Ecologieforum

Zegt mijn slimme brouwser. Inderdaad geen slotje. Is dat te fixen Kockie?

Geen idee, nog niet onderzocht. Komt op mijn "todo lijst". Hulp is welkom.

Hiervoor is een SSL-certificaat nodig. Hiermee kan zowel de identiteit van de server worden geverifieerd (om phishing te voorkomen) als de verbinding worden versleuteld (om onderscheppen van gegevens te voorkomen). Deze SSL-certificaten worden tegen betaling door autoriteiten uitgegeven, of kun je zelf genereren (de zogenaamde "self-signed" certificaten). Deze laatste manier maakt wel versleuteling mogelijk, maar geeft natuurlijk geen garantie dat de identiteit van de server klopt. Daarnaast geeft de browser een popup met waarschuwing, wat tot meer ongerustheid zal leiden dan een verbeterd gevoel van veiligheid. Sinds kort is er een instantie die gratis certificaten uitdeelt (https://letsencrypt.org/), maar zonder uitvoerige controle van de identiteit.

Technisch is het een fluitje van een cent, maar het kost meestal wel gewoon euro's. De vraag is of het van belang is voor dit forum. Het zou natuurlijk wel netjes zijn om wachtwoorden te versleutelen, maar het ergste wat er kan gebeuren is dat je gebruikersnaam en wachtwoord door een ander wordt onderschept (als je bijvoorbeeld inlogt via een publieke hotspot. Dan zou de ander onder jouw naam kunnen posten. Vervelender is het als je dezelfde gebruikersnaam en wachtwoord voor meerdere sites gebruikt, zoals e-mail. Gevaar voor phishing is er denk ik niet, omdat dat alleen lonend is als er transacties plaatsvinden zoals bij banken en webshops.

Daarnaast vraag ik me af of het zonder meer mogelijk is voor dit forum. Voor zover ik kan nagaan wordt het forum gehost door XS4ALL middels "shared webhosting" en voor een certificaat is "dedicated hosting", dus een eigen server, nodig. En dan zou je speciaal voor een certificaat een (veel) duurder pakket moeten aanschaffen.

Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?

Joepie schreef:Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?

nee.

Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar

Paul Joosten schreef:Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar

lieve dromerige dommelaars. Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd.
Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.

Ruuben schreef:Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd. Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.

Inderdaad. Beveiligingsmaatregelen neem je in verhouding tot de mate waarin iets beschermd zou moeten worden. Zo is inloggen met gebruikersnaam en wachtwoord onvoldoende als het om persoonsgegevens gaat, zoals bijvoorbeeld je medische dossier (dan is er ten minste tweefactor authenticatie nodig, zoals wachtwoord + sms of token). Maar op dit forum gaat het om openbare gegevens, die voor iedereen in te zien zijn en dus niet afgeschermd hoeven te worden. Waarschijnlijk is de enige reden om te moeten inloggen het voorkomen dat bots het forum platspammen. Een SSL-certificaat biedt zoals gezegd extra beveiliging, maar brengt ook veel meer kosten met zich mee.

Om je vergelijking door te trekken: je pinpas afgegeven of rijden zonder gordel doe je niet, maar je laat de krant gewoon in een brievenbus bezorgen in plaats van in een kluis. Een kluis biedt wel extra beveiliging tegen diefstal van de krant, maar is aanzienlijk duurder dan een brievenbus. Omdat het een krant met openbare en niet gevoelige informatie betreft, is dat te verdedigen.

Paul Joosten schreef:Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden.

Ik gebruik Keepass. Lastpass is weliswaar handig en integreert goed met je browser, maar is niet (gratis) te gebruiken op mobiele apparaten. Keepass is open source, voor alle platformen gratis te krijgen en integreert ook met je browser.

Ruuben schreef:

Paul Joosten schreef:Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar

lieve dromerige dommelaars. Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd.
Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.

Waar heb ik dat beweerd? Ik zeg alleen maar dat het altijd beter is om voor elke site een ander wachtwoord te gebruiken.

En mijn vraag ging alleen over deze site.

Ik lees verder veel theorie over risico's of kansen, al dan niet voorzien van metaforen, maar ik lees nergens een sluitend antwoord op de oorspronkelijk gestelde vraag.

Merci voor de tip over Lastpass/Keepass. Het loopt zo gaandeweg de spuigaten uit met die wachtwoorden. Ik tel er met gemak al 30.

Ruuben schreef:

Joepie schreef:Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?

nee.

Ja. Mits het een moeilijk te raden wachtwoord is. Dus niet "123456", "qwerty" of "wachtwoord".

Joepie schreef:En mijn vraag ging alleen over deze site.

Ik lees verder veel theorie over risico's of kansen, al dan niet voorzien van metaforen, maar ik lees nergens een sluitend antwoord op de oorspronkelijk gestelde vraag.

Een sluitend antwoord is er ook niet, omdat geen enkele beveiliging waterdicht is. Meer beveiliging zou niets uithalen als er bug in de forumsoftware zou zitten die kan worden uitgebuit.

Nu is het forum wel beveiligd met een éénfactor authenticatie (gebruikersnaam en wachtwoord), maar niet versleuteld en zonder token zoals je gebruikt voor je bank. Daar kan ik in dit geval mee leven.

Tot een administrator eenvoudig gehackt wordt.

Of een mod. Maar dat is helemaal niet interessant; wat is hier van waarde (lees: privacy) te halen? Alle content is al openbaar, misschien zijn er wat email adressen te hacken, maar geen echte-naam- en adres-koppeling. Dus, zoals Beek stelt, voor het bezorgen van een krant is een brievenbus prima.