Oude telefoonnummers bij 2FA: het lek dat niemand opmerkt

Veel MKB-accounts hangen nog aan telefoonnummers van oud-medewerkers of een 06 die je drie jaar geleden hebt opgezegd. Zo ruim je dat in een middag op.

Tweestapsverificatie (2FA) is inmiddels overal: bij je bank, je boekhoudpakket, Microsoft 365, je webshop-platform. Mooi. Maar er zit een achterdeur die bij veel MKB-bedrijven jaren openstaat: het telefoonnummer dat je ooit hebt opgegeven als reservenummer of voor sms-codes. En dat nummer is vaak niet meer van jou — of niet meer van wie het zou moeten zijn.

Waarom dit een probleem is

Een 06-nummer dat je opzegt, verdwijnt niet uit de lucht. Na een wachttijd (meestal 3 tot 6 maanden bij Nederlandse providers) gaat het terug in de pool en wordt het opnieuw uitgegeven. De nieuwe eigenaar krijgt dan ook jouw sms'jes — inclusief inlogcodes en wachtwoordherstel-links.

Concreet zien we deze situaties vaak bij MKB-klanten:

• De 06 van de oud-boekhouder staat nog bij het accountantspakket als noodnummer.
• Een zakelijke telefoon werd ingeruild, het nummer ging mee naar privé van de medewerker, en die is inmiddels uit dienst.
• De directeur heeft een tweede 06 voor privé, gebruikt die ooit voor "alleen even snel" een herstel-sms, en is dat vergeten.
• Het algemene 06-nummer van de receptie staat overal als backup, terwijl het toestel rondzwerft.

Het gevolg: iemand met de juiste timing en het juiste nummer kan via "wachtwoord vergeten" + sms-code binnenkomen. Geen hacken nodig.

Het tweede probleem: sms is sowieso de zwakste 2FA

Naast oude nummers is sms-2FA op zichzelf de minst veilige variant. SIM-swapping (waarbij iemand zich bij je provider voordoet als jou en een nieuwe SIM aanvraagt) gebeurt in Nederland regelmatig genoeg om er rekening mee te houden. Een app-based code (Microsoft Authenticator, Google Authenticator, 1Password) of een hardware-sleutel is altijd beter.

Toch is sms vaak nog de enige optie — bij banken, bij sommige overheidsdiensten, bij oudere portalen. Dan is het extra belangrijk dat het nummer dat eraan hangt, écht van de juiste persoon is.

De opruimactie: zo pak je het aan in een middag

1. Maak een lijst van accounts met 2FA

Niet alleen Microsoft 365 of Google Workspace. Denk ook aan:

• Boekhoudpakket (Exact, Moneybird, Twinfield)
• Bank-portalen en creditcard-omgevingen
• Webshop / CMS (Shopify, WooCommerce, WordPress)
• Domeinregistrar en hostingpartij
• E-mailmarketing (Mailchimp, Spotler)
• Cloudopslag (Dropbox, OneDrive, Google Drive)
• CRM en projectsoftware
• Sociale media-accounts van het bedrijf

Een wachtwoordmanager geeft je vaak in één klik het overzicht.

2. Log in en controleer per account de "security" of "beveiliging"-sectie

Je zoekt naar drie dingen:

• Welke telefoonnummers staan er als 2FA-methode of herstel-optie?
• Welke e-mailadressen staan als herstel-optie?
• Welke backup-codes zijn er ooit gegenereerd (en heb je die nog ergens veilig)?

3. Schrap alles wat je niet kunt thuisbrengen

Twijfel je over een nummer? Weg ermee. Als het belangrijk was, voeg je het opnieuw toe. Beter even een omweggetje dan een onbekende lijn open laten staan.

4. Vervang sms door een authenticator-app waar mogelijk

Bij vrijwel alle grote diensten kun je de sms-methode uitschakelen zodra er een authenticator-app of hardware-sleutel actief is. Doe dat ook echt — anders blijft sms een fallback die alles ondergraaft.

5. Leg vast wie welke methode heeft

Een simpel overzicht in een spreadsheet (of liever in je wachtwoordmanager als notitie) is genoeg: per account de eigenaar, de 2FA-methode, en het nummer of e-mailadres dat als backup dient. Bij offboarding van een medewerker pak je dit lijstje erbij — net zoals je een vault-overdracht doet.

Wat te doen bij elke personeelswissel

Maak van "2FA-nummers nalopen" een vast onderdeel van je offboarding-checklist, samen met het intrekken van toegangen en het overdragen van wachtwoorden. Het kost vijf minuten als je het structureel doet, en uren als je het achteraf moet uitzoeken bij een incident.

Tip: doe dit ook bij een rolwissel binnen het bedrijf. Een medewerker die van de financiële afdeling naar marketing gaat, hoort geen herstel-nummer meer te zijn voor de bankportal.

De jaarlijkse review

Zet één keer per jaar (bijvoorbeeld bij de zomerschoonmaak of in januari) een halve dag in de agenda om alle 2FA-instellingen langs te lopen. Combineer het met je toegang-check en je verweesde-accounts-opruiming. Dan vang je in één klap drie risico's tegelijk af.

Hulp nodig?

Loop je vast in het uitzoeken welke accounts er allemaal zijn, of weet je niet zeker of je 2FA-opzet stevig genoeg is? We helpen MKB-bedrijven hier regelmatig mee via onze 2FA-implementatie en een bredere toegang-check. Geen lange trajecten — meestal een paar uur werk en je weet weer waar je staat.