Vertrouwde apparaten (Remember device bij 2FA)

3 min leestijd

Als u 2FA hebt ingeschakeld en bij het inloggen vanaf uw gebruikelijke pc of mobiel de zescijferige code wilt overslaan, vink dan "Onthoud dit apparaat" aan - gedurende 30 dagen vragen wij u niet opnieuw om de TOTP.

Hoe het werkt

1. Bij de eerste geslaagde 2FA-login op het apparaat vinkt u "Onthoud dit apparaat" aan
2. Wij slaan in de browser een HTTP-only cookie op met een ondertekend token (HMAC, niet te manipuleren)
3. Bij de volgende login (zelfde browser, zelfde apparaat) vinden we deze cookie en slaan we de 2FA-stap over
4. Na 30 dagen verloopt het token en moet u de TOTP opnieuw invoeren

Beheer van vertrouwde apparaten

In Instellingen -> sectie Beveiliging -> Vertrouwde apparaten ziet u de lijst:

• Naam van het apparaat (uit de user-agent - bijvoorbeeld "Chrome op Windows 11")
• IP en land van de laatste login
• Datum van toevoeging en laatste gebruik
• Knop Verwijderen - trekt het vertrouwen direct in (de cookie wordt bij het volgende verzoek geweigerd)

Wanneer een apparaat verwijderen

• Als u hebt ingelogd op een vreemde of openbare pc (café, bibliotheek)
• Als u uw laptop of mobiel hebt verloren of verkocht
• Als u in de lijst een apparaat ziet dat u niet herkent (inclusief IP / land)

Beveiligingsmaatregelen

• HMAC-handtekening: het token is ondertekend met een server-side geheim - een aanvaller kan zonder het geheim te kraken geen geldige cookie maken
• HTTP-only: JavaScript op de pagina ziet de cookie niet (bescherming tegen XSS-exfiltratie)
• Secure flag: de cookie wordt alleen via HTTPS verzonden
• Per account: het token bevat het user ID - een cookie die uit account A is gestolen werkt niet op account B
• Automatische vervaldatum: 30 dagen geldig, daarna is opnieuw TOTP invoeren verplicht
• Bij wachtwoordwijziging (via "Wachtwoord vergeten" of een reset) worden alle vertrouwde apparaten automatisch verwijderd - een aanvaller met de cookie kan 2FA dan niet meer overslaan