# Voorkomen dat je jezelf buitensluit via 2-stapsverificatie Tweestapsverificatie beschermt je account, maar als je je enige factor kwijtraakt sluit je jezelf buiten. Met een paar voorzorgsmaatregelen voorkom je dat een verloren telefoon je dagenlang de toegang ontzegt. ## Registreer meerdere factoren De belangrijkste regel: vertrouw nooit op een enkele tweede factor. Wie alleen Google Prompt gebruikt en zijn telefoon verliest, staat vast. Met meerdere factoren val je eenvoudig terug op een alternatief. In 2026 ondersteunt Google de volgende tweede factoren, op volgorde van phishingbestendigheid: - **Passkey of fysieke beveiligingssleutel**: bestand tegen phishing, gebruikt je vingerafdruk, gezicht of schermvergrendeling. Dit is de sterkste optie. - **Google Prompt**: een pushmelding op een aangemeld toestel. Gemakkelijk en beschermt tegen SIM-swap, maar afhankelijk van dat ene toestel. - **Authenticator-app**: genereert tijdgebonden codes, werkt offline en kan op een tweede toestel staan. - **Back-upcodes**: tien eenmalige codes als laatste vangnet. :::info title="Aanbevolen combinatie" Een sterke opzet bestaat uit een passkey of fysieke beveiligingssleutel, Google Prompt op je telefoon, een authenticator-app op een tweede toestel en een set back-upcodes. Zo overleeft je toegang het verlies van een enkele factor. ::: ## Back-upcodes goed bewaren Back-upcodes zijn je vangnet. Ze werken offline en onafhankelijk van je telefoon. De kunst is ze zo te bewaren dat je ze terugvindt wanneer je ze nodig hebt, maar niet voor anderen toegankelijk. :::howto title="Back-upcodes instellen en bewaren" 1. Ga naar `myaccount.google.com` en open **Beveiliging**. 2. Klik op **2-stapsverificatie** en zoek **Back-upcodes**. 3. Genereer een set van tien codes en bewaar deze in een wachtwoordmanager of fysiek in een kluis. 4. Bewaar de codes nooit in dezelfde mailbox die je ermee wilt ontgrendelen. 5. Genereer nieuwe codes zodra je een set hebt gebruikt of vermoedt dat ze zijn ingezien. De oude set wordt dan automatisch ongeldig. ::: :::tip title="Twee plekken, dubbele zekerheid" Bewaar een set back-upcodes geprint op een veilige fysieke plek en een tweede set in een goede wachtwoordmanager. Zo heb je altijd toegang, ook als je telefoon en computer beide onbereikbaar zijn. ::: ## Beveiligingssleutels en passkeys als sterkste optie Een fysieke beveiligingssleutel is bestand tegen phishing en heeft geen batterij of internet nodig. Een passkey biedt dezelfde phishingbescherming, maar werkt met de schermvergrendeling van je toestel. Registreer er bij voorkeur twee, zodat het verlies van een enkele sleutel geen probleem is. :::warn title="Altijd een tweede sleutel" Registreer minstens twee beveiligingssleutels of passkeys, of houd back-upcodes achter de hand. Een enkele sleutel die kwijtraakt of stukgaat, kan anders een volledige lockout veroorzaken. ::: ## Op organisatieniveau voorkomen Voor beheerders geldt het lockout-risico dubbel: als de enige beheerder zichzelf buitensluit, kan niemand meer ingrijpen. Zorg daarom voor meerdere superbeheerders en een speciaal break-glass-account dat alleen in noodgevallen wordt gebruikt. Een Workspace-beheerder met de juiste rechten kan bovendien de 2SV-inschrijving van gewone gebruikers resetten en zelfs een set back-upcodes voor hen genereren. Documenteer dit proces zodat een lockout van een medewerker snel verholpen kan worden zonder dat de gebruiker zelf nog factoren nodig heeft. :::faq ### Hoeveel factoren moet ik minimaal registreren? Minstens twee verschillende, plus een set back-upcodes. Zo overleeft je toegang het verlies van een enkele factor. ### Waar bewaar ik back-upcodes het veiligst? In een wachtwoordmanager en daarnaast fysiek op een veilige plek. Nooit in de mailbox die je ermee wilt ontgrendelen. ### Wat als ik beheerder ben en mezelf buitensluit? Een tweede superbeheerder of een break-glass-account kan je 2SV resetten. Zonder die voorzorg moet je Google-ondersteuning inschakelen, wat lang kan duren. ### Kan een beheerder mijn 2SV herstellen? Ja, een Workspace-beheerder met gebruikersbeheer-rechten kan je 2SV-inschrijving resetten via de Admin Console en eventueel back-upcodes voor je genereren, waarna je opnieuw factoren instelt. ### Is een passkey beter dan Google Prompt? Een passkey is phishingbestendig en daarmee sterker dan Google Prompt. Combineer ze gerust: gebruik de passkey als hoofdfactor en houd Prompt en back-upcodes als alternatief. ### Wat doe ik als ik mijn enige beveiligingssleutel verlies? Log in met een back-upcode of een andere geregistreerde factor en verwijder de verloren sleutel meteen uit je account. Registreer daarna een nieuwe reservesleutel. :::