Terug naar het overzicht

26 november 2025

Waarom SMS en Voice MFA jouw organisatie kwetsbaar maken

 

Multi-Factor Authenticatie (MFA) is essentieel geworden voor de beveiliging van moderne IT-omgevingen. Toch gebruiken veel organisaties nog steeds verouderde methodes zoals SMS, voice-calls of e-mail. Dat maakt accounts kwetsbaar voor aanvallers.

Microsoft 365 Copilot Business – AI met Governance Grip

Waarom MFA belangrijk is

MFA voegt een extra laag toe aan je loginproces. Naast gebruikersnaam en wachtwoord moet je iets extra’s verifiëren: een code, een fysieke key of biometrie. Maar niet elke vorm van MFA is veilig.

In Microsoft Entra ID zijn methodes als SMS, voice of e-mail standaard ingeschakeld. Ze lijken handig, maar zijn kwetsbaar voor gerichte aanvallen. En als een aanvaller eenmaal binnen is, kan die toegang registreren als ‘legitiem’ – en maandenlang onopgemerkt blijven.

 

Wat maakt SMS, voice en e-mail MFA onveilig?

Aanvallers gebruiken vaak deze volgorde:

  1. Reconnaissance
    Ze zoeken uit of jouw organisatie zwakke MFA-methodes gebruikt, via social engineering of scanning.

  2. Toegang verkrijgen
    Met phishing, password spraying of credential stuffing verzamelen ze inloggegevens.

  3. Tweede factor omzeilen

    • SMS: via SIM-swapping, SS7-kwetsbaarheden of malware

    • Voice: via vishing of doorschakeling

    • E-mail: via phishing of mailbox-toegang

  4. Persistentie opbouwen
    Ze registreren hun eigen MFA-methode om toegang te behouden.

  5. Laterale beweging en escalatie
    Ze gebruiken de toegang om binnen te dringen bij andere accounts of systemen.

  6. Schade aanrichten
    Denk aan data-exfiltratie, privilege escalation, en verstoring van diensten – allemaal zonder alarmbellen, omdat alles er ‘legitiem’ uitziet in de logs.

 

Wat zijn betere alternatieven?

Sterke MFA-methodes zijn onder andere:

  • Authenticator apps (bijv. Microsoft of Google Authenticator)

  • FIDO2 security keys (zoals YubiKey)

  • Biometrische verificatie (vingerafdruk, gezichtsherkenning)

Deze methodes zijn beter bestand tegen phishing en kunnen niet eenvoudig worden onderschept of nagebootst.

 

Wat kun je doen in Microsoft Entra?

  1. Schakel zwakke methodes uit in je authenticatiebeleid

  2. Migreer naar sterke methodes via een gefaseerde aanpak

  3. Train je gebruikers op veilige loginpraktijken

  4. Monitor afwijkend login-gedrag actief

 

Veelgemaakte fouten

  • Denken dat “MFA = veilig”, ongeacht de methode

  • Geen zicht hebben op welke methodes ingeschakeld zijn

  • Gebruikers laten kiezen uit gemak, zonder beleid

  • Geen logging of review van aanmeldingen uitvoeren

 

Conclusie

Zwakke MFA is geen MFA. Het is schijnveiligheid. En dat wordt door cybercriminelen actief benut.

Sterke authenticatie is de standaard voor Zero Trust in 2025. En de basis voor elke organisatie die haar mensen en data serieus wil beschermen.

Tijd voor een realistische check: welke MFA-methodes zijn bij jullie nog actief?

Meer weten?

Neem contact op
Wit ALTA-ICT logo op paarse achtergrond met 3D schild en slot, tekst over MFA-beveiliging onderaan

Gerelateerde
blogs

Wit ALTA-ICT logo op paarse achtergrond met 3D schild en slot, tekst over MFA-beveiliging onderaan
26 november 2025

Waarom SMS en Voice MFA jouw organisatie kwetsbaar maken

Lees meer
Paarse afbeelding met AI-kubus, Microsoft 365 Copilot tekst en ALTA-ICT en M365 logo’s
20 november 2025

Microsoft 365 Copilot Business – AI met Governance Grip

Lees meer
security awareness is gedrag geen checkbox
19 november 2025

Security Awareness – Gedrag als Fundament

Lees meer

Tech Updates: Microsoft 365, Azure, Cybersecurity & AI – Wekelijks in je Mailbox.