EHerkenning vereist vanaf juli 2025 tweefactorauthenticatie

Inloggen met 2fa, oftewel tweefactorauthenticatie, is vanaf 1 juli 2025 verplicht voor eHerkenning. In Nederland maken onder meer verzekeraars, gemeenten en overheidsinstanties zoals het UWV en de Belastingdienst gebruik van eHerkenning als inlogmethode.

EHerkenning is een Europees erkend inlogmiddel voor ondernemers en bedrijven dat gebruikmaakt van verschillende betrouwbaarheidsniveaus: EH2+, EH3 en EH4. Hoe hoger het niveau, hoe meer controlestappen er doorlopen moeten worden. Sinds begin dit jaar wordt het niveau EH2, waarbij ingelogd kon worden met slechts een gebruikersnaam en wachtwoord, niet meer aangeboden voor nieuwe klanten. Inloggen zonder tweefactorauthenticatie kan nog wel bij bedrijven en instanties die al langer gebruikmaken van eHerkenning, maar vanaf 1 juli 2025 is 2fa dus voor alle gebruikers verplicht. De inlogmethoden verschillen per leverancier, aldus Logius, de beheerder van eHerkenning.

Door Sabine Schults

Redacteur

Feedback • 01-07-2024 15:03
46 • submitter: wildhagen

01-07-2024 • 15:03

46

Submitter: wildhagen

Lees meer

Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit
Logius sluit 14 dienstverleners af van DigiD na veiligheidsaudit Nieuws van 13 maart 2025
Minister NL: wet voor uitwisseling gezondheidsdata in EU volgend jaar van kracht
Minister NL: wet voor uitwisseling gezondheidsdata in EU volgend jaar van kracht Nieuws van 8 juli 2024
Inlogsysteem eHerkenning telt na dertien jaar meer dan een miljoen gebruikers
Inlogsysteem eHerkenning telt na dertien jaar meer dan een miljoen gebruikers Nieuws van 15 januari 2024
Kadaster stelt volgend jaar eHerkenning verplicht voor opzoeken van woonadressen
Kadaster stelt volgend jaar eHerkenning verplicht voor opzoeken van woonadressen Nieuws van 6 september 2023
Inloggen op Mijn Overheid kan voortaan alleen nog met multifactorauthenticatie
Inloggen op Mijn Overheid kan voortaan alleen nog met multifactorauthenticatie Nieuws van 31 januari 2023
Inloggen bij Belastingdienst kan vanaf oktober alleen met tweetrapsauthenticatie
Inloggen bij Belastingdienst kan vanaf oktober alleen met tweetrapsauthenticatie Nieuws van 27 september 2022
Belastingdienst compenseert ondernemers die verplicht eHerkenning gebruiken
Belastingdienst compenseert ondernemers die verplicht eHerkenning gebruiken Nieuws van 30 augustus 2022
Meer producten en artikelen
Beveiliging en antivirus Authenticatie eHerkenning Logius Nederland

Reacties (46)

-Moderatie-faq
46
46
27
2
0
16
Wijzig sortering
IndoBoy 1 juli 2024 15:12
Is het echt wel zo veilig als het gebeurd op een systeem als Android, Windows of Apple, of misschien zelf een Chinees systeem. Ik bedoel, ze komen er pas in een later stadium achter hoeveel gegevens er worden opgeslagen of doorgestuurd naar andere servers.
Nico de Vries @IndoBoy1 juli 2024 15:17
Ik gebruik eHerkenning en dat werkt middels een apart kastje (een OTP c100) wat de codes genereert. Het is dan dus geen app.
mrdemc @Nico de Vries1 juli 2024 15:19
Volgens mij is dat aparte kastje een keuze waarvoor je een bijbetaling moet doen. Van wat ik heb gezien bij aanbieders is de standaard 2FA via SMS. In ieder geval bij EH2+.
Frame164 @mrdemc1 juli 2024 17:26
Is toch geen probleem als veiligheid iets kost? Je installeert toch ook softwareupdates mag ik hopen? Die zijn ook niet gratis (supportcontract, software abonnement, tijd, etc). En voor fysieke veiligheid vindt iedereen het normaal dat je daar geld voor uitgeeft.
vanviegen @Frame1641 juli 2024 23:09
Tja, maar dit voelt toch een beetje alsof van je geëist wordt dat je de beveiligers van een winkel waar je op bezoek bent dik moet betalen. En bedenk dan ook nog dat dit een 'winkel' is waar je verplicht heen moet, bijvoorbeeld om netjes je belastingcentjes af te mogen dragen. Gooi daar bovenop bewust veel te complexe (en dure!) prijs modellen, namens kpn geïnd door een schofterig incassobureau dat je probeert op extra kosten te jagen, maak het af met een fikse doses waardeloze user interfaces en slechte service, en je begint misschien een klein idee te krijgen van mijn mening over eHerkenning.
Yggdrasil @vanviegen2 juli 2024 14:49
Ik maak gebruik van ZLogin. Vind het een stuk prettiger dan KPN, zowel qua prijs als gebruiksgemak.
mrdemc @Frame1641 juli 2024 17:29
mrdemc in 'EHerkenning vereist vanaf juli 2025 tweefactorauthenticatie'

En ter aanvulling voor begrijpend lezen:
Er werd aangegeven dat er een kastje wordt gebruikt alsof dat een voldongen feit is. Ik vul dat aan met meer informatie die dichter bij de werkelijkheid ligt. Ik doe geen uitspraken over dat de kosten iets tegenhouden, alleen dat het niet standaard is maar een los product dat je moet afnemen… oftewel, mijn opmerking is informatief, geen waardeoordeel

[Reactie gewijzigd door mrdemc op 22 juli 2024 17:35]

CH4OS @mrdemc1 juli 2024 15:30
Nou ja, zo'n apparaatje kost misschien een keer 25 euro of zelfs minder, na wat zoeken kom ik ook hardware OTP C100 tokens tegen voor zelfs 12 euro. Niet heel duur voor een bedrijf, lijkt me. Dus de meerprijs die de overheid vraagt kan ook nooit veel zijn, zeker voor bedrijven niet.

[Reactie gewijzigd door CH4OS op 22 juli 2024 17:35]

mrdemc @CH4OS1 juli 2024 16:45
Ging me ook niet zozeer om de meerprijs inderdaad, wat je zegt dat zijn de kosten niet, maar meer dat het niet standaard is en dus waarschijnlijk ook vaak niet wordt gedaan. Bij We-ID bijv.:
OTP

Als u kiest voor een OTP responder in plaats van SMS verificatie, zal per responder
€ 40,- in rekening worden gebracht. Dit is voor 3 jaar.

De medewerkers waarvoor geen OTP responder wordt aangevraagd krijgen standaard de code per SMS.
En ik vermoed dat QuoVadis, KPN, etc. ongeveer op dezelfde prijs zullen zitten.
CH4OS @mrdemc1 juli 2024 16:52
QuoVadis is 45 euro per 3 jaar voor een hardware OTP: Prijslijst QuoVadis.
Bij KPN zie ik de prijs zo even snel niet staan, al spreekt de KPN website over "(Fysieke) identificatie vereist", dus wellicht zit het inbegrepen. Of dat bij EH2+ ook inbegrepen is, is mij even niet duidelijk, maar als dat zou is, dan is KPN 20 euro per jaar: Prijslijst KPN. Als het bij KPN alleen in EH4 zit, is het zelfs 55 euro per jaar en dan mag dat ook wel in de prijs inbegrepen zijn zeg...
Ik was echter in de veronderstelling dat eHerkenning iets vanuit de overheid was, vergelijkbaar met DigiD, maar schijnbaar is dat een commercieel iets.

[Reactie gewijzigd door CH4OS op 22 juli 2024 17:35]

Maurits van Baerle @CH4OS1 juli 2024 16:54
Het is een overheidsinitiatief, en verplicht voor veel officiële zaken voor bedrijven, maar de uitvoering is uitbesteed aan meerdere marktpartijen.
Koenecoen @Maurits van Baerle1 juli 2024 19:27
Zoals de verplichte APK of een kenteken laten maken. Lijkt me een goede zaak, zolang de controle op die partijen goed is en er een prijsplafond is.
fenrirs @Koenecoen1 juli 2024 21:21
Hoezo goede zaak? Bij een APK heb je het over een fysieke keuring, dat is te veel werk voor een overheid om in eigen beheer te doen, maar er IS al een goed overheids systeem om personen te identificeren. Waarom niet gewoon een digid voor bedrijven, gekoppeld aan een privé id van degene die moet inloggen? Kunje ook niet mee knoeien.

Wmb slecht dat dit via een derde partij gaat

[Reactie gewijzigd door fenrirs op 22 juli 2024 17:35]

Blokker_1999
@Nico de Vries1 juli 2024 15:37
Maar dan zit je dus al op 1 van de hogere beveiligingsniveau's. Ik vind het zelf spijtig dat je dus vandaag kan aanmelden voor bepaalde diensten zonder dat 2FA vereist is, ondanks dat er toch wel gevoelige informatie te vinden is bij die diensten.
laurxp @Nico de Vries2 juli 2024 00:59
Het blijft bijzonder dat ze nog steeds zo'n achterhaald kastje gebruiken. Voor hetzelfde geld kan je ook een Yubikey kopen en gebruik maken van (veel veiliger) Webauthn.
Skamba @IndoBoy1 juli 2024 15:37
Een tweede factor is per definitie veiliger dan uitsluitend een factor.
84hannes @Skamba1 juli 2024 15:57
Een tweede factor is per definitie veiliger dan uitsluitend een factor.
Wiskundig heb je gelijk, maar werkt het psychologisch ook zo? Kies jij een even complex wachtwoord als je weet dat een hacker naast je wachtwoord ook een tweede factor moet hebben? Zet je je fiets op slot in een afgesloten schuurtje?
skelleniels @84hannes1 juli 2024 16:11
Gelukkig vereisen de meeste websites Complexity requierements, zo kan je geen simpel wachtwoord kiezen.
84hannes @skelleniels1 juli 2024 17:49
Gelukkig vereisen de meeste websites Complexity requierements, zo kan je geen simpel wachtwoord kiezen.
Voor elke set complexe requirements die ik ben tegengekomen ben ik ook een wachtwoord tegengekomen dat er aan voldeed, en door een hele groep mensen gebruikt werd omdat het zo makkelijk in te voeren was. Die complexe requirements maken het in mijn ervaring alleen maar lastiger om een goed wachtwoord te vinden, ze verhinderen het niet om een makkelijke wachtwoord te bedenken.
fenrirs @84hannes1 juli 2024 21:27
Precies. Je kan makkelijker een wachtzin als “De Bl@uwe Zon Gaat 0nder In Het Zuid Oosten” onthouden, dan “€37fUVd&!():/“

Die laatste is relatief makkelijk te brute force. Voor de zin ben je langer bezig dan het heelal bestaat
84hannes @fenrirs1 juli 2024 22:57
Belangrijker, die laatste kun je ook vervangen door zoiets als
1234qwer~!@#
totaal niet veilig, voldoet wel aan alle complexiteiteisen.
Voor de zin ben je langer bezig dan het heelal bestaat
Dat valt ook wel mee. Als je de 10000 meest gebruikte woorden uit de Nederlandse taal pakt en zinnen van 9 woorden maakt heb je ook maar 10000^9 mogelijkheden. Een alfabumeriek wachtwoord van 36 karakters heeft er ongeveer net zoveel.

[Reactie gewijzigd door 84hannes op 22 juli 2024 17:35]

thomas_n @Skamba1 juli 2024 17:11
Veiliger in de zin van minder kans dat je gehackt wordt, zeker. Niet per se veiliger in de zin van zeker zijn dat je jezelf nooit per ongeluk uit je eigen account sluit.
Voor veel diensten is dat uiteraard de juiste afweging, omdat de potentiële schade bij gehackt worden veel groter is, maar dat tweede is wel een probleem dat steeds vaker gaat optreden, nu meer en meer mensen 2fa gebruiken voor allerlei diensten.
uncle_sjohie @IndoBoy1 juli 2024 15:46
Je hebt hier als professional, dit gaat om zakelijke authenticatie, ook een rol in natuurlijk. En vaak is er ook wel een security officer die eea afdwingt binnen een bedrijf.
AMDFreak 1 juli 2024 15:58
Ik werk dagelijks, als gebruiker met e-herkenning. Persoonlijk vind ik het irritant om dagelijks met 2FA te moeten inloggen op diverse systemen. Snap de veiligheid, maar elke keer weer telefoonpakken QR code scannen inloggen enz.. En na 60 mins inactiviteit opnieuw inloggen.

Ik zie liever in de toekomst een andere oplossing hiervoor.
--Christiaan-- @AMDFreak1 juli 2024 16:24
Er zijn verschillende apps die dit automatisch voor je in kunnen voelen. Ik gebruik hier zelf 1Password voor. Dan hoef je geen telefoon en QR er meer bij te pakken.
thomas_n @--Christiaan--1 juli 2024 17:17
Bedoel je dan dat je het allemaal op je telefoon doet? Dan is het niet echt meer 2fa, toch?

Zie bijvoorbeeld wat criminelen uit dit artikel doen bij mensen bij wie hun bank-app heel gemakkelijk te gebruiken is, zonder dat ze een tweede apparaat nodig hebben.

Dit kan natuurlijk wel iets veiliger door biometrische ontgrendeling te gebruiken, maar ik zou toch niet graag echt belangrijke zaken op mijn telefoon regelen, als die telefoon ook het apparaat voor 2fa is.
wild_dog @thomas_n1 juli 2024 18:08
TL;DR:
Als je eerst een keer een wachtwoord in moet vullen voor 1Password, en die zijn stores met TPM beveiligd, dan nog wel. Je hebt namelijk de 'iets dat je weet' factor in het wacthwoord om 1Password open te maken, en de 'iets dat je hebt' factor in het apparaat waar 1Password op staat met de TPM encrypted keystore.

In het lang:
2FA wordt vaak verward met een systeem waar je een e-mal/push notificatie op een login krijgt, maar dat is eigenlijk slechts een implementatie detail. Er zijn 3 verschillende catagoriën bewijs dat jij de gene bent die probeert je aan te melden, de 'authenticatie factoren'. Dit zijn:
  • Iets dat je weet
  • Iets dat je hebt
  • Iets dat je bent
Het idee van 2FA is, dat authenticatie methodes in de zelfde catagorie even makkelijk, en zelfs even makkelijk tegelijkertijd, te omzijlen zijn. Wachtwoorden zijn de bekende 'iets dat je weet' factor. Dingen als one time passwords/recovery codes vallen ook in die catagorie. Theoretisch gezien zijn wachtwoorden en recovery codes even makkelijk te bemachtigen. Uit een fysiek wachtwoorden boekje en een map met de recovery codes, of een password manager en een digitaal document/e-mail met de recovery codes. Of dat het even makkelijk/moeilijk is om een fingerafdruk en gezichtsscan te faken, en als je de ene kan doen, kan je de andere ook doen.

2FA beteken dat je een verificatie methode uit 2 verschillende factoren moet tonen voor authenticatie. Dus niet een wachtwoord en een extra One Time Password, een specefieke RFID tag met een specefieke smartphone scannen, of een vingerafdruk- en gezichts-scan.

In de meest voorkomnde 2FA methodes; nadat je inlogt met een wachtwoord een sms, e-mail notificatie, of app popup krijgen, zijn deze implementaties van de 'iets dat je hebt' factor controleren. Je hebt een telefoon met een specefiek nummer. Je hebt (toegang tot) een specefiek e-mail adress. Je hebt de smartphone die bij deze account geregistreert staat. Je bevestigd dat door op het bericht gestuurd naar de desbetreffende apparaten te reageren/link te drukken, ofwel informatie die er in staat te gebruiken (6 cijferige code).

1Password, mits goed opgezet, is in en op zich zelf dus een authenticatie factor. Als die zijn key stores encrypt mede met de TPM, zorgt dat er voor dat ook als er een volledige kopie van alle gegevens op het apparaat gemaakt wordt, je de keystore nog steeds niet kan decrypten, aangezien je de decryptie key niet uit de TPM kan halen. Je moet dus dat specefieke apparaat hebben/gebruiken, en niet enkel een kopietje van de gegevens.

Je moet het zo zien: je kan op die smartphone/computer wel inloggen met alleen een wachtwoord, maar dat kan alleen op dat specefieke apparaat. Toegang hebben tot dat apparaat is dus de eerste (wat je hebt) factor, en het wachtwoord om 1Password te ontgrendelen is de 2e (wat je weet) factor.

[Reactie gewijzigd door wild_dog op 22 juli 2024 17:35]

thomas_n @wild_dog1 juli 2024 18:22
Met een los wachtwoord voor 1Password inderdaad wel, al zijn de twee factoren dan wel teruggebracht tot een wachtwoord en het apparaat waar je dat wachtwoord op invoert. Als iemand dus even over je schouder meekijkt en vervolgens je telefoon steelt (zoals in het artikel dat ik linkte), zijn beide factoren in één keer doorbroken. Wanneer je "voor het gemak" je authenticatie-app automatisch laat ontgrendelen wanneer je je telefoon ontgrendelt wordt het helemaal erg kwetsbaar.

Biometrische ontgrendeling helpt wel, maar het blijft een risico om dat soort belangrijke zaken te regelen op één enkel apparaat, dat relatief diefstalgevoelig is.

[Reactie gewijzigd door thomas_n op 22 juli 2024 17:35]

Jan VP @thomas_n2 juli 2024 13:40
Wel 2FA. De factor "toestel" is de tweede, bovenop de gewone beveiligingen (wachtwoord, passkey).
- peter - @AMDFreak1 juli 2024 16:21
Passkeys?
Frame164 @AMDFreak1 juli 2024 17:30
Bijzonder om dat op tweakers te lezen. Als er een bedrijf wordt gehackt omdat ze niet alle beschikbare security maatregelen gebruiken worden ze hier (terecht) afgebrand. Je hebt de keuze om af en toe je telefoon te moeten pakken of dat de hele zooi gehackt en de schade behoorlijk groot kan zijn. Wat jij zegt klinkt toch een beetje als iemand die het omdoen van een veiligheidsgordel zo veel moeite vindt.
Zyphrax 1 juli 2024 15:51
Ik ben altijd voorstander voor two-factor authentication, maar ik ben zeker geen fan van eHerkenning.

Het is naar mijn idee absurd dat ik via een derde partij een dienst af moet nemen om in te kunnen loggen op een overheidsomgeving.

Het is ook bijzonder onvriendelijk voor mensen die een Nederlands bedrijf hebben, maar in het buitenland wonen. Ik ben blij dat ik een paar jaar geleden mijn BV opgezegd heb en niets meer met de Nederlandse belastingdienst te maken heb.
Maurits van Baerle @Zyphrax1 juli 2024 16:58
Ik woon zelf niet in Nederland maar twee van mijn bedrijven zijn in Nederland gevestigd en ik vind het wel meevallen. Het betekende bij de aanvraag dat ik in Nederland moest zijn voor de fysieke identificatie. Daarna maakt het vervolgens niet uit waar je zit. Ik kan me zelfs voorstellen dat het het iets handiger maakt omdat er anders altijd wel één instantie tussen zou zitten die vereist dat je fysiek aanwezig bent. Nu kan zo'n partij dat uitbesteden aan eHerkenning en hoeven ze zich daar zelf geen zorgen over te maken.

Nou moet ik wel zeggen dat ik voor mijn bedrijven ook nog een Nederlands mobiel nummer heb waar ik 2FA SMS-en etc. op kan ontvangen. Ik weet niet of je voor SMS ook een buitenlands mobiel nummer kunt opgeven.
Zyphrax @Maurits van Baerle1 juli 2024 17:33
Ten tijde van de aanvraag woonde ik in Australië en nu in de VS. Ik ga niet even langs voor een fysieke identificatie. Uiteindelijk maar iemand in Nederland aangesteld om de aanvraag te doen.
Maurits van Baerle @Zyphrax1 juli 2024 17:43
Tja, da's inderdaad andere koek. Ik zit in het VK en kom toch wel een paar keer per jaar in NL. Moet het een beetje plannen maar was te doen.
GameNympho @Zyphrax1 juli 2024 22:20
Kon het niet via de ambassade van NL daar?
jorisvergeerTBA @Maurits van Baerle1 juli 2024 18:33
Fysieke identificatie is een keuze.

Met een moderne telefoon kan je jezelf ook verifiëren met je ID/Paspoort en de NFC chip van je telefoon via een app.

Fair... als die verificatie mislukt, dan moet je alsnog fysiek identificeren. Maar het kan zonder dat iemand langs hoeft te komen.
sircampalot @jorisvergeerTBA1 juli 2024 20:07
Telefoon is een product van een derde partij.
Ablaze @Zyphrax1 juli 2024 20:44
Voor een klein bedrijfje als een vof, zijn de bijkomende kosten ook echt niet prettig.
Gelukkig heb ik nu weer een eenmanszaak en kan ik DigiD gebruiken.
kabelmannetje @Zyphrax1 juli 2024 23:03
eHerkenning is voor en door bedrijven. Niet voor de overheid. Daar is DigID voor.
MultiGeo 1 juli 2024 15:40
eHerkenning werkt via diverse tussenpartijen/aanbieders (met soms heel verschillende tarieven) en ik weet niet van alle aanbieders hoe zij werken.
Ook Reconi (een van de goedkopere) gebruikt een 2FA via code per sms.

Voor een kleine coöperatie (zonder winst) blijft het een relatief dure oplossing voor het eenmalig per jaar inloggen bij de belastingdienst voor de aangifte van de vennootschapsbelasting - € 50,- per aangifte.
Frame164 @MultiGeo1 juli 2024 17:28
Hoe klein is het dan wel niet als 50 euro voor veiligheid veel is. Of is het een hobby?
fenrirs @Frame1641 juli 2024 21:38
50 euro is veel. Voor 50 euro kan een non-profit 2 staar operaties doen in afrika, waardoor iemand weer kan lezen. Persoonlijk vind ik dat een stuk meer waard dan een belastingaangifte kunnen doen. (Reken voor de grap eens uit als elk bedrijf die 50€ zou doneren aan dergelijke initiatieven)
Señor Sjon 1 juli 2024 19:26
Voor zover ik bij ons hoor kan je bij EHerkenning nog steeds niet per gebruiker kiezen waar ze wel of niet bij kunnen. Heb je EH3 nodig voor het een, dan heb je gelijk ook toegang tot al het andere dat eronder valt. Dat is met de EH function creep niet handig, aangezien EH3 steeds vaker als minimum wordt gezien. EH2 (bedrijfsniveau) is jaren geleden al afgeschaft.
pheppy @Señor Sjon1 juli 2024 22:06
Overheidsdiensten kunnen meerdere diensten registreren bij eHerkenning. Bedrijven kunnen medewerkers machtigen per dienst. Sommige bedrijven kiezen er voor om een *-machtiging te registreren voor alle diensten van alle Overheidsdiensten. Dat kan ook een *-machtiging zijn voor alle diensten t/m EH3.

Het registreren van een *-machtiging is goedkoop als je per machtiging moet betalen.*-machtiging voor een zelfstandige ondernemer lijkt me voor de hand liggen. Voor een iets groter bedrijf lijkt dat geen goede keuze.

Oftewel de granulariteit van een machtiging is een keuze die deels bij de overheidsdienst ligt en deels bij het bedrijf zelf. Het is geen keuze of beperking van de eHerkenning aanbieder.
asaki 1 juli 2024 18:46
Bij eH wordt 2fa altijd afgedwongen door diensten die minstens loa2plus eisen. Betekend dit dat alle diensten, die bijvoorbeeld minimaal loa2 eisen, nu worden aangepast naar het hogere niveau?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq