Categoriearchief: Veilig online

Hoe worden wachtwoorden gehackt?

Handboek IT-securityHet boek van de maand augustus is Handboek IT-security van Tom de Mulder. Dit boek is bedoeld voor zowel MKB’ers als zzp’ers die een actuele stand van zaken willen hebben over IT-security en hoe dat hun eigen IT-omgeving kan raken. Het boek biedt een overzicht en uitleg van de verschillende domeinen binnen IT-security en de gevaren die daar potentieel achter verscholen zitten. We publiceren deze maand wat voorproefjes uit het boek en interviewen auteur Tom de Mulder. Dit is het 2de voorproefje uit het boek: hoe worden wachtwoorden gehackt? Het 1ste voorproefje behandelde antivirussoftware: moet je naast Windows Defender nog extra antivirussoftware installeren? Een bespreking van het Handboek vind je HIER.

Hoe worden wachtwoorden gehackt?

Hoe slim je ook denkt je wachtwoord zelf te hebben gekozen, er zijn bijna 10 miljard mensen op de wereld, en het zal niet uniek zijn.

Mensen zijn immers heel erg slecht in het bedenken van willekeurige karakters, en de meeste wachtwoorden die mensen zelf kiezen zijn heel zwak en gemakkelijk te kraken. Elk jaar vallen verscheidene grote websites aan krakers ten prooi, en daarbij worden lijsten van miljoenen wachtwoorden gepubliceerd. Daaruit blijkt altijd dat het merendeel van de wachtwoorden die mensen gebruiken, gebaseerd zijn op bestaande woorden of namen,met slechts eenvoudige aanpassingen zoals het veranderen van enkele letters, of het toevoegen van een leesteken. Dit is echt onvoldoende, en je wachtwoord moet echt willekeurig gekozen zijn (random in het Engels). Lees verder Hoe worden wachtwoorden gehackt?

Locatiegeschiedenis uitzetten, maar niet heus…

In het hoofdstuk over privacy in het boek Veilig Online, dat eind deze maand verschijnt, wordt uitgelegd hoe je het opslaan van je locatiegegevens door Google – de Locatiegeschiedenis – kunt uitzetten. Naar nu blijkt houdt Google je locatie ook nog op andere manieren in de gaten en slaat die gegevens wel op. Locatiegeschiedenis uitzetten, maar niet heus!

Privacycheck bij Google

Google schrijft over hun Privacybeleid en de gegevens die ze over je opslaan: Wanneer u onze services gebruikt, vertrouwt u ons uw gegevens toe. We begrijpen dat dit een grote verantwoordelijkheid is en werken er hard aan om uw gegevens te beschermen en u er de controle over te geven. Dat klinkt nobel. Je kunt er bij deze URL alles over lezen wat Google daarmee bedoelt: http://bit.ly/2v0Nd6I. Ze schrijven verder: De gegevens die Google verzamelt en de manier waarop die gegevens worden gebruikt, zijn afhankelijk van de manier waarop u onze services gebruikt en hoe u de privacyopties beheert. Wil je zelf bepalen wat Google opslaat, dan ga je naar de Privacycheck. Lees verder Locatiegeschiedenis uitzetten, maar niet heus…

Amerikanen willen meelezen met Facebook

De Amerikaanse overheid wil meelezen met Messenger-verkeer. Momenteel is dat end-to-end sterk versleuteld. Mocht de inmiddels aangespannen rechtszaak worden gewonnen, dan gaat dat waarschijnlijk ook gevolgen hebben voor die andere app van Facebook: Whatsapp.

De Amerikaanse overheid is volgens Reuters zeer geïnteresseerd in het ontsleutelen van communicatie gerelateerd aan de MS-13 bende. Het vervelende is dat deze bende tevens het ‘paradepaardje’ van Trump is om te bewijzen dat de grenzen echt op slot moeten. De kans dat Facebook de zaak verliest is dan ook aanwezig. Heel vervelend, want het zou betekenen dat Facebook om technische redenen niet alleen de communicatie met bendeleden moet decrypten, maar ook die van alle andere gebruikers. En je raadt het al: die ‘bijwerking’ komt de overheid natuurlijk helemaal niet ongelegen. Lees verder Amerikanen willen meelezen met Facebook

Leer alles over IT-security en blijf veilig

Nog nooit in de geschiedenis was een item zo hot als IT-security. Vrijwel dagelijks lees je in het nieuws over hacks, gestolen privacy-gevoelige gegevens, computervirussen en meer digitale ellende. Vaak betreft het hightech materie, maar uitleg daarvan hoeft helemaal niet ingewikkeld te zijn. Dat bewijst het Handboek IT-Security van Tom de Mulder.

Lees verder Leer alles over IT-security en blijf veilig

Salarisdiefstal nieuwste vorm van fraude

Digitaal dievengespuis wordt steeds brutaler. De nieuwste vorm van fraude is om simpelweg het salaris van een werknemer op een criminele rekening te laten storten…

Het is zaak steeds vaker en steeds beter op te letten als het gaat om geld- en andere persoonlijke zaken. Digidieven worden steeds gehaaider en brutaler. De nieuwste truc werkt alsvolgt. Een crimineel logt in op uw mailaccount. Dat kan omdat hij of zij bijvoorbeeld online een verzameling mailadressen en wachtwoorden heeft gekocht of gestolen. Slim hoef je hier in ieder geval totaal niet voor te zijn. Vervolgens blader je als crimineeltje eens rustig door de mailberichten van het slachtoffer. Je komt er dan meestal snel achter waar de eigenaar van de gekraakte mailaccount werkt. Dan wordt het makkelijk: de digidief stuurt een mail naar de salarisadministratie van dat bedrijf met het verzoek om het geld op een andere rekening te storten. Mogelijk zijn ook andere gegevens als Sofinummer en (of) een nagemaakt paspoort in handen van de dief, zodat het openen van een bankrekening onder uw naam een eitje is. En dan begint de pret, want op de criminele rekening wordt jouw salaris gestort.

Lees verder Salarisdiefstal nieuwste vorm van fraude

Wifi voorwaarde voor vakantie?

Het schijnt dat de gemiddelde Europese vakantieganger zijn of haar keuze sterk laat afhangen van Wifi-beschikbaarheid. Maar is dat nou zo nodig?

In dit aardige artikel van De Telegraaf lezen we dat het overgrote deel van de Europese vakantiegangers de bestemming erg laat afhangen van het wel of niet beschikbaar zijn van Wifi. Enerzijds is dat natuurlijk te begrijpen, je moet immers je social media-accounts bijhouden en ook de baas wil vast nog wel wat van je gedurende de vakantie. Bereikbaar zijn wordt tegenwoordig als standaard verondersteld. Of dat een goede of slechte zaak is laten we wijselijk in het midden. Wel apart is het dat vakantiegangers bij voorkeur kiezen voor een bestemming met Wifi. Zeker als het gaat om een adres binnen de Europese Unie is dat eigenlijk niet echt noodzakelijk meer. Over de grens mobiel internetten kost immers niks extra’s meer.

Lees verder Wifi voorwaarde voor vakantie?

Veiligheid voor alles met een U2F-authenticatiesleutel

Wat is er eigenlijk nog veilig op internet? Een ingewikkeld wachtwoord kan uiteindelijk toch gekraakt worden en bij tweestapsverificatie via sms kunnen je sms’jes onderschept worden voordat jij ze binnenkrijgt. Wat te doen? Met een hardware authenticatiesleutel – gebaseerd op U2F – kun je bij sommige diensten veilig tweestapsverificatie gebruiken, zonder dat een hacker met je mee kan kijken. Veiligheid voor alles met een U2F-authenticatiesleutel.

U2F-authenticatiesleutel

Een U2F-authenticatiesleutel ziet er uit als een USB-stick maar is het niet. Met zo’n hardware-sleutel kun je een aantal van je accounts en diensten beveiligen. Die beveiliging is gebaseerd op Universal 2nd Factor (U2F), een authenticatie standaard die werd ontwikkeld door Google en Yubico. De standaard wordt nu onderhouden door de FIDO Alliance, waarbij FDO staat voor Fast Identity Online. Naast Google en Yubico zijn er allerlei andere bedrijven bij aangesloten, die de manier van tweestapsverificatie ondersteunen en/of van die hardware-sleutels produceren. Lees verder Veiligheid voor alles met een U2F-authenticatiesleutel

Tweestapsverificatie met een U2F Key

Al die moeite om je accounts en diensten te beveiligen met tweestapsverificatie en dan nóg is het niet goed. Het is soms om moedeloos van te worden. Heb je net iemand overtuigd om voor zijn of haar DigiD tweestapsverificatie met sms te gaan gebruiken, lees je weer dat het met een sms slechts ‘een beetje’ veiliger is dan alleen inlognaam en wachtwoord.

Onderschepte sms’jes

Ik kreeg een mailtje van Dashlane mijn wachtwoordmanager. Als ik toevallig een account had bij Reddit, dan moest ik meteen mijn inloggegevens aanpassen want hackers hadden bij Reddit allerlei gegevens buitgemaakt. Nu heb ik daar geen account, maar dit soort dingen interesseert me, dus ik zocht verder. Hoe hadden ze bijvoorbeeld bij Reddit ingebroken? Op ArsTechnica las ik dat het via de accounts van personeel van Reddit was gegaan. Die accounts waren beschermd met tweestapsverificatie met als tweede stap een code die via sms binnenkwam, maar die sms’jes waren onderschept. Op die manier werd de beveiliging omzeild. Lees verder Tweestapsverificatie met een U2F Key

DigiD weer onder aanval

DigiD wordt momenteel weer aangevallen door hackers. De site is niet tot nauwelijks bereikbaar.

Het was vanmiddag – net als gisteravond – weer raak: DigiD werd getroffen door een DDoS-aanval. Overigens geldt bij dergelijke aanvallen dat er géén persoonlijke gegevens buit gemaakt worden. Wat er wel gebeurd is dat een cluster aan computers steeds weer probeert in de loggen bij een website of simpelweg duizenden keren per seconde een pagina probeert te openen. Het gevolg is dat gewone, legitieme bezoekers geen kans meer krijgen. Dat heet DoS ofwel Denial of Service. Een gekraakte serie computers die op commando van een hacker of verveelde puber zo’n aanval doet heet Distributed Denial of Service ofwel DDoS.

Lees verder DigiD weer onder aanval

Dashlane 6.0 met ingebouwde VPN

Dashlane is voor de mij dé wachtwoordmanager. Jaren geleden las ik een paar besprekingen van Dashlane en ik was om. Niets ten nadele van andere wachtwoordmanagers als 1Password en LastPass, maar ik ben gewend aan de interface van Dashlane en die vind ik nu eenmaal prettig. En ze bieden ook veel. Deze week kwam er een nieuwe versie van Dashlane – Dashlane 6.0 – met een aantal aardige vernieuwingen. Ingebouwde VPN is daar een van.

VPN

Dashlane 6.0
De ‘gratis’ VPN-verbinding van Dashlane 6.0.

Met VPN kun je een veilige internetverbinding leggen als je bijvoorbeeld in een café verbinding maakt met het aldaar aanwezige wifi-netwerk. Zoals bekend is zo’n openbare wifi-verbinding niet erg veilig. Dat is dé plek om je gegevens te onderscheppen. Even rustig digitaal bankieren is niet aan te raden. Als je dat echter doet via een versleutelde VPN-verbinding is er niets aan de hand. Jouw verbinding is veilig. Er zijn allerlei aanbieders van VPN’s en die kosten geld. Als je toch al betaald hebt voor Dashlane, omdat je de wachtwoorden op al je apparaten beschikbaar wilt hebben, is deze nieuwe VPN-mogelijkheid in Dashlane 6.0 een beetje gratis. 🙂 Lees verder Dashlane 6.0 met ingebouwde VPN