Een toenemend aantal diensten is online te vinden. Van boodschappen doen tot bankzaken regelen. Veiligheid neemt online dan ook een steeds belangrijkere rol in.

Dit artikel gaat in op twee aspecten van online veiligheid; toegang tot de site en bewustwording van de gebruiker.

Toegang tot de site

Er zijn inmiddels veel websites die van gebruikers een registratie vragen. Na registratie is er toegang tot een eigen gedeelte op de website, of kan men gebruik maken van een bepaalde dienst. Er zijn verschillende manieren van toegang verschaffen. Hoe belangrijker de content, hoe zwaarder het middel zou moeten zijn.

Zwakke toegang

Toegang enkel op basis van kennis van de gebruiker. Een veelgebruikt voorbeeld van zwakke toegang is een gebruikersnaam en een wachtwoord. Veel sites gebruiken een registratie. Omdat het er zo veel zijn, is het voor de gebruiker lastig om voor elke site een goed wachtwoord te kiezen. Je ziet dan ook vaak dat de gebruiker voor elke site detzelfde toegangscombinatie gebruikt. Vaak wordt een wachtwoord gekozen dat te maken heeft met de eigen omgeving en door de eigen omgeving ook gemakkelijk te raden is.

Voordeel: snel te realiseren, gemak voor de gebruiker, goedkope toegangsmanier
Nadeel: zwakke wachtwoorden zijn gemakkelijk te achterhalen, te onderscheppen door een virus of worm.

Enkele tips voor wachtwoorden (bron:  NRC NEXT 20-10-2008, wachtwoord telkens weer naam van huisdier) van de Amerikaanse expert Bill Cheswicks op het gebied van wachtwoorden:

  • Neem eens niet de naam van je kind en hanteer drie niveaus van wachtwoorden: voor onbelangrijke sites (bijvoorbeeld nieuwssites); voor sites die ‘lastig’ zijn als iemand er misbruik van maakt (veilingsites, onlinewinkels); voor belangrijke sites (voor bank- en creditcardzaken).
  • Schrijf de wachtwoorden op die je niet kunt onthouden. Maar schrijf ze niet letterlijk op: gebruik een hint of een vraag waardoor je weet om welk wachtwoord het gaat. Cheswick waarschuwt voor het bewaren van wachtwoorden in de browser. Iemand die de controle verkrijgt over de pc heeft zo simpel toegang tot meer data. Cheswick: „Dat is ook het geval als een hacker een keylog-programma installeert: dat stuurt je toetsaanslagen ongemerkt door.”

Sterke toegang

Toegang gebaseerd op kennis en bezit. De gebruiker krijgt een extra beveiligingsmiddel waarop een pincode zit. Deze toegang wordt veel gebruikt door instellingen zoals banken. De gebruiker weet de pincode van het beveiligingsmiddel, de bank weet welk beveiligingsmiddel toegang kan geven tot de persoonlijke omgeving van de gebruiker. Het beveiligingsmiddel geeft voor iedere keer inloggen nieuwe toegangsgegevens.

Voordeel: de toegangsgegevens zijn eenmalig bruikbaar, onderscheppen door virus of worm heeft geen zin, om toegang te krijgen moet men behalve de pincode te weten ook fysiek het beveiligingsmiddel in handen krijgen.
Nadeel: het is duurder voor de site-eigenaar,  er is minder gebruikersgemak doordat gebruiker het beveiligingsmiddel bij zich moet hebben en het werkt niet tegen man-in-the-middle aanval (hierover later meer)

Sterke toegang plus

Two-factor authenticatie. Dit is een combinatie van kennis, bezit van een beveiligingsmiddel en een fysiek kenmerk zoals een vingerafdruk, een irisscan, het stempatroon of de locatie waar je je bevindt. Je hebt bijvoorbeeld een kaartlezer nodig, een pinpas, de pincode hiervan en je moet er je vinger op leggen om het hele gebeuren te activeren.

Voordeel: een extra voordeel ten opzichte van de normale sterke toegang is dat het beveiligingsmiddel alleen door de rechtmatige eigenaar kan worden gebruikt.
Nadeel: zie hiervoor de nadelen van de normale sterke toegang.

Man in the middle

In dit geval wordt het beveiligingsmiddel netjes door de rechtmatige gebruiker bediend, maar is zijn pc gekraakt met een Trojan. De fraudeurs laten de gebruiker een nep-pagina zien en zijn ondertussen zelf op de echte pagina aanwezig. Zij zien wat de de gebruiker op de neppagina typt en typen op de echte pagina deze gegevens in. Hiermee kunnen zij zich rechtmatig toegang verschaffen tot de site. De site ziet niet wie er zich achter het toetsenbord bevindt.

Bewustwording gebruiker

Veiligheid is een bewustwording van de risico’s door de gebruiker. De zwakste schakel bij veiligheid is over het algemeen de gebruiker zelf. Dit was voor de komst van internet al het geval en dat is het nu nog steeds. Je kunt 20 sloten op je deur hebben, maar als je de deur opent, dan is de dief alsnog binnen. Denk aan de wolf en de zeven geitjes.

  • Enkele tips:
    Geef je site een eigen identiteit, zorg er voor dat herkenbaar is waar de gebruiker zich bevindt. Met content kun je dit basaal doen door in een herkenbare stijl te schrijven die jouw merkwaarden bijvoorbeeld vertegenwoordigd.
  • Maak je gebruikers bewust van de risico’s, vertel ze waar ze op moeten letten en waar ze met vragen terecht kunnen.
  • Maak gebruikers alert op het fenomeen phishing. Ook hier geldt weer dat de gebruiker degene is die zou moeten kunnen opmerken of er sprake is van een fake-site. Door gebruik te maken van specifieke content in een bepaalde stijl, maak je het de hackers toch weer iets moeilijker.
  • Je kunt ook kiezen voor persoonlijke en relevante content of een zelf in te stellen pagina. In dat geval wordt het helemaal lastig om de website nog na te bootsen. Hoewel de inloggegevens wellicht snel ‘gejat’ zijn, zal de gebruiker direct opmerken dat hij/zij niet de eigen omgeving is ingelogd. Dit geeft direct een sterk signaal dat er iets aan de hand is.

Tot slot
Zonder adequate computerbeveiliging op de pc van de gebruiker, loopt deze in alle genoemde gevallen een risico.

Tips:

Installeer een virusscanner en hou deze up to date
Installeer een firewall om kwaadwilligen buiten de deur te houden
Installeer alle updates op je browser en je OS die Mickeysoft je aanbiedt.

0 Shares:
2 comments
  1. Wat je zegt klopt inderdaad. De term Sterke toegang plus heb ik er zelf van gemaakt, omdat het een combinatie van kennis en bezit blijft. Eenmaal kennis en tweemaal bezit in de vorm van een token en een biometrisch kenmerk. Ik heb het niet three-factor genoemd omdat er nog steeds 'kennis' en 'bezit' is.

  2. Leuk stuk! Mooie samenvatting van de mogelijkheden.
    Inhoudelijk puntje: Je hebt het bij 'Sterke toegang plus' over two-factor authentication, maar volgens mij is ook alles wat je noemt onder 'Sterke toegang' daaronder te scharen. Two-factor gaat (in de basis) uit van twee factoren, kennis (PIN) en bezit (token, bio). Biometrics is een variant op two-factor authentication <a href="http://(http://en.wikipedia.org/wiki/Two-factor_authentication#Biometrics)” target=”_blank”>(http://en.wikipedia.org/wiki/Two-factor_authentication#Biometrics). Zoals jij het beschrijft heeft het meer weg van three-factor authentication :D

Comments are closed.

Dit artikel is 2.997 keer gelezen