Pagina-navigatiestructuur
Spring naar het einde van metadata
Ga nar het begin van metadata

Inleiding

Als u via een wachtwoord inlogt op het portal, dan is het mogelijk uw account extra te beveiligen door twee-factor-authenticatie te koppelen. Twee-factor-authenticatie, kort ook wel 2FA genoemd, is een twee stappen authenticatie, waarbij u twee stappen moet doorlopen voordat u ingelogd bent. Normaliter logt u in met uw gebruikersnaam en wachtwoord. Deze inloggegevens kunnen onderschept worden, geraden of afgekeken door iemand anders. Zodra iemand anders uw inloggegevens bemachtigt, kan die persoon toegang krijgen tot gevoelige informatie of zelfs gegevens aanpassen.

Als u twee-factor-authenticatie heeft gekoppeld, heeft u een extra code nodig voordat u succesvol bent ingelogd. Als iemand anders dan uzelf probeert in te loggen op het portal, kan deze persoon het inloggen niet voltooien, doordat diegene geen toegang heeft tot uw authenticatiecode. Dit verhoogt de veiligheid van uw account.

Er zijn twee manieren om gebruik te maken van de 2FA: u kunt gebruik maken van een app op uw telefoon, of gebruik maken van een hardware token.

Op deze pagina leggen wij u uit hoe u twee-factor-authenticatie kunt koppelen, ontkoppelen, hoe u ermee kunt inloggen en hoe u het als admin kunt verplichten.




Op deze pagina

Zie ook:


Twee-factor-authenticatie koppelen

Het is alleen mogelijk om twee-factor-authenticatie te koppelen als u met een wachtwoord inlogt direct op het portal. Maakt u gebruik van single-sign-on via een server van de school dan is het niet mogelijk om 2FA te koppelen.


Als u bent ingelogd op het portal kunt u voor uzelf twee-factor-authenticatie koppelen. U doet dat als volgt:

  • Klik rechtsboven in het portal op 'Welkom, <uw naam>"
  • Ga naar 2FA koppelen

U krijgt vervolgens 2 mogelijkheden om de 2FA te koppelen: via de telefoon, of een hardware token.

Hardware token koppelen voor andere gebruiker

Als u admin-rechten heeft, dan kunt u ook uw tweede factor koppelen voor een andere gebruiker.

  • Ga naar Beheer > Gebruikers > Gebruikers
  • Selecteer de gebruiker om wie het gaat
  • Klik op Authenticatie > 2FA koppelen

Twee-factor authenticatie koppelen: via een telefoon

Het is mogelijk om de extra authenticatiecode te laten generen door een app op uw telefoon. Er zijn verschillende aanbieders, de meest gebruikte zijn bijvoorbeeld Google Authenticator, Microsoft Authenticator, of Authy. 

Nadat u een authenticatie app, zoals Google Authenticator, Microsoft Authenticator of Authy, heeft geïnstalleerd, kunt u met de app de volgende stappen doorlopen om de twee-factor-authenticatie te koppelen.

Google AuthenticatorMicrosoft AuthenticatorAuthy

Open Google Authenticator op uw telefoon
(het beeld kan anders zijn als u een ander type telefoon heeft)

Afbeeldingsresultaat voor google authenticator

  • U klinkt op de rode plus rechtsonder
  • Aan de onderkant van het scherm krijgt u een menu te zien

  • U kiest voor "Scan barcode" en scant de code die in het portal te zien is.

Open Microsoft Authenticator op uw telefoon.

Klik in het menu rechtsboven op "Add account" (Account toevoegen).

U krijgt het volgende scherm:

Afbeeldingsresultaat voor microsoft authenticator Other account

Hier klikt u op "Other account" (Ander account) en scant u de QR code.

Open Authy op uw telefoon.

Klik op de 3 bolletjes rechtsbovenin en in het menu op "add account"

U krijgt het volgende scherm.

Hier klikt u op de knop "scan QR code" en scant u de code op uw scherm.



Als u een backup wilt maken van deze code dan noteert u de sleutel die onder de QR code getoond wordt.


  • Om twee-factor-authenticatie te koppelen vult u uw wachtwoord en authenticatiecode uit Google Authenticator (of een andere authenticatie app) in:

  • U krijgt een melding dat 2FA is gekoppeld. Vanaf nu heeft u na het invoeren van uw wachtwoord ook uw authenticatiecode nodig om in te kunnen loggen:

Niet gelukt?

Als u de QR code kunt scannen, maar u krijgt bij het klikken op Koppelen een melding dat uw wachtwoord of authenticatiecode incorrect is, dan kan het zijn dat de tijd op uw telefoon niet goed staat. Deze mag niet meer dan 30 seconden verschillen van de werkelijke tijd. Wij raden aan om de tijdsinstelling van uw telefoon in te stellen op automatisch.


Twee-factor authenticatie koppelen: via een hardware token

Het is ook mogelijk een hardware token te gebruiken om de authenticatiecode te genereren. In tegenstelling tot een software-token levert u hier zelf de gegevens aan. Een voordeel is dat dit token compleet onafhankelijk is van uw telefoon.

Bij het klikken op 2FA koppelen in het menu rechtsboven krijgt u de vraag wat u wilt gebruiken als authenticatiemechanisme:

Bij het klikken op Hardware token krijgt u het volgende scherm te zien:

U vult hier uw wachtwoord in en de gegevens in die u van uw beheerder (of leverancier) hebt gekregen. Ter controle of de instellingen goed zijn vult u de huidig zichtbare authenticatiecode in.


Instellingen voor verschillende tokens

Er zijn een paar kleine verschillen tussen verschillende hardware tokens:

Token

Formaat sleutel

Interval (s)

Aantal cijfers

Algoritme

Afbeeldingen

Feitian OTP c200
(standaardconfiguratie)
Base 16 (hex)606sha1

Authenticator apps zoals:

  • Google Authenticator
  • Microsoft Authenticator
  • Authy
Base 32306sha1


Heeft u een ander token succesvol gekoppeld aan het portal? We horen dat graag zodat we die token kunnen opnemen in de tabel!


Het formaat van de sleutel

Het kan zijn dat niet duidelijk is aangegeven in welk formaat de geheime sleutel is aangeleverd. U kunt in de onderstaande tabel kijken of u het formaat herkent. Bij twijfel kunt u de verschillende opties natuurlijk ook gewoon uitproberen.

Formaat

Tekens

Voorbeeld

Base 16 (hex)0-9 A-F44462843562653442A236A64686973796166
Base 32A-Z 2-7 =MFZWIZTBONSGM2DG
Base 64a-z A-Z 0-9 +/ =
BwbGVhc3VyZS4=

Wist u dat...?

Het scherm Hardware token koppelen kunt u gebruiken met elke geheime sleutel. Deze hoeft niet perse van een hardware-token te zijn. Het is dus ook mogelijk om een software-token waar u eerder de sleutel van heeft genoteerd te koppelen aan een ander account.


Inloggen

U vult eerst op het login scherm van het portal van uw school uw gebruikersnaam en wachtwoord in. Als u op Enter drukt (of inloggen), krijgt u een extra veld te zien waar u de authenticatiecode kunt invullen.

Hier vult u de authenticatiecode in die op Google Authenticator  (of een andere authenticatie app), of op uw hardware token wordt getoond. Hierna laadt het portal zoals gebruikelijk.

Om de veiligheid te vergroten wordt uw wachtwoord pas gecontroleerd nadat u ook de authenticatiecode heeft ingevuld. Dit gebeurt dus niet direct als u het wachtwoord op het normale login-scherm invult.

Twee-factor authenticatie ontkoppelen

Als u geen gebruik meer wilt maken van twee-factor-authenticatie, kunt u deze weer ontkoppelen.

  • U klikt eerst op 2FA ontkoppelen in het menu rechtsboven bij "Welkom <uw naam>"

  • U ziet het volgende scherm:


  • U voert uw wachtwoord in en (een laatste keer) uw authenticatiecode en klikt op <Ontkoppelen>.
  • Als het uitschakelen gelukt is, krijgt u de volgende melding

Telefoon of hardware token niet meer beschikbaar

Bent u uw telefoon of hardware token vergeten of verloren? Dan kan iemand met admin-rechten uw tweede factor ontkoppelen.

  • Ga naar Beheer > Gebruikers > Gebruikers
  • Selecteer de gebruiker om wie het gaat
  • Klik op Authenticatie > 2FA ontkoppelen


Melding voor beheerders

Beheerders ("admin") krijgen een waarschuwing als ze twee-factor-authenticatie (2FA) niet hebben gekoppeld, omdat wij u aanbevelen gebruik te maken van deze inlogmethode en u zo willen herinneren dat u het (nog) niet heeft ingesteld.

U kunt deze melding sluiten met het kruisje. De volgende keer als u inlogt, krijgt u de melding weer.

Het algemene beheerdersaccount

Wij raden u aan om het algemene beheerdersaccount (standaard "admin") niet te gebruiken voor dagelijkse werkzaamheden. U kunt het beste hier een lang wachtwoord voor instellen en dit in een (digitale) kluis bewaren. Dit account kan dan gebruikt worden voor noodgevallen als er geen admin beschikbaar is of als deze het portal niet meer inkomt. Voor het account in de kluis hoeft u geen twee-factor-authenticatie te koppelen. Het lange wachtwoord kan toch niet geraden worden, en omdat dit wachtwoord niet gebruikt wordt is er ook geen kans dat het onderschept wordt. Mocht u wel twee-factor-authenticatie willen voor dit account dan raden wij u aan om de 2FA sleutel samen met dit wachtwoord op een veilige manier te bewaren. U kunt dan als het account nodig is een device koppelen.


Twee-factor-authenticatie verplichten

Wij raden gebruikers van het Zermelo Portal aan gebruik te maken van de twee-factor-authenticatie, vooral als u uitgebreide toegang en mogelijkheden heeft in het portal. Wij verplichten u echter niet om hiervan gebruik te maken.

U kunt aan alle docenten en andere medewerkers vragen of zij twee-factor-authenticatie willen koppelen. Waarschijnlijk stelt niet iedereen het in en duurt het lang voordat de accounts op uw portal extra beveiligd zijn. Het is daarom mogelijk om het instellen van twee-factor-authenticatie verplicht te maken. U kunt dit doen via Beheer > Gebruikers > Beveiligingsbeleid.

Hier kunt u met vinkjes aangeven voor welke schoolfuncties het verplicht is om twee-factor-authenticatie te koppelen.

Let op

Als u gebruikers via een schoolfunctie verplicht om gebruik te maken van twee-factor-authenticatie, dan krijgen deze direct na het inloggen een scherm waar ze twee-factor-authenticatie moeten koppelen Het is wel mogelijk om dit scherm te sluiten. Wij raden u wel aan om gebruikers van tevoren te informeren zodat ze niet door dit scherm verrast worden.

Nadat de medewerkers met de bewuste schoolfunctie inloggen op het portal, krijgen de medewerkers die nog geen twee-factor-authenticatie hebben gekoppeld het volgende scherm te zien:

Het koppelen van twee-factor-authenticatie is uit te stellen door dit scherm te sluiten. Er wordt dan wel een waarschuwing getoond.

VoordelenNadelen
  • Wachtwoorden kunnen niet meer via internet "geraden" worden
  • Het is voor leerlingen niet meer voldoende om te kijken welk wachtwoord een medewerker intypt
  • U heeft altijd een telefoon nodig
  • Het inloggen kost u iets meer tijd

Het scherm om twee-factor-authenticatie verplicht in te stellen wordt alleen getoond als gebruikers via een wachtwoord zijn ingelogd. Bij inloggen via single-sign-on wordt de identiteit gecontroleerd door een externe server, en als twee-factor-authenticatie gewenst is dient dit op de externe server te worden ingesteld.


Trefwoorden

2fa, twee factor authenticatie, tweefactor, 2factor, veiligheid, safety, wachtwoord, inloggen, controle

  • Geen labels