferige code verschijnt die na enige tijd verandert naar een andere code.
Stap 2: Configureer je apparaat met je persoonlijke geheime code
Gebruikers dienen de geheime code of de QR code te scannen om tweestapsverificatie voor hun persoonlijke account te activeren.
Stap 3: Controleer de code van jouw apparaat
Wanneer de website succesvol in de app geregistreerd is, verschijnt er een unieke 6-cijferige code. Als deze code wordt ingevoerd voordat het verloopt, dan wordt de gebruikers inlog goedgekeurd en krijgen ze toegang tot hun account.
Opnieuw inloggen
Wanneer een gebruiker al wel 2FA heeft opgezet voor hun account en probeert in te loggen krijgen ze een scherm te zien waar ze slechts een code in kunnen vullen. Hier gebruiken ze de code uit hun TOTP app die ze voorheen geregistreerd hebben.
2FA uitzetten
Mocht een gebruiker problemen hebben met hun 2FA, dan is het mogelijk voor administratie medewerkers om de 2FA instellingen van een gebruiker weg te gooien zodat zei dit opnieuw in kunnen stellen. Om dit te doen dient een gebruiker met toegang tot het CMS te navigeren naar de account van de gebruiker in kwestie. Als hun 2FA is ingesteld, dan verschijnt hier een knop om deze uit te schakelen. Hier moet simpelweg op geklikt worden.
Veiligheid
Vanwege de werking van 2FA is de gebruiker ingelogd op het punt dat ze hun E-mailadres en wachtwoord invullen, maar dit betekent niet dat ze toegang hebben tot de rest van de website. Mocht het zo zijn dat een gebruiker inlogt, maar kiest de 2FA niet in te vullen en hun browser balk te gebruiken om te navigeren naar een ander deel van de site, dan worden ze automatisch uitgelogd. Het maakt hierbij niet uit naar welke url de gebruiker navigeert. De site kijkt simpelweg of de gebruiker op de pagina is om 2FA op te zetten of opnieuw in te vullen, en zodra dit niet het geval is, worden ze uitgelogd.
CMS
Een limitatie van het systeem is dat er geen uitzonderingen gemaakt kunnen worden voor sommige gebruikers. Het is mogelijk om 2FA uit te schakelen voor de CMS pagina’s, maar dit betekent wel dat zodra een gebruiker is ingelogd via het CMS deze weer uitgelogd wordt zodra ze proberen de voorkant van de site op te komen.
Om deze reden hebben wij ervoor gekomen om het CMS ook 2FA te geven. Hierdoor is er geen verwarring met het plotselinge uitloggen van redactie gebruikers wanneer zij hier inloggen en dan ineens uitgelogd worden wanneer ze naar de voorkant van de site willen.
De 2FA voor het CMS is exact hetzelfde in te stellen wanneer een gebruiker inlogt in het CMS als aan de voorkant.