Multi-factor authenticatie werd jarenlang gezien als het logische sluitstuk van identiteitsbeveiliging. Organisaties introduceerden sms-codes, telefonische verificatie en authenticator-apps in de overtuiging dat één extra factor credentialdiefstal onschadelijk zou maken. De realiteit is dat dezelfde creativiteit die aanvallers inzetten voor spearphishing nu volledig wordt gericht op het manipuleren van MFA-stromen. Tijdens onderzoeken naar incidenten bij overheden blijkt dat medewerkers vaak exact doen wat van hen wordt gevraagd, terwijl een tegenstander op de achtergrond live meekijkt.
Voor Nederlandse overheidsorganisaties en vitale leveranciers volstaat dat niveau niet langer. De Nederlandse Baseline voor Veilige Cloud, de BIO en de aangescherpte NIS2-richtsnoeren eisen methoden die cryptografisch aantonen dat de gebruiker een vertrouwd apparaat bezit. Amerikaanse toezichthouders zoals CISA hebben phishing-resistente MFA al verplicht gesteld voor federale diensten, en dezelfde verwachting ontstaat in Europa voor Rijksdiensten, provincies en gemeenten. Wie afhankelijk blijft van sms of pushberichten accepteert aantoonbaar rest-risico dat in audits nauwelijks nog is te verdedigen.
Deze gids beschrijft hoe je stap voor stap overstapt op phishing-resistente authenticatie. We analyseren waarom traditionele MFA faalt tegen adversary-in-the-middle-aanvallen, leggen de werking van FIDO2 en Windows Hello for Business uit, en bespreken een implementatiestrategie die aansluit bij de Nederlandse Baseline voor Veilige Cloud. Het resultaat is een coherent verhaal waarmee je bestuurders, auditors en security-operators overtuigt dat passwordless authenticatie niet alleen veiliger is, maar ook beter aansluit op moderne gebruikerservaringen.
Je ontdekt hoe adversary-in-the-middle-aanvallen traditionele MFA omzeilen, hoe FIDO2 en Windows Hello for Business cryptografisch bewijs leveren, welke beleidskeuzes passen bij de Nederlandse Baseline voor Veilige Cloud en hoe je adoptie organiseert zonder de bedrijfsvoering te verstoren.
Plan een gescripte generale repetitie met een kleine pilotgroep die het volledige enrollmentproces doorloopt in dezelfde omgeving als de uiteindelijke uitrol. Tijdens een traject bij een landelijke uitvoeringsorganisatie bleek dat slechts zestig procent van de laptops direct TPM 2.0 ondersteunde; dankzij de proef konden we binnen twee weken firmware-updates en vervangende devices regelen. Zonder deze stap was de productie-uitrol vastgelopen tijdens het begrotingsseizoen, precies toen bestuurders hun dashboards moesten accorderen.
Waarom Traditional MFA Insufficient Is
Phishingcampagnes evolueren op een tempo dat nauwelijks nog te vergelijken is met de generieke e-mails van enkele jaren geleden. Aanvallers combineren gecompromitteerde Microsoft 365-tenants, generatieve AI en realtime vertaaldiensten om overtuigende uitnodigingen te sturen naar beleidsmedewerkers, wethouders en operators binnen vitale ketens. Het resultaat is een inlogstroom waarin slachtoffers geen enkel visueel alarm meer zien: certificaten zijn geldig, URL's lijken legitiem en de timing sluit vaak aan op lopende projecten. Traditionele MFA voegt in deze situatie slechts één extra stap toe, maar geen fundamentele controle of de gebruiker daadwerkelijk met de juiste dienst praat.
Bij een adversary-in-the-middle (AiTM) aanval plaatst de tegenstander zich letterlijk tussen gebruiker en Microsoft identity-platform. De phishingpagina laadt de echte inlogflow in een verborgen iframe, waardoor elke toetsaanslag en elke bevestiging wordt doorgestuurd. De gebruiker ontvangt netjes een pushmelding of sms van Microsoft Authenticator, ziet het juiste domein en voelt geen argwaan. Zodra de goedkeuring is gegeven, ontvangt de aanvaller het sessietoken dat door Azure AD is uitgegeven en kan hij gedurende enkele uren precies dezelfde rechten uitoefenen als de medewerker. Omdat de aanval uitsluitend bestaande protocollen gebruikt, blijft hij vaak onzichtbaar voor klassieke detecties.
Toolkits zoals Evilginx2, Modlishka of het Nederlandse open-sourceproject Muraena verlagen de drempel voor minder geavanceerde criminelen. Een kant-en-klaar script installeert een reverse proxy, levert sjablonen voor RDW, gemeenten of Rijkswaterstaat en verzorgt certificaatbeheer via Let's Encrypt. Aanvallers huren anonieme cloudomgevingen, koppelen een domein dat qua spelling nauwelijks van het origineel te onderscheiden is en draaien binnen een uur een campagne. De NCSC signaleert dat deze infrastructuur in toenemende mate as-a-service wordt aangeboden, waardoor zelfs kleine extortion-groepen AiTM kunnen toepassen zonder eigen expertise.
Sms- en spraakgebaseerde codes hebben daarnaast inherente kwetsbaarheden die niet met training zijn te verhelpen. Nederlandse telecomproviders doen hun best om simwisselfraude tegen te gaan, maar social engineering bij winkels of klantenservices blijft succesvol. Zodra een nummer is overgezet, ontvangt de aanvaller automatisch elke eenmalige code. Daarbovenop is het SS7-signaleringsprotocol waarop internationale sms-routers vertrouwen nooit ontworpen met authenticatie in gedachten. Diverse Europese opsporingsdiensten hebben aangetoond dat tekstberichten onderweg kunnen worden onderschept of omgeleid, iets wat binnen de Nederlandse Baseline voor Veilige Cloud onacceptabel is voor hoog-risicoprocessen.
Pushnotificaties en spraakbellen lijken veiliger omdat ze geen sms gebruiken, maar ze spelen juist in op menselijke gewoontes. Aanvallers plannen hun bombardement op momenten waarop gebruikers vermoeid zijn, bijvoorbeeld aan het einde van een lange raadsvergadering. Vijftien tot twintig meldingen, verspreid over tien minuten, leiden tot irritatie waarna de gebruiker impulsief op goedkeuren tikt. Tijdens forensisch onderzoek zien we bovendien dat veel medewerkers nooit de tekst in de notificatie lezen en zich alleen laten leiden door het icoon. Zonder aanvullende maatregelen vormt dit gedrag een structurele zwakte.
Zelfs wanneer de MFA-stap correct wordt voltooid, kan een aanvaller het traject daarna kapen. Sessiecookies worden vaak in het geheugen van de browser opgeslagen en zijn met relatief eenvoudige malware uit te lezen. In combinatie met synchronisatie via kwaadaardige browser-extensies kunnen tokens direct naar een command-and-controlserver worden gestuurd, waarna de aanvaller met exact hetzelfde token de omgeving binnentreedt. Tijdgebaseerde codes en reservecodes die tijdens onboarding worden uitgeprint vormen een aanvullende bypass: wie de kluis met papieren codes of het wachtwoordbeheerderbestand buitmaakt, omzeilt MFA voor onbepaalde tijd.
De rode draad is dat traditionele MFA vertrouwt op gedeelde geheimen en statische factoren. Geen van die factoren kan cryptografisch aantonen dat de gebruiker fysiek een vertrouwd apparaat bedient, waardoor phishing altijd een kans maakt. De Nederlandse Baseline voor Veilige Cloud, de BIO en de aangescherpte NIS2-eisen gaan daarom uit van phishing-resistente methoden die sleutelmateriaal in hardware opsluiten en elke aanmelding aan een specifiek domein binden. Zonder zo'n fundamentele omslag blijven incidentrespons-teams dweilen met de kraan open.
FIDO2 Fundamentals: Cryptographic Authentication
FIDO2 is niet zomaar een nieuwe tokenstandaard maar een architectuurwijziging die gedeelde geheimen vervangt door asymmetrische cryptografie. De FIDO Alliance en het W3C hebben het protocol ontworpen om browsers, mobiele apparaten en identityproviders dezelfde taal te laten spreken. Voor Nederlandse overheidsorganisaties sluit dit naadloos aan op het streven naar aantoonbare controlemaatregelen: een authenticatiepoging kan cryptografisch worden herleid naar een geregistreerd stukje hardware. Daarmee verdwijnt het scenario waarin een gebruiker per ongeluk een code doorstuurt of een kwaadwillende mee laat kijken.
Tijdens registratie genereert de sleutel een uniek sleutelpaar. Alleen de publieke sleutel gaat naar Entra ID, terwijl de privésleutel het beveiligde element nooit verlaat. Om de sleutel te activeren moet de gebruiker een fysieke handeling uitvoeren, zoals het indrukken van een knop of het scannen van een vingerafdruk. Daarmee wordt het bezit van de sleutel gekoppeld aan een menselijke aanwezigheid. Omdat er geen gedeeld geheim bestaat, kan een aanvaller ook niets afluisteren of opnieuw afspelen.
Bij authenticatie stuurt de server een willekeurige challenge en verwacht daar een digitale handtekening op terug. De sleutel tekent alleen wanneer het aangevraagde domein overeenkomt met het domein dat tijdens registratie is vastgelegd. Deze origin binding is de kern van de phishing-resistentie: een nepsite met een afwijkende hostnaam krijgt simpelweg geen geldige handtekening. Zelfs als een gebruiker de sleutel aanraakt op een malafide website, wordt er niets ondertekend dat bruikbaar is voor de aanvaller. De aanvaller kan ook geen eigen challenge laten ondertekenen omdat de browser de oorsprong controleert.
FIDO2 ondersteunt verschillende werkingsmodi. Organisaties kunnen de sleutel inzetten als tweede factor naast een wachtwoord, of volledig passwordless werken door de sleutel te combineren met een Windows Hello PIN of biometrie. De WebAuthn-API zorgt ervoor dat moderne browsers, inclusief Edge, Chrome en Firefox, een uniforme ervaring leveren. Legacy-systemen die alleen FIDO U2F begrijpen kunnen dezelfde sleutel meestal ook gebruiken, waardoor migraties gefaseerd kunnen plaatsvinden. Voor workloads in overheidsclouds betekent dit dat één provider-onafhankelijke standaard kan worden gebruikt van Azure Virtual Desktop tot SaaS-toepassingen.
De fysieke uitvoering van FIDO2-sleutels varieert van eenvoudige USB-A-modellen tot geavanceerde varianten met biometrische sensoren en ondersteuning voor meerdere protocollen, zoals smartcard en OTP. Voor een gemeentelijke organisatie kan het zinvol zijn verschillende types in te kopen: USB-C en NFC voor mobiele teams, biometrische modellen voor bestuurders die geen PIN willen onthouden, en robuuste IP67-varianten voor buitendienstmedewerkers. Elke sleutel bevat een Secure Enclave die door externe auditors wordt getest. Veel leveranciers leveren Common Criteria-certificering waarmee organisaties richting toezichthouders kunnen aantonen dat het sleutelmateriaal aan Europese normen voldoet.
Lifecyclemanagement verdient minstens zoveel aandacht als de techniek. Elke gebruiker heeft idealiter twee sleutels: een primaire sleutel voor dagelijks gebruik en een reserve-exemplaar in een verzegelde envelop of kluis. Bij verlies hoort een procedure waarbij de identiteit wordt gevalideerd, de oude sleutel wordt ingetrokken en een nieuwe registratie wordt opgestart. Registraties moeten worden vastgelegd in het Identity Governance-systeem zodat rapportages inzicht geven in adoptiepercentages en sleutelrotatie. Voor niet-standaard scenario's, zoals uitzendkrachten of leveranciers, kan een tijdelijke sleutel worden uitgegeven met een kortere geldigheidsduur.
Met FIDO2 kunnen organisaties aantonen dat zij voldoen aan artikel 32 van de AVG, paragraaf 9 van de BIO en de aanvullende Wbni-verplichtingen voor vitale aanbieders. Elke geslaagde aanmelding heeft een cryptografisch spoor dat te controleren is, waardoor auditteams objectief bewijs krijgen dat sterke authenticatie is afgedwongen. Wanneer deze gegevens worden gevoed in Microsoft Sentinel of een ander SIEM-platform kunnen afwijkingen, zoals herhaalde mislukte aanmeldingen met dezelfde sleutel, automatisch worden gemarkeerd. Daarmee wordt FIDO2 niet alleen een technische oplossing, maar een aantoonbaar bestuursinstrument.
Windows Hello for Business: Built-in Phishing Resistance
Windows Hello for Business biedt een alternatief voor losse hardware-sleutels door het aanwezige Trusted Platform Module van moderne laptops te gebruiken. Voor veel Nederlandse organisaties is dat aantrekkelijk omdat vrijwel het volledige devicepark al over deze chip beschikt en bestuurders de voorkeur geven aan een naadloze ervaring. Wanneer een medewerker zich aanmeldt met gezichtsherkenning of een pincode, ontsluit het systeem een sleutel die dezelfde cryptografische eigenschappen heeft als een FIDO2-token. Daardoor ontstaat een uniforme phishing-resistente strategie zonder dat elk ministerie honderdduizenden fysieke sleutels hoeft uit te rollen.
De beveiliging staat of valt met de TPM. Deze hardwaremodule is bestand tegen fysieke manipulatie, beschikt over een uniek door de fabrikant ingebrande identiteit en kan cryptografische operaties uitvoeren zonder dat de privésleutel ooit het silicium verlaat. Microsoft maakt gebruik van deze eigenschappen door tijdens provisioning een sleutelpaar te genereren dat aan zowel het apparaat als de gebruiker is gekoppeld. Zelfs een beheerder met lokale adminrechten kan de sleutel niet exporteren, wat de impact van malware op het endpoint drastisch reduceert.
Het provisioningsproces start meestal zodra het apparaat Azure AD Join of Hybrid Join voltooit. De gebruiker wordt gevraagd om Windows Hello in te stellen, waarbij een PIN of biometrie wordt gekozen. Op de achtergrond registreert het apparaat de publieke sleutel bij Entra ID en koppelt die aan de gebruikersidentiteit. Voor organisaties die de Nederlandse Baseline voor Veilige Cloud hanteren is het verstandig deze registratie te automatiseren via Intune, zodat alleen compliant devices de provisioning doorlopen en er een centraal log ontstaat van alle aangemaakte sleutels. Eventuele uitzonderingen, zoals gedeelde inlogstations, kunnen via policy worden uitgesloten.
Biometrieën bieden de meest gebruiksvriendelijke ervaring. De infraroodcamera van Surface-apparaten valideert diepte en warmte, waardoor een foto of video niet volstaat. Fingerprintscanners gebruiken match-on-chip technologie, zodat de template nooit in Windows zelf wordt opgeslagen. Wanneer biometrie niet beschikbaar is, vult de PIN die rol in. Anders dan een wachtwoord verlaat de PIN het apparaat niet en kan deze per device verschillen. Een ogenschijnlijk eenvoudige PIN blijft veilig omdat een aanvaller zonder fysieke toegang niets met de code kan beginnen.
Windows Hello kent twee implementatiemodellen: key trust en certificate trust. Voor cloud-first organisaties volstaat key trust, waarbij Azure AD de publieke sleutel opslaat en direct gebruikt. Voor organisaties met veel on-premises applicaties of smartcardverplichtingen biedt certificate trust uitkomst. Hierbij wordt op basis van de sleutel automatisch een certificaat uitgegeven dat in Active Directory kan worden gebruikt. Dit voorkomt dubbele authenticatie-infrastructuren en houdt legacy-applicaties beschikbaar terwijl toch phishing-resistentie wordt bereikt. Het kiezen van het juiste model vraagt om een inventarisatie van bestaande applicaties en compliance-eisen.
Beheerprocessen moeten meeschalen. Intune of een gelijkwaardig MDM-platform kan afdwingen dat apparaten BitLocker gebruiken, de TPM in de juiste versie draaien en periodiek worden gecontroleerd op malware. Rapportages tonen welke gebruikers hun Hello-registratie hebben afgerond en welke apparaten afwijken van de baseline. Incidentrespons-teams hebben bovendien baat bij de integratie met Entra ID sign-in logs: zij zien exact vanaf welk apparaat en met welk Hello-key-id een aanmelding is gedaan. Zo kan een mogelijk gecompromitteerd device binnen minuten worden geblokkeerd, terwijl andere apparaten van dezelfde gebruiker blijven functioneren.
Ook governance-aspecten krijgen een plek. Windows Hello-gegevens vallen onder privacywetgeving, waardoor verwerkingsregisters moeten beschrijven hoe biometrische data lokaal wordt opgeslagen en hoe verwijdering plaatsvindt bij uitdiensttreding. Tijdens audits voor de BIO of de Nederlandse Baseline voor Veilige Cloud kan worden aangetoond dat de sterke authenticatie rechtstreeks aan de hardware is gekoppeld en dat privé-apparaten alleen worden toegelaten wanneer zij via compliance policies voldoen aan versleuteling, patchniveau en malwarebescherming. Hierdoor ontstaat een gelijk speelveld tussen vaste werkplekken, laptops van bestuurders en specialistische apparaten in het veld.
Deployment Strategy en User Adoption
Het uitrollen van phishing-resistente authenticatie lijkt technisch gezien eenvoudig, maar organisatorisch is het een programma dat maanden duurt. Zonder regie ontstaat er weerstand bij gebruikers, blijven uitzonderingen onbeheerd en wordt de druk op servicedesks onhoudbaar. Een volwassen aanpak start daarom met het in kaart brengen van processen, risico's en afhankelijkheden. Welke applicaties ondersteunen WebAuthn al, welke draaien nog op oude protocollen, welke medewerkers zijn bedrijfskritisch en welke leveranciers krijgen externe toegang? Pas wanneer dit landschap zichtbaar is, kan een gefaseerd plan worden opgesteld.
Een gefaseerde aanpak werkt het best. Eerst wordt een beveiligingsteam van circa vijftig personen uitgerust met Windows Hello en FIDO2-sleutels, zodat technische kinderziektes worden ontdekt en documentatie kan worden verfijnd. Daarna volgt een groep bestuurders en hoogbevoorrechte accounts; zij vormen het grootste doelwit en profiteren het meest van hardwaregebonden authenticatie. Pas daarna worden grote gebruikersgroepen in golven van enkele honderden medewerkers benaderd. De ervaring leert dat elke golf twee tot vier weken begeleiding nodig heeft, inclusief nazorg voor vergeten sleutels of devices die nog geen TPM 2.0 hebben.
Hardwarelogistiek verdient evenveel aandacht als de technische configuratie. Voor een provincie met vijfduizend medewerkers betekent twee sleutels per persoon al tienduizend devices die moeten worden besteld, ontvangen, geregistreerd en uitgedeeld. Door per sleutel het serienummer te koppelen aan de gebruiker in het assetregister kan later worden herleid welk fysiek exemplaar verloren is gegaan. Distributie via beveiligde uitleenpunten of aangetekende post voorkomt dat sleutels onderweg worden onderschept. Voor Windows Hello moet het device-beeld in Intune worden opgeschoond: oude laptops zonder TPM 2.0 moeten worden uitgefaseerd of krijgen een tijdelijke uitzondering.
Communicatie en training bepalen het adoptiesucces. Gebruikers moeten begrijpen waarom deze verandering noodzakelijk is, hoe de sleutel werkt en wat ze moeten doen bij incidenten. Live-demo's, korte video's en oefensessies tijdens teamoverleggen helpen om drempels weg te nemen. Zorg dat de servicedesk scripts heeft voor veelgestelde vragen over PIN-reset, browserondersteuning en gebruik van de sleutel op mobiele apparaten. Managers ontvangen dashboards waarin ze zien welke medewerkers nog niet geregistreerd zijn, zodat opvolging mogelijk is zonder dwang.
Het daadwerkelijke enrollmentproces kan selfservice zijn, maar er moet altijd een vangnet bestaan. Een centrale portal waarin gebruikers de registratiestappen doorlopen, hun tweede sleutel activeren en een testaanmelding uitvoeren vermindert de druk op IT. Voor kwetsbare processen, zoals toegang tot het landelijke meldkamersysteem, kan een fysieke verificatie verplicht worden gesteld: de medewerker toont een identiteitsbewijs aan een geautoriseerde collega voordat de sleutel wordt vrijgegeven. Elke registratie wordt gelogd zodat latere audits kunnen verifiëren dat het vierogen-principe is gevolgd.
Beleidsmatig is Conditional Access het instrument waarmee phishing-resistente methoden worden afgedwongen. Begin met het beperken van beheerportalen, SOC-tools en gevoelige SaaS-diensten tot FIDO2 of Windows Hello. Zodra adoptie stijgt, worden ook reguliere kantoorapplicaties toegevoegd en wordt traditionele MFA als fallback steeds verder ingeperkt. Toch blijft een gecontroleerde ontsnappingsroute noodzakelijk voor calamiteiten. Denk aan een break-glass-account met hardwaretoken in de kluis van de CISO of een tijdelijk sms-slot dat alleen na goedkeuring door de dienstdoende informatiebeveiligingsfunctionaris wordt geactiveerd.
Monitoren en verbeteren sluit het programma af. Verzamel uit Entra ID statistieken over aanmeldingen per methode, mislukte pogingen en geografische afwijkingen. Combineer deze gegevens met SOC-telemetrie om te bewijzen dat het aantal AiTM-pogingen daalt of sneller wordt gedetecteerd. Rapporteer maandelijks aan bestuur en toezichthouders hoe de organisatie scoort op de KPI's uit de Nederlandse Baseline voor Veilige Cloud, zoals het percentage kritieke processen dat uitsluitend phishing-resistente methoden accepteert. Zo blijft het onderwerp op de agenda en wordt duidelijk welke vervolgstappen nodig zijn, bijvoorbeeld voor externe ketenpartners.
Phishing-resistente authenticatie is geen luxeproject maar een vereiste om de balans tussen aanvaller en verdediger te herstellen. Door hardwaregebonden sleutels of TPM-gekoppelde credentials te gebruiken, wordt misleiding zinloos en kan een aanvaller geen sessietoken bemachtigen zonder fysieke controle over het apparaat.
De overstap vraagt om een zorgvuldige mix van techniek, governance en adoptie. Windows Hello, FIDO2-sleutels, certificate-based authenticatie en Conditional Access vullen elkaar aan, maar alleen wanneer assetbeheer, training, ondersteuning en rapportage in hetzelfde tempo meegroeien. Organisaties die het traject benaderen als een veranderprogramma in plaats van een IT-project realiseren aantoonbaar minder verstoringen en bouwen direct het bewijs op dat toezichthouders vragen.
Begin daarom vandaag met het inventariseren van risicogroepen, het opruimen van achterhaalde MFA-methoden en het opzetten van proefopstellingen voor phishing-resistente methoden. Elke maand uitstel vergroot het venster waarbinnen AiTM-campagnes succesvol kunnen zijn. Wie nu investeert, kan binnen een half jaar aantonen dat de Nederlandse Baseline voor Veilige Cloud daadwerkelijk wordt nageleefd en dat identiteiten het sterkste in plaats van het zwakste onderdeel van de keten zijn.