Wat is een beveiligingsvraag?

Een beveiligingsvraag is een extra beveiligingsmaatregel om de identiteit van een gebruiker te verifiëren. Zulke vragen worden bijvoorbeeld gebruikt bij het herstellen van een wachtwoord. Zo’n beveiligingsvraag wordt bij de eerste aanmelding op een dienst of systeem aangemaakt en betreft vaak iets persoonlijks dat nergens is terug te vinden. Zoals de naam van je eerste huisdier.

Voorbeeld van een beveiligingsvraag?

Meestal gaat het bij beveiligingsvragen om persoonlijke vragen zoals: “Wat was je favoriete leraar op de middelbare school?” Zo’n vraag moet uiteraard vooraf worden ingesteld door de gebruiker. Maar er kan ook naar informatie worden gevraagd die een organisatie al heeft, zoals iemands klantnummer of postcode.

Worden beveiligingsvragen nog veel gebruikt?

Het gebruik van beveiligingsvragen neemt af want voor bijvoorbeeld een password reset wordt meestal Multi-Factor Authenticatie (MFA) gebruikt. Er wordt dan een resetlink gestuurd naar een e-mailadres of een resetcode naar je smartphone. Maar als ‘last resort’ als iemand echt alles kwijt is, is een beveiligingsvraag nog een optie. En als verificatie bij persoonlijke gesprekken met een arts of bank.

Beveiligingsvragen

Beveiligingsvragen: Zijn ze echt veilig en hoe kun je ze verbeteren?

Beveiligingsvragen worden gebruikt om iemands identiteit te verifiëren bij bijvoorbeeld het resetten van iemands wachtwoord of bij belangrijke transacties. Hoe zulke beveiligingsvragen werken, wat de voor- en nadelen zijn, hoe je ze veilig kunt gebruiken en of er alternatieven zijn? We gaan er hieronder op in.

authenticatiefactoren

Wat zijn beveiligingsvragen?

Een beveiligingsvraag is een van de mogelijke zogeheten authenticatiefactoren die je kunt gebruiken om iemands identiteit te controleren. In de praktijk wordt daarbij vaak onderscheid gemaakt tussen drie soorten factoren:

Iets dat je weet, zoals een wachtwoord of een pincode.
Iets dat je bezit, bijvoorbeeld je smartphone of een security key.
Iets dat je bent, en dan gaat het om biometrische kenmerken zoals je vingerafdruk of iris.

Een beveiligingsvraag behoort tot die eerste categorie, iets dat de gebruiker weet. Alleen werkt de beveiligingsvraag net even anders. Een wachtwoord of pin worden random aangemaakt of door de gebruiker zelf ingesteld, en het probleem is dat ze lastig zijn te onthouden. Een beveiligingsvraag is daarentegen een persoonlijke vraag die de betreffende persoon altijd kan beantwoorden. Zoals de meisjesnaam van je moeder of de naam van je eerste huisdier. Die vergeet je normaliter niet.

Beveiligingsvragen worden vaak gebruikt als een ‘last resort’, als iemand zijn reguliere wachtwoord vergeten is en ook andere authenticatiemethodes niet beschikbaar zijn. Ook wordt zo’n controlevraag soms gebruikt als extra verificatiefactor bij bijvoorbeeld gevoelige handelingen zoals een financiële transactie of een gesprek met een arts. Voorafgaand aan zo’n gesprek of transactie moet je dan eerst een beveiligingsvraag beantwoorden.

Waarom zijn beveiligingsvragen kwetsbaar?

We weten al dat alle ‘kennisfactoren’ (iets dat je weet) kwetsbaar zijn. Dat geldt voor wachtwoorden en pincodes, en beveiligingsvragen zijn nog risicovoller. Het voordeel van zo’n security vraag is dat je het antwoord nergens hoeft op te slaan, want het is iets dat je van nature weet. Tegelijkertijd is die informatie lang niet altijd echt uniek en in het huidige online tijdperk is veel van je persoonlijke informatie eenvoudig terug te vinden. Dat maakt deze vragen kwetsbaar.

Type beveiligingsvragen

Er zijn in essentie twee soorten beveiligingsvragen:

Feiten die bij de betreffende organisatie al geregistreerd zijn, zoals je geboortedatum, je klantnummer of BSN-nummer. Veel zorginstellingen vragen bijvoorbeeld bij afspraken standaard de patiënt om de geboortedatum.
Vragen waarbij je als gebruiker zelf het antwoord bepaalt. Zulke vragen variëren van persoonlijke voorkeuren (je lievelingskleur) tot individuele herinneringen (de naam van je eerste huisdier)

Zaken als je geboortedatum zijn meestal al bekend en kunnen zonder verdere voorbereiding direct worden gebruikt als beveiligingsvraag. De andere beveiligingsvragen moeten worden voorbereid. Als iemand bijvoorbeeld een gebruikersaccount krijgt, wordt hij of zij ook gevraagd een beveiligingsvraag in te stellen. Meestal kun je kiezen uit een aantal beschikbare vragen en jij moet als gebruiker je persoonlijke antwoord instellen. Als jouw identiteit dan op een later tijdstip moet worden gecontroleerd, stelt het systeem de beveiligingsvraag en wordt jouw respons vergeleken met het oorspronkelijke antwoord.

Wat zijn goede beveiligingsvragen

Een goede beveiligingsvraag moet voldoen aan een aantal criteria. Uiteraard moet het antwoord moeilijk te raden of achterhalen zijn en in ieder geval niet publiek beschikbaar. Het is ook belangrijk dat het antwoord stabiel is gedurende de tijd. Je basisschool of de naam van je eerste kat verandert nooit meer, maar je favoriete serie kan zomaar veranderen als er iets nieuws verschijnt op Netflix. En ook eenduidigheid van het antwoord is belangrijk. Erykah Badu is wellicht je favoriete artiest, maar typ je die naam volgend jaar nog steeds foutloos in? We geven hieronder wat voorbeelden van slechte en goed beveiligingsvragen.

Voorbeelden van slechte beveiligingsvragen

Slechte beveiligingsvragen zijn vragen waarvan het antwoord eenvoudig is te raden of op te zoeken:

Je geboortedatum: makkelijk te vinden via social media. Hetzelfde geldt voor zaken als postcodes en huisnummers.
Favoriete kleur: deze vraag is meestal makkelijk te raden. Smaragdgroen of iets dergelijks is natuurlijk veilig, maar bekend is dat de meeste mensen kiezen voor blauw.
Meisjesnaam van je moeder: dit was ooit een prima vraag maar zulke informatie is tegenwoordig online eenvoudig te achterhalen via allerlei stamboom websites.
Je favoriete sportteam: ook dit is meestal wel online terug te vinden en met raden kom je vaak ook al een eind; Ajax wordt nu eenmaal vaker genoemd dan Quick Boys.

Voorbeelden van goede beveiligingsvragen

Goede beveiligingsvragen gaan over iets dat niet meer verandert, moeilijk is te raden en niet eenvoudig op internet is terug te vinden:

Naam van je eerste huisdier: tenzij die in je social media nog een prominente rol speelt, is zo’n naam lastig terug te vinden.
Favoriete leraar op de basisschool: ook die is meestal alleen nog in jouw herinnering aanwezig.
Je eerste auto: dit kunnen de meeste mensen zich probleemloos herinneren. Daarbij moet je natuurlijk wel om merk en type vragen.

Zijn ze veilig om te gebruiken?

Op zichzelf zijn beveiligingsvragen altijd kwetsbaar. De kracht van de beveiligingsvraag is dat je het antwoord niet vergeet omdat het iets te maken heeft met jou als persoon. Maar dat maakt zo’n beveiligingsvraag van nature ook minder veilig. Veel gegevens zijn te achterhalen met slimme social engineering trucs, eenvoudigweg te raden of met brute-force-aanvallen te vinden. We moeten dus bij ieder bedrijfsproces ons de vraag stellen of er een alternatief is voor zo’n beveiligingsvraag.

Tegelijk is de realiteit dat beveiligingsvragen nog niet in alle gevallen zijn te vermijden. Bijvoorbeeld als er nog verouderde systemen worden gebruikt waar beveiligingsvragen standaard zijn ingebouwd voor wachtwoordherstel of verificatie. En sowieso kan het nog een last resort zijn als alle moderne methodes niet beschikbaar zijn; als iemand zijn wachtwoord én zijn telefoon kwijt is, is de beveiligingsvraag soms nog de enige optie.

Hoe maak je ze veiliger?

Beveiligingsvragen kun je in de praktijk veiliger maken door goede vragen te gebruiken. Maar ook door slimme antwoorden te bedenken. Juist bij ervaringsvragen en persoonlijke voorkeuren houdt niemand je tegen om het antwoord iets complexer te maken met bijvoorbeeld een getal. Dus als ‘JongLeren’ jouw basisschool was, houdt niemand je tegen daar JongLeren123’ van te maken. Sowieso hoef je geen feitelijk juiste antwoorden te gebruiken, je kunt ook iets verzinnen. Tegelijkertijd is dan wel het risico dat je het antwoord vergeet, en dat wilden we juist voorkomen met zo’n beveiligingsvraag.

Best practices

We verzamelden wat best practices voor het gebruik van beveiligingsvragen:

Gebruik unieke antwoorden. Bij wachtwoorden eis je standaard een ander wachtwoord per applicatie. Gebruik dus ook bij verschillende toepassingen verschillende beveiligingsvragen.
Overweeg complexe of fake antwoorden te gebruiken. Op die manier maak je ze uniek en veel veiliger. Tegelijkertijd is dit dus wel een uitdaging want het wordt lastiger de antwoorden te onthouden.
Dat kun je oplossen door de antwoorden op beveiligingsvragen te bewaren in een wachtwoordmanager.
Wees niet te enthousiast met het delen van privégegevens op social media. Dat is overigens niet alleen belangrijk voor je beveiligingsvragen. In het algemeen begint digitale fraude bijna altijd met het in kaart brengen van iemands persoonlijke profiel aan de hand van alle online beschikbare informatie.
Gebruik meerdere vragen. Beveiligingsvragen zijn relatief kwetsbaar maar twee vragen is al weer veiliger dan één. Dat is meestal ook geen probleem omdat deze controlevragen voornamelijk worden gebruikt in bijzondere gevallen zoals wachtwoordherstel.
Je moet de opgeslagen antwoorden op beveiligingsvragen uiteraard net zo goed beveiligen als wachtwoorden. Sla ze niet op in platte tekst maar bijvoorbeeld als een hashcode.
Ook moet je nadenken over kwaliteitseisen voor de antwoorden. Met bijvoorbeeld een minimumlengte en een verbod op veelgebruikte termen als ‘wachtwoord’, ‘qwerty’ en ‘123’.

Betere alternatieven voor beveiligingsvragen

Het beste advies is echter zo weinig mogelijk gebruik te maken van beveiligingsvragen. En dat lukt gelukkig steeds beter.

We begonnen dit artikel met de verschillende authenticatiefactoren. In de meeste digitale omgevingen kun je nu meerdere factoren toepassen. Onze HelloID Access Management functionaliteit ondersteunt bijvoorbeeld ook Multi-Factor Authenticatie (MFA) met een smartphone authenticator of een Yubikey security key. Wachtwoordherstel met een beveiligingsvraag is dan niet meer nodig. Gebruikers ontvangen eenvoudigweg een herstel linkje in de mail, en die kun je als extra verificatie nog bevestigen met je smartphone of security key.

Bovendien proberen we het gebruik van wachtwoorden tot het minimum te beperken en ze gebruiksvriendelijker én veiliger te maken. Dan zul je ook minder vaak een wachtwoord hoeven te resetten. Dit zijn de belangrijkste maatregelen:

IAM omgevingen als HelloID ondersteunen Single Sign-On (SSO), waarbij je inlogt met één master wachtwoord. Van daaruit krijg je zonder wachtwoord toegang tot al je bedrijfsaccounts.
Voor de wachtwoorden die je nog wél zelf moet onthouden, kun je een wachtwoordmanager gebruiken. Dankzij zo’n digitale kluis hoef je nog maar één wachtwoord te onthouden en daarmee kun je alle andere wachtwoorden met één klik opvragen. Je kunt ze dus niet meer kwijtraken.
Tenslotte ondersteunen steeds meer applicaties zogeheten passkeys waarbij het inloggen verloopt met veilige public key encryptie en biometrische authenticatie. Dan zijn wachtwoorden helemaal niet meer nodig.

In moderne IAM omgevingen zijn beveiligingsvragen dus gelukkig steeds minder nodig. Onze access management functionaliteit verzorgt samen met identity providers zoals Entra ID voor een veilige en gebruiksvriendelijke toegangsbeveiliging met behulp van Single Sign-On en Multi-Factor Authenticatie. We vertellen je er graag meer over.