Multi-Factor Authentication (MFA) handleiding

Multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe aan uw DNScale-account. Zelfs als iemand uw wachtwoord in handen krijgt, kan diegene niet inloggen zonder toegang tot uw tweede factor. In deze handleiding wordt uitgelegd hoe MFA werkt en hoe u het instelt.

Wat is multi-factor authenticatie?

MFA vereist dat u uw identiteit verifieert met twee of meer onafhankelijke factoren wanneer u inlogt:

1. Iets dat u weet — uw wachtwoord
2. Iets dat u heeft — een tijdgebaseerde code van een authenticator-app, of een hardware-beveiligingssleutel

Door deze factoren te combineren maakt MFA ongeautoriseerde toegang aanzienlijk moeilijker. Een gestolen wachtwoord alleen is niet voldoende om uw account te compromitteren.

Ondersteunde methoden

DNScale ondersteunt de volgende authenticatiemethoden:

U kunt zowel een authenticator-app als een of meer beveiligingssleutels op hetzelfde account inschakelen. Elke methode kan onafhankelijk worden gebruikt om in te loggen.

Compatibele authenticator-apps

Elke app die TOTP (Time-based One-Time Passwords) ondersteunt, werkt met DNScale:

• Google Authenticator (Android, iOS)
• Microsoft Authenticator (Android, iOS)
• Authy (Android, iOS, Desktop)
• 1Password
• Bitwarden
• YubiKey Authenticator (met YubiKey-hardware)

Compatibele beveiligingssleutels

Elk FIDO2/WebAuthn-compatibel apparaat werkt met DNScale:

• USB-beveiligingssleutels — YubiKey 5-serie, SoloKey, Nitrokey, Google Titan
• NFC-beveiligingssleutels — YubiKey 5 NFC (tik om te authenticeren op mobiel)
• Platformauthenticators — Touch ID (macOS), Windows Hello (Windows), Android-biometrie

Let op: Ondersteuning voor beveiligingssleutels vereist een browser die de WebAuthn API implementeert. Alle moderne browsers (Chrome, Firefox, Safari, Edge) ondersteunen dit. De optie om een beveiligingssleutel toe te voegen verschijnt alleen als uw browser WebAuthn ondersteunt.

Een authenticator-app instellen (TOTP)

Stap 1: Beveiligingsinstellingen openen

Log in op uw DNScale-dashboard en ga naar Settings. Scroll naar beneden naar de Security-kaart.

U ziet een sectie "Two-Factor Authentication" met uw huidige status als Disabled.

Stap 2: Instelling starten

Klik op de knop Enable 2FA. Er verschijnt een instellingsdialoog met een QR-code.

Stap 3: De QR-code scannen

Open uw authenticator-app en scan de QR-code die in de dialoog wordt weergegeven. Als u de code niet kunt scannen, klik dan op de optie voor handmatige invoer om de geheime sleutel te kopiëren en deze handmatig in uw app in te voeren.

Tip: Zorg ervoor dat de tijd op uw telefoon nauwkeurig is. TOTP-codes zijn tijdgevoelig en een klok die meer dan 30 seconden afwijkt kan ervoor zorgen dat codes niet werken.

Stap 4: De verificatiecode invoeren

Uw authenticator-app toont nu een 6-cijferige code die elke 30 seconden wordt vernieuwd. Voer de huidige code in het verificatieveld in en klik op Verify & Enable.

Stap 5: Uw herstelcodes opslaan

Na verificatie worden 10 herstelcodes getoond. Dit zijn eenmalige reservecodes waarmee u kunt inloggen als u de toegang tot uw authenticator-app verliest.

Belangrijk: Sla deze codes nu op. U kunt ze daarna niet meer bekijken. Bewaar ze in een wachtwoordmanager, print ze uit of sla ze op een veilige locatie op.

U kunt alle codes naar uw klembord kopiëren of ze als tekstbestand downloaden.

Klik op I've Saved My Codes om de instelling te voltooien.

Een beveiligingssleutel instellen (WebAuthn)

Stap 1: Beveiligingsinstellingen openen

Log in op uw DNScale-dashboard en ga naar Settings. Scroll naar beneden naar de Security-kaart.

Stap 2: Een beveiligingssleutel toevoegen

Klik in de sectie "Security Keys" op Add Security Key. Er verschijnt een dialoog waarin u wordt gevraagd uw sleutel een naam te geven.

Stap 3: Uw sleutel een naam geven

Voer een beschrijvend label in voor uw sleutel (bijv. "YubiKey 5", "MacBook Touch ID", "Reservesleutel"). Dit helpt u te identificeren welke sleutel welke is als u meerdere sleutels registreert.

Stap 4: De sleutel registreren

Klik op Register. Uw browser vraagt u om met uw beveiligingssleutel te interacteren:

• USB-sleutel (YubiKey, SoloKey): Steek de sleutel in en raak het metalen contactpunt aan wanneer het knippert
• Touch ID (macOS): Plaats uw vinger op de Touch ID-sensor
• Windows Hello: Gebruik uw vingerafdruk, gezicht of pincode
• NFC-sleutel: Tik met de sleutel op uw apparaat

De registratie wordt automatisch voltooid zodra u met de sleutel interacteert.

Stap 5: Uw herstelcodes opslaan

Als dit uw eerste MFA-methode is, worden 10 herstelcodes getoond. Sla ze op een veilige locatie op — ze zijn uw reserveoplossing als u de toegang tot al uw geregistreerde sleutels verliest.

Tip: Registreer een reservebeveiligingssleutel voor het geval uw primaire sleutel verloren raakt of beschadigd wordt. U kunt meerdere beveiligingssleutels op uw account hebben.

Hoe inloggen werkt

Zonder MFA (standaard)

1. Voer uw e-mailadres en wachtwoord in
2. Een 6-cijferige beveiligingscode wordt naar uw e-mail gestuurd
3. Voer de code in (of klik op de link in de e-mail)
4. U bent ingelogd

Met authenticator-app (TOTP als voorkeur)

1. Voer uw e-mailadres en wachtwoord in
2. U wordt gevraagd uw authenticatorcode in te voeren
3. Open uw authenticator-app en voer de huidige 6-cijferige code in
4. U bent ingelogd

Er wordt geen e-mail verzonden wanneer TOTP uw voorkeursmethode is, waardoor het inloggen sneller en veiliger verloopt.

Met beveiligingssleutel (WebAuthn als voorkeur)

1. Voer uw e-mailadres en wachtwoord in
2. U ziet een "Touch your security key"-prompt
3. Steek uw sleutel in en raak deze aan (of gebruik Touch ID / Windows Hello)
4. U bent ingelogd

Het volledige inlogproces duurt slechts een paar seconden — geen codes om in te typen.

Wisselen tussen methoden tijdens het inloggen

Op het verificatiescherm kunt u wisselen tussen beschikbare methoden:

• Use a security key — wisselen naar WebAuthn-authenticatie
• Use authenticator app — wisselen naar TOTP-codeinvoer
• Use email verification instead — terugvallen op e-mailcode
• Use a recovery code — een eenmalige herstelcode invoeren

Een herstelcode gebruiken

Als u geen toegang heeft tot uw authenticator-app of beveiligingssleutel (verloren telefoon, defecte sleutel):

1. Voer uw e-mailadres en wachtwoord in
2. Klik op het verificatiescherm op Use a recovery code
3. Voer een van uw opgeslagen herstelcodes in (formaat: xxxx-xxxx)
4. U bent ingelogd

Elke herstelcode kan slechts eenmaal worden gebruikt. Overweeg na het gebruiken van een code uw herstelcodes opnieuw te genereren vanuit het dashboard.

Uw MFA-instellingen beheren

Uw status bekijken

Ga naar Settings > Security om het volgende te zien:

• Of 2FA is ingeschakeld of uitgeschakeld
• Uw voorkeursmethode voor verificatie
• Geregistreerde authenticator-app en wanneer deze voor het laatst is gebruikt
• Geregistreerde beveiligingssleutels met namen en datum van laatste gebruik
• Hoeveel herstelcodes u nog over heeft (van de 10)

Uw voorkeursmethode instellen

Wanneer u meerdere MFA-methoden heeft ingeschakeld, kunt u kiezen welke methode als eerste wordt gevraagd bij het inloggen:

1. Ga naar Settings > Security
2. Gebruik de voorkeursmethode-selector om te kiezen tussen Authenticator App, Security Key of Email
3. De wijziging gaat in bij uw volgende aanmelding

U kunt altijd naar een andere methode wisselen via het inlogscherm, ongeacht uw voorkeur.

Beveiligingssleutels beheren

U kunt meerdere beveiligingssleutels registreren (aanbevolen voor redundantie):

• Elke sleutel wordt weergegeven met het label en de datum van laatste gebruik
• Klik op het prullenbakpictogram naast een sleutel om deze te verwijderen
• Als u uw laatste MFA-methode verwijdert, wordt tweefactorauthenticatie volledig uitgeschakeld

Herstelcodes opnieuw genereren

Als u een aantal herstelcodes heeft gebruikt of vermoedt dat ze gecompromitteerd zijn:

1. Ga naar Settings > Security
2. Klik op Regenerate naast het aantal herstelcodes
3. Bevestig de actie (hierdoor worden alle bestaande codes ongeldig)
4. Sla de nieuwe set van 10 codes op

2FA uitschakelen

Als u tweefactorauthenticatie wilt verwijderen:

1. Ga naar Settings > Security
2. Verwijder uw authenticator-app en/of beveiligingssleutels afzonderlijk
3. Wanneer de laatste MFA-methode wordt verwijderd, wordt 2FA automatisch uitgeschakeld

Uw account keert terug naar e-mailgebaseerde verificatie voor het inloggen.

Apparaatspecifieke handleidingen

Touch ID gebruiken op Mac

Touch ID fungeert als een platformauthenticator via de WebAuthn-standaard. Uw vingerafdruk verlaat nooit uw Mac — deze wordt lokaal geverifieerd door de Secure Enclave-chip, en alleen een cryptografisch bewijs wordt naar DNScale gestuurd.

Instellen:

1. Ga naar Settings > Security en klik op Add Security Key
2. Geef het een naam zoals "MacBook Touch ID" of "iMac Touch ID"
3. Klik op Register — macOS toont een Touch ID-prompt
4. Plaats uw vinger op de Touch ID-sensor
5. De registratie is direct voltooid

Inloggen:

1. Voer uw e-mailadres en wachtwoord in
2. Een "Verify your identity"-prompt verschijnt — macOS toont het Touch ID-dialoogvenster
3. Raak de sensor aan — u bent ingelogd

Tips:

• Touch ID werkt in Safari, Chrome en andere browsers die WebAuthn ondersteunen
• Als u meerdere Macs gebruikt, registreer Touch ID dan op elke Mac apart — elk apparaat heeft zijn eigen Secure Enclave
• Als Touch ID mislukt (bijv. natte vinger), kunt u op het inlogscherm naar een andere methode wisselen
• Touch ID-inloggegevens zijn gekoppeld aan de specifieke Mac — als u uw computer vervangt, moet u deze opnieuw registreren

Een YubiKey gebruiken

YubiKeys zijn USB- of NFC-hardware-beveiligingssleutels die phishingbestendige authenticatie bieden. Ze werken door de site waarop u inlogt cryptografisch te verifiëren, zodat inloggegevens niet kunnen worden gestolen door valse inlogpagina's.

Instellen:

1. Steek uw YubiKey in een USB-poort (gebruik indien nodig een USB-C-adapter)
2. Ga naar Settings > Security en klik op Add Security Key
3. Geef het een naam (bijv. "YubiKey 5 NFC", "Reserve YubiKey")
4. Klik op Register — uw browser toont een beveiligingssleutelprompt
5. Raak het metalen contactpunt op de YubiKey aan wanneer het knippert
6. De registratie is voltooid

Inloggen:

1. Voer uw e-mailadres en wachtwoord in
2. Steek uw YubiKey in wanneer daarom wordt gevraagd
3. Raak het metalen contactpunt aan — u bent ingelogd

Tips:

• Registreer minimaal twee YubiKeys — bewaar er een als reserve op een veilige plek
• YubiKey 5 NFC-modellen werken ook via NFC op telefoons — tik met de sleutel tegen de achterkant van uw telefoon
• YubiKeys werken op al uw apparaten (in tegenstelling tot Touch ID dat per apparaat werkt)
• De YubiKey heeft geen batterijen of opladen nodig — deze wordt gevoed via de USB-poort
• Als u een YubiKey verliest, log dan in met een andere methode, ga naar Settings en verwijder de verloren sleutel onmiddellijk

Een authenticator-app gebruiken

Authenticator-apps genereren 6-cijferige codes die elke 30 seconden veranderen. Dit wordt TOTP (Time-based One-Time Password) genoemd. De code wordt volledig op uw apparaat gegenereerd — na de eerste instelling is geen internetverbinding meer nodig.

Populaire apps:

Instellen:

1. Installeer uw gewenste authenticator-app
2. Ga naar Settings > Security en klik op Enable 2FA
3. Open uw authenticator-app en scan de QR-code die in DNScale wordt weergegeven
4. Als u niet kunt scannen, tik op "Can't scan?" om de geheime sleutel te bekijken en deze handmatig in te voeren
5. Voer de 6-cijferige code in die uw app toont om de instelling te verifiëren
6. Sla uw herstelcodes op

Inloggen:

1. Voer uw e-mailadres en wachtwoord in
2. Open uw authenticator-app en zoek de DNScale-vermelding
3. Voer de huidige 6-cijferige code in — u bent ingelogd

Tips:

• Zorg ervoor dat de klok van uw telefoon op automatisch staat — TOTP-codes zijn afhankelijk van een nauwkeurige tijd
• Als u van telefoon wisselt, exporteer dan uw authenticator-accounts voordat u de oude telefoon wist (Google Authenticator ondersteunt accountoverdracht, Authy synchroniseert automatisch)
• Overweeg een wachtwoordmanager met ingebouwde TOTP te gebruiken (1Password, Bitwarden) zodat uw codes worden geback-upt en op alle apparaten beschikbaar zijn
• Maak een screenshot van de QR-code tijdens het instellen en sla deze op in uw wachtwoordmanager — zo kunt u het account opnieuw toevoegen als u uw telefoon verliest zonder 2FA te hoeven uitschakelen en opnieuw in te schakelen

Best practices voor beveiliging

• Gebruik een hardware-beveiligingssleutel voor de sterkste bescherming tegen phishing — WebAuthn verifieert cryptografisch de herkomst van de site, zodat inloggegevens niet op valse sites kunnen worden hergebruikt
• Registreer een reservebeveiligingssleutel voor het geval uw primaire sleutel verloren raakt, gestolen wordt of beschadigd raakt
• Gebruik een wachtwoordmanager om uw herstelcodes veilig op te slaan
• Deel niet uw TOTP-geheime sleutel, beveiligingssleutels of herstelcodes met iemand
• Houd de klok van uw telefoon nauwkeurig — TOTP-codes zijn tijdgebaseerd
• Genereer herstelcodes opnieuw nadat u er een heeft gebruikt
• Schakel 2FA ook in op uw e-mailaccount — aangezien e-mail een terugvalmethode voor authenticatie is, voegt het beschermen van uw e-mail een extra verdedigingslaag toe

Probleemoplossing

"Invalid authenticator code"

• Zorg ervoor dat u de code invoert die momenteel in uw app wordt weergegeven (codes veranderen elke 30 seconden)
• Controleer of de klok van uw telefoon op automatische/netwerktijd is ingesteld
• Als het probleem aanhoudt, probeer dan het account in uw authenticator-app te verwijderen en opnieuw toe te voegen door 2FA in DNScale uit te schakelen en opnieuw in te schakelen

Beveiligingssleutel wordt niet herkend

• Zorg ervoor dat uw sleutel goed in de USB-poort is gestoken
• Probeer een andere USB-poort of gebruik indien nodig een USB-A-adapter
• Controleer of uw browser WebAuthn ondersteunt (alle moderne browsers doen dit)
• Controleer op macOS of u Touch ID niet heeft uitgeschakeld in Systeeminstellingen
• Als u een NFC-sleutel gebruikt, houd deze dan een paar seconden dicht bij de NFC-lezer

"The operation was cancelled"

• Mogelijk heeft u de beveiligingssleutelprompt van de browser weggeklikt. Klik nogmaals op de verificatieknop om het opnieuw te proberen.
• Sommige browsers hebben een time-out van ongeveer 60 seconden — steek uw sleutel in en raak deze snel aan nadat de prompt verschijnt.

"This security key is already registered"

• De sleutel die u probeert te registreren is al gekoppeld aan uw account. Elke fysieke sleutel kan slechts eenmaal per account worden geregistreerd.

"No recovery codes available"

• Alle 10 herstelcodes zijn gebruikt. Neem contact op met de klantenservice om opnieuw toegang te krijgen tot uw account.

Authenticator-apparaat verloren

• Gebruik een van uw opgeslagen herstelcodes om in te loggen
• Of gebruik een geregistreerde beveiligingssleutel als u er een heeft
• Zodra u bent ingelogd, ga naar Settings en verwijder de oude TOTP-methode, en stel deze opnieuw in met uw nieuwe apparaat
• Als u geen herstelcodes heeft en geen andere MFA-methode, neem dan contact op met de DNScale-klantenservice voor handmatige identiteitsverificatie

Beveiligingssleutel verloren

• Gebruik uw authenticator-app of e-mailverificatie om in te loggen
• Of gebruik een herstelcode
• Zodra u bent ingelogd, ga naar Settings en verwijder de verloren sleutel
• Registreer een nieuwe beveiligingssleutel als u een vervanging heeft

Codes verlopen te snel

TOTP-codes zijn 30 seconden geldig. Als uw code steeds verloopt voordat u deze kunt invoeren, controleer dan de kloksynchronisatie van uw apparaat. Op de meeste telefoons vindt u dit onder Instellingen > Datum en tijd > Automatisch.