Waarom 2SV verplicht stellen
Een sterk wachtwoord alleen is onvoldoende zodra het uitlekt via phishing of een datalek bij een derde partij. 2-stapsverificatie voegt een tweede laag toe: zelfs met het juiste wachtwoord komt een aanvaller niet binnen zonder de tweede factor.
Volgens onderzoek van Google blokkeert 2SV vrijwel alle geautomatiseerde botaanvallen, het overgrote deel van bulk-phishing en een ruime meerderheid van gerichte aanvallen. Tegen credential stuffing, waarbij gelekte wachtwoorden massaal worden uitgeprobeerd, is het effect vrijwel volledig.
Google dwingt 2SV af voor beheerders
Google rolt sinds 2025 verplichte 2SV uit voor alle beheerdersaccounts. Superbeheerders krijgen ongeveer 90 dagen vooraf bericht, andere beheerders ongeveer 60 dagen. Wie niet op tijd 2SV inschakelt, verliest stapsgewijs toegang. Voor reguliere gebruikers is 2SV optioneel tenzij jij het zelf afdwingt.
2SV inschakelen en afdwingen
2SV afdwingen in de Admin Console
- Ga naar admin.google.com.
- Navigeer naar Beveiliging > Verificatie > 2-stapsverificatie.
- Selecteer links de organisatie-eenheid of de gehele organisatie.
- Zet Gebruikers toestaan 2-stapsverificatie in te schakelen aan.
- Stel een Registratieperiode in, bijvoorbeeld 1 week. Gebruikers krijgen die tijd om 2SV zelf in te stellen.
- Zet Handhaving op Aan vanaf een datum en kies de datum waarop 2SV verplicht wordt.
- Kies bij Methoden welke tweede factoren zijn toegestaan (zie hieronder).
- Klik op Opslaan.
Beschikbare 2SV-methoden
Workspace ondersteunt meerdere tweede factoren. Per organisatie-eenheid beperk je welke methoden zijn toegestaan:
| Methode | Veiligheid | Gebruiksgemak |
|---|---|---|
| Passkey | Zeer hoog | Eenvoudig |
| Hardware-beveiligingssleutel | Zeer hoog | Gemiddeld |
| Google-prompt | Hoog | Zeer eenvoudig |
| Authenticator-app (TOTP) | Hoog | Eenvoudig |
| Sms of telefoontje | Laag | Eenvoudig |
Vermijd sms als tweede factor
Sms-codes zijn gevoelig voor SIM-swapping en worden door NIST afgeraden voor nieuwe implementaties. Kies in de Admin Console bij voorkeur de instelling die sms en telefoontjes uitsluit, zodat gebruikers passkeys, sleutels of app-codes gebruiken.
Voor de hoogste beveiliging beperk je tot passkeys of hardware-sleutels. Dat zijn phishing-bestendige methoden: ze werken alleen op het echte inlogdomein en zijn daardoor ongevoelig voor nepinlogpagina's.
Registratieperiode beheren
Tijdens de registratieperiode kunnen gebruikers nog inloggen zonder 2SV, maar worden ze gevraagd het in te stellen. Na de handhavingsdatum worden gebruikers die 2SV nog niet hebben ingesteld geblokkeerd tot ze dit doen.
Communiceer ruim op voorhand met je gebruikers:
- Kondig de verplichting minimaal twee weken van tevoren aan.
- Stuur duidelijke instructies mee voor het instellen.
- Wijs op de backup-codes voor het geval het tweede apparaat kwijtraakt.
Uitzonderingen instellen
Voor serviceaccounts, gedeelde mailboxen of specifieke gebruikers die geen 2SV kunnen gebruiken, maak je een aparte organisatie-eenheid aan en stel je 2SV daar als optioneel in. Houd het aantal uitzonderingen zo klein mogelijk en leg de reden per uitzondering vast.
Liever geen wachtwoord voor serviceaccounts
Echte serviceaccounts horen niet via een gewoon wachtwoord en 2SV te werken, maar via OAuth of een serviceaccountsleutel zonder interactief inloggen. Gebruik een 2SV-uitzondering alleen voor mensgebonden accounts die tijdelijk niet anders kunnen.
2SV-registratie monitoren
Via Rapporten > Gebruikersrapporten > Beveiliging zie je per gebruiker of 2SV is ingesteld en welke methode in gebruik is. Filter op niet-ingeschreven gebruikers om gerichte follow-up te sturen voordat de handhavingsdatum verstrijkt. Plan deze controle een paar dagen voor de deadline, zodat je nog kunt bijsturen.
Backup-codes en herstel
Zorg dat gebruikers weten hoe ze backup-codes aanmaken. Bij verlies van het tweede apparaat zijn dit vaak de enige manier om in te loggen zonder beheerdersingreep. Laat gebruikers deze codes opslaan in een wachtwoordmanager of op een veilige fysieke locatie.
Moet een beheerder een gebruiker deblokkeren, dan kan dat zo:
- Ga naar Directory > Gebruikers en selecteer de gebruiker.
- Open het tabblad Beveiliging en kies 2-stapsverificatie uitschakelen.
- De gebruiker kan nu inloggen en 2SV opnieuw instellen.
Kan ik 2SV alleen voor beheerders verplicht stellen?
Ja, maak een aparte organisatie-eenheid voor beheerders en dwing 2SV alleen daar af. Daarnaast dwingt Google 2SV inmiddels automatisch af voor beheerdersaccounts, ongeacht jouw eigen instelling.
Wat als een gebruiker zijn 2SV-apparaat verliest?
De gebruiker kan inloggen met een eerder opgeslagen backup-code. Lukt dat niet, dan kan een beheerder 2SV tijdelijk uitschakelen, waarna de gebruiker een nieuwe methode instelt.
Kunnen gebruikers zelf kiezen welke 2SV-methode ze gebruiken?
Ja, tenzij jij als beheerder de toegestane methoden beperkt via de 2SV-instellingen per organisatie-eenheid. Voor hoge beveiliging beperk je dit tot passkeys of hardware-sleutels.
Geldt de 2SV-verplichting ook voor externe gebruikers die met ons samenwerken?
Nee. Externe gebruikers die inloggen met hun eigen Google-account vallen onder het beleid van hun eigen organisatie, niet onder dat van jou. Alleen interne accounts in jouw Workspace-organisatie worden door jouw beleid beïnvloed.
Welke methode is het veiligst?
Passkeys en hardware-beveiligingssleutels zijn het veiligst, omdat ze phishing-bestendig zijn en alleen op het echte inlogdomein werken. Sms is de zwakste optie en kun je het beste uitsluiten.
Wat gebeurt er na de handhavingsdatum met wie nog geen 2SV heeft?
Die gebruikers worden bij de volgende inlogpoging geblokkeerd tot ze 2SV instellen. Daarom is communicatie vooraf en monitoren van niet-ingeschreven gebruikers belangrijk.