MFA instellen voor je hele team: praktische gids
Multifactorauthenticatie (MFA) is de simpelste maatregel tegen gehackte accounts. Zo rol je het uit voor je hele KMO: van admin-accounts tot elke medewerker.
- MFA voegt een extra verificatiestap toe naast je wachtwoord. Het blokkeert het overgrote deel van de accountovernames
- Minder dan de helft van de Belgische KMO’s met minder dan 50 medewerkers gebruikt MFA
- Begin met admin-accounts, dan e-mail en cloud, dan de rest
- Gebruik een authenticator-app, geen SMS. Voor admins: overweeg een hardware key
Waarom MFA bovenaan je lijstje hoort
Een gestolen wachtwoord is genoeg om in te loggen op je e-mail, je boekhouding, je klantportaal. Phishing levert aanvallers dagelijks duizenden wachtwoorden op. MFA stopt ze. Zelfs met het juiste wachtwoord komt een aanvaller er niet in zonder die tweede factor.
Toch gebruikt minder dan de helft van de Belgische KMO’s met minder dan 50 medewerkers multifactorauthenticatie (MFA), blijkt uit cijfers van de FOD Economie. Bij grotere bedrijven ligt dat boven de 75%. Het verschil in beveiliging is enorm, het verschil in moeite klein.
Het CCB is duidelijk: elke toegang via internet tot bedrijfsapplicaties hoort achter MFA te zitten. E-mail, VPN, cloudopslag, boekhoudsoftware. Alles.
Welke MFA-methode kies je?
Niet elke tweede factor is even sterk. Hier is het overzicht:
| Methode | Veiligheid | Gebruiksgemak | Geschikt voor |
|---|---|---|---|
| Authenticator-app | Goed | Eenvoudig | Alle medewerkers |
| Hardware key (FIDO2/YubiKey) | Uitstekend | Vereist fysiek apparaat | Admins, gevoelige functies |
| Push-melding | Goed | Heel eenvoudig | Alle medewerkers |
| SMS-code | Matig | Eenvoudig | Alleen als noodoplossing |
Authenticator-apps (Microsoft Authenticator, Google Authenticator) genereren elke 30 seconden een nieuwe code. Gratis, werkt offline, en veel veiliger dan SMS. Dit is de standaardkeuze voor de meeste KMO’s.
Hardware keys zoals een YubiKey zijn phishing-bestendig: ze werken alleen op de echte website, nooit op een nep-inlogpagina. Kost €25-60 per stuk. Ideaal voor admin-accounts.
SMS-codes zijn beter dan niets, maar SMS is niet versleuteld en kwetsbaar voor SIM-swapping. De NIST-richtlijnen raden het af voor gevoelige accounts. Google en Microsoft schakelen SMS-verificatie steeds meer uit.
Kies één standaardmethode voor je hele team. Eén authenticator-app als standaard maakt het eenvoudiger om uit te leggen, te ondersteunen en af te dwingen. Microsoft 365-gebruikers kiezen logisch voor Microsoft Authenticator. Google Workspace-gebruikers voor Google Authenticator.
MFA uitrollen in 4 stappen
Stap 1: Begin met admin-accounts. Admin-accounts hebben de meeste rechten. Een gehackt admin-account geeft aanvallers toegang tot alles: gebruikersbeheer, e-mail, bestandsopslag, facturatie. Schakel MFA hier als eerste in. Microsoft verplicht MFA voor Microsoft 365-beheeraccounts sinds februari 2026.
Stap 2: Configureer het beleid centraal. Stel in je admin-portal in dat MFA verplicht is voor alle gebruikers. Bij Microsoft 365 ga je naar het beheercentrum > Users > Active users > Multi-Factor Authentication. Bij Google Workspace via Admin > Security > Authentication. Medewerkers worden bij hun eerstvolgende aanmelding automatisch door de registratie geleid.
Stap 3: Communiceer naar je team. Stuur vooraf een kort bericht: wat er verandert, waarom, en dat het 5 minuten kost. Leg uit dat ze de authenticator-app moeten installeren voor ze de volgende keer inloggen. Vermijd jargon. “Je krijgt voortaan een extra code bij het inloggen, net als bij je bank-app” werkt.
Stap 4: Breid uit naar alle zakelijke accounts. Na e-mail en cloud: boekhoudsoftware, CRM, HR-tools, leveranciersportalen. Elke dienst die via internet bereikbaar is en bedrijfsdata bevat, hoort MFA te hebben.
Wat als iemand zijn telefoon verliest of een nieuw toestel krijgt? Zorg dat je als beheerder de MFA-registratie kunt resetten. Overweeg medewerkers bij de eerste registratie backup-codes te laten opslaan op een veilige plek. Een MFA-uitrol zonder herstelplan levert gegarandeerd problemen op.
Veelgemaakte fouten bij MFA-uitrol
Alleen voor admins inschakelen. Admin-accounts beveiligen is stap 1, niet het eindpunt. Een gehackt medewerkeraccount geeft aanvallers toegang tot klantdata, interne documenten en e-mailcontacten. Rol MFA uit voor iedereen.
SMS als standaard kiezen. Het is verleidelijk omdat het geen app vereist, maar SMS is de zwakste optie. SIM-swapping is een reële dreiging. Kies een authenticator-app als standaard en gebruik SMS alleen als noodoplossing voor medewerkers die geen smartphone hebben.
Geen communicatie vooraf. Medewerkers die onverwacht een extra inlogstap krijgen, bellen de helpdesk of raken gefrustreerd. Een kort bericht van 3 zinnen voorkomt dat.
Uitzonderingen toestaan. “Jan doet het wel later” wordt “Jan doet het nooit”. Stel MFA verplicht in via je admin-beleid, niet als optionele keuze.
Wat zegt CyFun over MFA?
Het CyberFundamentals framework van het CCB is stellig: gebruik MFA waar mogelijk, en altijd bij toegang op afstand. Op CyFun SMALL-niveau is MFA al een van de zeven basisaanbevelingen.
Specifiek noemt het CCB drie situaties waar MFA verplicht is:
- Medewerkers die inloggen op bedrijfsapplicaties (e-mail, boekhouding, CRM)
- Externe toegang tot het bedrijfsnetwerk (VPN, remote desktop)
- Accounts met beheerrechten (admin-accounts)
De NIS2-wet versterkt dit. Organisaties die onder NIS2 vallen, moeten aantoonbaar maatregelen nemen voor toegangscontrole. MFA is daar een kernonderdeel van. Meer over NIS2 en je verplichtingen lees je in onze NIS2-gids voor KMO’s.
MFA is de simpelste maatregel met de grootste impact. Kies een authenticator-app als standaard, begin met admin-accounts, configureer het beleid centraal en rol het uit naar je hele team. Het kost een halve dag en beschermt je bedrijf tegen het overgrote deel van de accountovernames. Geen excuus om het niet te doen.
Dit artikel is informatief bedoeld. Raadpleeg je IT-partner voor hulp bij de configuratie van MFA voor jouw specifieke omgeving. Het CCB biedt via Safeonweb@Work gratis advies over MFA-implementatie.
Hoe goed is jouw bedrijf beschermd? Beantwoord 12 vragen en ontdek of MFA en andere basismaatregelen op orde zijn.
Doe de Security ScanVeelgestelde vragen
Bronnen
Gerelateerde artikels
Cybersecurity-beleid voor je bedrijf: zo stel je het op
Stap voor stap een cybersecurity-beleid opstellen voor je KMO. Met gratis CCB-sjablonen, NIS2-vereisten en een checklist die je vandaag kunt invullen.
Cyberaanvallen voorkomen: handleiding voor KMO's
Praktische handleiding voor Belgische KMO's om cyberaanvallen te voorkomen. Met Belgische cijfers, vijf basismaatregelen en een stappenplan zonder groot budget.
Phishing herkennen: handleiding voor medewerkers
Leer phishing-mails, sms’en en telefoontjes herkennen. Met Belgische voorbeelden, 6 concrete red flags en een stappenplan voor je team.
Endpoint beveiliging: wat is het en waarom heb je het nodig?
Elk apparaat op je bedrijfsnetwerk is een mogelijke ingang voor aanvallers. Ontdek wat endpoint beveiliging inhoudt, het verschil tussen antivirus en EDR, en hoe je als KMO de juiste keuze maakt.
CyFun SMALL: de gratis zelfbeoordeling stap voor stap
CyFun SMALL helpt kleine KMO’s en zelfstandigen hun basisbeveiliging op orde te krijgen. Doorloop de 7 aanbevelingen stap voor stap met deze praktische gids.