Richard Duinmayer Blogger / auteur
Online marketing, Online beveiliging, Quantified self, Automatisering

Hoe zorg je dat je (bijna) niet gehackt kan worden?



Like it? Share it!






Ik moet eerlijk toegeven dat ik al eens eerder over dit onderwerp heb geschreven. Op een andere blog. Alhoewel het toen als tweeluik was bedoeld is er maar één deel van gepubliceerd. Nu integreer ik die twee losse delen tot 1 artikel. Het is een beetje een longread (ongeveer 8 minuten) geworden dus pak een kop koffie of een kopje thee en lees daarna rustig verder zou ik zeggen.

Ik schrijf nu weer over dit onderwerp omdat er veel veranderd in de digitale wereld. Een steeds veranderende wereld. Een wereld waar we veel meer afhankelijk zijn geworden van andere mensen. Andere mensen die prachtige websites en apps maken voor ons. Maar hoe gaan die andere mensen met onze gegevens om? Hoe gaan andere mensen onze gegevens beschermen tegen kwaadwilligen?

Ik overdrijf niet door te zeggen dat veel websites en applicaties gehackt worden de laatste tijd. Misschien valt het in de huidige tijd ook niet 100% tegen te gaan maar als maker van zo'n app of website moet je je wel voor 100% in willen zetten om gegevens van andere te beschermen. Zeker als het gaat om betalingsgegevens of om privacy-gevoelige gegevens.

De gestolen gegevens worden gebruikt om veel stoute dingen mee te doen bijvoorbeeld om weer accounts op andere websites te hacken omdat mensen vaak hetzelfde wachtwoord en e-mailadres of gebruikersnaam gebruiken. Vooral het laatste maakt het erg makkelijk voor criminelen om jullie helemaal leeg te plukken. Naast financiële schade kan ook je identiteit gejat en misbruikt worden. Een crimineel kan jouw e-mailadres gebruiken om toegang te krijgen tot veel websites / accounts door te doen alsof de persoon zijn wachtwoord is vergeten hij krijgt dan via mail een nieuw wachtwoord de crimineel kan ook misbruik maken van de door jouw gehoste websites door er politieke uitingen op te zetten, porno op te zetten, malware op te zetten of dienen als landingspagina van een phisingsmail.

Hieronder een lijstje met bekende / grotere websites die afgelopen jaren zijn gehackt. Grote en enge lijst hé?

Wat kun je zelf doen om jouw online beveiliging te maximaliseren?

Er zijn een paar voorwaarden waar je aan moet voldoen om er zelf voor te kunnen zorgen dat je niet een te gemakkelijke prooi wordt van cyber-criminelen en dat ze dus niet met jouw identiteit aan de haal kunnen gaan.

  • Zorg dat de wachtwoorden voor elke applicatie en / of website anders zijn (ja allemaal anders!)
  • Zorg dat de wachtwoorden een willekeurige (niet te herleiden naar iets of iemand) set aan tekens bevat. Met meerdere hoofdletters, meerdere normale letters en meerdere cijfers. Laat ze daarom dan ook genereren via een tooltje
  • Zorg dat je een klein deel van die wachtwoorden in je hoofd hebt of op papier (de complete wachtwoorden zijn dus niet volledig digitaal opgeslagen en kunnen dus ook niet gebruikt worden zonder dat ene deel)
  • Zorg dat wachtwoorden 12 of meer karakters bevatten
  • Zorg dat je een stuk hardware hebt om een extra laag van beveiliging te creëren (bijvoorbeeld een vingerscanner, irisscanner of een andere USB token). Dit zorgt er ook weer voor dat niemand anders jouw wachtwoorden kan gebruiken.
  • Sla geen wachtwoorden op in je webbrowser of in een niet-geschikte applicatie of app

Nu zul je vast en zeker denken dat het voldoen aan al die eisen nooit van zijn leven zal gaan lukken. Niemand kan tientallen verschillende wachtwoorden gaan onthouden. En het enige dat ik daarop te zeggen heb is "Ja dat klopt. Dat kan inderdaad niet".

Er zijn echter wel manieren om dit voor elkaar te krijgen zonder dat je zelf al die wachtwoorden moet onthouden of dat je terug valt op één wachtwoord voor alle accounts.

Ik ben zelf de afgelopen tijd bezig geweest om via een combinatie van Yubikey en LastPass mijn online beveiliging naar een hoger plan te tillen. Zodat ik zelf aan die voorwaarden (zoals hierboven genoemd) kan voldoen en dat ik niet het slachtoffer wordt van criminelen.

Een Yubi wat?

Een Yubikey is kortweg een soort USB-stick die je in je computer, tablet of smartphone stopt (al dan niet via een hulpmiddel). Hierna kun je op een soort knopje drukken om bepaalde karakters in te voeren in een tekstveld op je computer of op het web. 
Deze karakters kun je eenvoudig zelf in twee configuraties indelen. 
De eerste configuratie die wordt aangeraden is de One Time Password (OTP) configuratie. Hiermee wordt een flinke rits met random tekens gegenereerd waarbij je kunt inloggen op specifieke websites, deze websites moeten dit mechanisme wel ondersteunen. 
Voor de tweede configuratie kun je voor een aantal andere standaardopties kiezen maar de meeste mensen kiezen hier juist voor een vast wachtwoord. Dit wachtwoord (samen met een gedeelte van het wachtwoord dat in je hoofd zit) kan gebruikt worden voor bijvoorbeeld een wachtwoordenkluis als LastPass of een andere wachtwoordenkluis. Het voordeel hiervan is dat het wachtwoord bestaat uit twee gedeeltes. 1 kort gedeelte welke je makkelijk kunt herinneren (bijvoorbeeld 4 cijfers of 4 letters) en een ander gedeelte dat wordt aangevuld voor jou via de Yubikey. Samen maakt dit een enorm sterk wachtwoord. En bovendien heb je geen toegang tot je wachtwoordenkluis met alleen die Yubikey. Als je je Yubikey kwijt raakt heb je wel een uitdaging.

LastPass wat?

LastPass is een online wachtwoordenkluis. Één grote kluis voor al jouw wachtwoorden die je gebruikt op het internet. One kluis to rule them all. Behalve het wachtwoord voor de toegang tot LastPass natuurlijk, het masterwachtwoord. (zie hierboven). LastPass werkt met browserextensies om bij te houden waar je je moet aanmelden of waar je je registeert voor bepaalde websites. LastPass slaat de link, je gebruikersnaam en een wachtwoord op. Zodra jij je ergens online registreert kun je door LastPass een moeilijk (lees niet te raden en moeilijk te kraken) wachtwoord genereren. Doordat je dit wachtwoord opslaat in je kluis hoef je het wachtwoord zelf niet op te schrijven of te onthouden. Dit doet het programma voor jou. Als je je toegang kwijt raakt (omdat je je masterwachtwoord kwijt bent) tot LastPass heb je wel een uitdaging.

Hoe kan het nog veiliger?

Het kan allemaal nog veel veiliger natuurlijk door ook iets biometrisch te gebruiken om te bewijzen dat jij daadwerkelijk de persoon bent die je zegt dat je bent. Criminelen moet dan 4 zaken van je hebben om toegang te krijgen tot je wachtwoordenkluis.

  • toegang tot je wachtwoordenkluis
  • toegang tot het korte wachtwoord in je hoofd, iets wat je kent
  • toegang tot je hardtoken, iets wat je bij je hebt
  • toegang tot een afdruk van je vinger, je stem, je iris, iets van DNA, iets wat aan je vast zit

Haken, ogen en uitdagingen?

Aan de geschetste manier van het gebruiken van een online wachtenwoodenkluis en een YubiKey zitten natuurlijk wel wat haken en ogen en wat uitdagingen.

  • Wat nou als je de Yubikey (tijdelijk) kwijt of vergeten bent?
  • Wat nou als je via je smartphone of tablet bij apps of websites moet inloggen en je dus je Yubikey + LastPass nodig hebt voor toegang?
  • Wat nou als je je masterwachtwoord voor LastPass (je wachtwoordenkluis) kwijt bent?

Wat nou als je de Yubikey (tijdelijk) kwijt of vergeten bent?

In theorie kun je dan niet inloggen bij je wachtwoordenkluis van LastPass (anderen ook niet met alleen de YubiKey). In de praktijk kun je dus helemaal niets zonder toegang tot je wachtwoordenkluis.

Tijdens het instellen van de Yubikey kun je de configuratie los opslaan. Dit maakt het mogelijk om deze configuratie op een andere Yubikey in te laden. Je moet deze configuratie dus ook wel ergens veilig opslaan.

Om eerlijk te zijn heb ik de Yubikey nog niet ingesteld bij LastPass. Ik heb dit één keer geprobeerd en toen kon ik niet meer inloggen omdat LastPass mijn YubiKey niet herkende. Het is een stuk minder veilig maar ik heb voor LastPass nu nog een wachtwoord in mijn hoofd.

Wat nou als je via je smartphone of tablet bij apps of websites moet inloggen en je dus je Yubikey + LastPass nodig hebt voor toegang?

Met één extra hulpmiddel kan dit voor smartphones met micro-usb aansluiting. Yubikey in adapter en adapter in telefoon. Samen met de LastPass app zou je dezelfde beleving hebben als op een laptop of desktop. 
Dit hierboven is natuurlijk de meest ideale situatie ik gebruik op dit moment de LastPass app op mijn mobiel en tablet. Het werkt echt super. Je kunt hiermee uit de voeten op de meeste websites. Sommige websites en apps hebben een extra handeling nodig maar dit valt te over zien. Nogmaals het wachtwoord tot mijn wachtwoordenkluis zit in mijn hoofd en dan kun je de app vrij gemakkelijk gebruiken.

Wat nou als je je masterwachtwoord voor LastPass (je wachtwoordenkluis) kwijt bent?

De enige optie die ik zie is om ergens het sterke wachtwoord voor LastPass op te slaan of uit te printen en ergens neer te leggen. Noteer niet het (korte) wachtwoord dat in je geheugen zit bij die andere wachtwoorden zodat niemand het volledige wachtwoord heeft! Het is wel verstandig als derden ooit bij je je gegevens moeten dat je dan ook dit wachtwoord kunt geven.

Samenvatting

De voordelen en ook eventuele nadelen, in mijn opinie, van Yubikey in combinatie met LastPass even op een rijtje.

Voordelen:

1 Yubikey to rule them all
1 Hoofdwachtwoord voor je wachtwoordenkluis
1 Gedeelte van bovengenoemde wachtwoord in eigen geheugen
Werkt ook op een smartphone of tablet

Nadelen:

1 Yubikey to rule them all
Ergens is er een backup YubiKey
Ergens is er een los wachtwoord voor LastPass
Je hebt een adapater nodig tussen YubiKey en je smartphone of tablet

Persoonlijke conclusie

Voor mijn gevoel heb ik alle losse eindjes dicht geknoopt en ben ik met een gerust hart Yubikey en LastPass volledig gaan gebruiken.

 

Vond je dit artikel nuttig, informatief, leuk of spannend? 

Deel hem dan ook met vrienden, familie en kennissen per e-mail of deel hem via een sociaal netwerk. Mijn dank is zeer groot.



Wat vind jij? Laat een reactie achter

Like it? Share it!








comments powered by Disqus

Onderwerp: Online beveiliging