inloggen niet secure

Hierin worden mededelingen gedaan betreffende dit forum. Discussies over andere onderwerpen svp in de betreffende categorie.

Moderator: Moderators

Ruuben
Berichten: 1241
Lid geworden op: 14 okt 2012, 17:42

inloggen niet secure

Bericht door Ruuben » 04 jun 2017, 21:47

Zegt mijn slimme brouwser. Inderdaad geen slotje. Is dat te fixen Kockie?

Gebruikersavatar
kockie
Site Admin
Berichten: 7475
Lid geworden op: 28 jan 2006, 17:42
Locatie: Zeddam
Contacteer:

Re: inloggen niet secure

Bericht door kockie » 04 jun 2017, 22:07

Geen idee, nog niet onderzocht. Komt op mijn "todo lijst". Hulp is welkom.
Mensen zeggen wel eens dat ik troep verzamel; ik noem mezelf liever een industrieel-amateur-archeoloog die probeert waardevolle artefacten te behouden.

beek
Berichten: 67
Lid geworden op: 28 mei 2014, 18:36

Re: inloggen niet secure

Bericht door beek » 04 jun 2017, 23:19

Hiervoor is een SSL-certificaat nodig. Hiermee kan zowel de identiteit van de server worden geverifieerd (om phishing te voorkomen) als de verbinding worden versleuteld (om onderscheppen van gegevens te voorkomen). Deze SSL-certificaten worden tegen betaling door autoriteiten uitgegeven, of kun je zelf genereren (de zogenaamde "self-signed" certificaten). Deze laatste manier maakt wel versleuteling mogelijk, maar geeft natuurlijk geen garantie dat de identiteit van de server klopt. Daarnaast geeft de browser een popup met waarschuwing, wat tot meer ongerustheid zal leiden dan een verbeterd gevoel van veiligheid. Sinds kort is er een instantie die gratis certificaten uitdeelt (https://letsencrypt.org/), maar zonder uitvoerige controle van de identiteit.

Technisch is het een fluitje van een cent, maar het kost meestal wel gewoon euro's. De vraag is of het van belang is voor dit forum. Het zou natuurlijk wel netjes zijn om wachtwoorden te versleutelen, maar het ergste wat er kan gebeuren is dat je gebruikersnaam en wachtwoord door een ander wordt onderschept (als je bijvoorbeeld inlogt via een publieke hotspot. Dan zou de ander onder jouw naam kunnen posten. Vervelender is het als je dezelfde gebruikersnaam en wachtwoord voor meerdere sites gebruikt, zoals e-mail. Gevaar voor phishing is er denk ik niet, omdat dat alleen lonend is als er transacties plaatsvinden zoals bij banken en webshops.

Daarnaast vraag ik me af of het zonder meer mogelijk is voor dit forum. Voor zover ik kan nagaan wordt het forum gehost door XS4ALL middels "shared webhosting" en voor een certificaat is "dedicated hosting", dus een eigen server, nodig. En dan zou je speciaal voor een certificaat een (veel) duurder pakket moeten aanschaffen.

Joepie
Berichten: 407
Lid geworden op: 13 mar 2015, 23:17

Re: inloggen niet secure

Bericht door Joepie » 04 jun 2017, 23:25

Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?
"You can educate a fool, but you cannot make him think” (Talmud)

Ruuben
Berichten: 1241
Lid geworden op: 14 okt 2012, 17:42

Re: inloggen niet secure

Bericht door Ruuben » 05 jun 2017, 08:44

Joepie schreef:Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?
nee.

Gebruikersavatar
Paul Joosten
Berichten: 535
Lid geworden op: 22 feb 2013, 13:49
Locatie: Zuidwending / Veendam
Contacteer:

Re: inloggen niet secure

Bericht door Paul Joosten » 05 jun 2017, 08:45

Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar ;)

Ruuben
Berichten: 1241
Lid geworden op: 14 okt 2012, 17:42

Re: inloggen niet secure

Bericht door Ruuben » 05 jun 2017, 08:51

Paul Joosten schreef:Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar ;)
lieve dromerige dommelaars. Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd.
Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.

beek
Berichten: 67
Lid geworden op: 28 mei 2014, 18:36

Re: inloggen niet secure

Bericht door beek » 05 jun 2017, 10:05

Ruuben schreef:Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd. Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.
Inderdaad. Beveiligingsmaatregelen neem je in verhouding tot de mate waarin iets beschermd zou moeten worden. Zo is inloggen met gebruikersnaam en wachtwoord onvoldoende als het om persoonsgegevens gaat, zoals bijvoorbeeld je medische dossier (dan is er ten minste tweefactor authenticatie nodig, zoals wachtwoord + sms of token). Maar op dit forum gaat het om openbare gegevens, die voor iedereen in te zien zijn en dus niet afgeschermd hoeven te worden. Waarschijnlijk is de enige reden om te moeten inloggen het voorkomen dat bots het forum platspammen. Een SSL-certificaat biedt zoals gezegd extra beveiliging, maar brengt ook veel meer kosten met zich mee.

Om je vergelijking door te trekken: je pinpas afgegeven of rijden zonder gordel doe je niet, maar je laat de krant gewoon in een brievenbus bezorgen in plaats van in een kluis. Een kluis biedt wel extra beveiliging tegen diefstal van de krant, maar is aanzienlijk duurder dan een brievenbus. Omdat het een krant met openbare en niet gevoelige informatie betreft, is dat te verdedigen.

beek
Berichten: 67
Lid geworden op: 28 mei 2014, 18:36

Re: inloggen niet secure

Bericht door beek » 05 jun 2017, 10:14

Paul Joosten schreef:Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden.
Ik gebruik Keepass. Lastpass is weliswaar handig en integreert goed met je browser, maar is niet (gratis) te gebruiken op mobiele apparaten. Keepass is open source, voor alle platformen gratis te krijgen en integreert ook met je browser.

Gebruikersavatar
Paul Joosten
Berichten: 535
Lid geworden op: 22 feb 2013, 13:49
Locatie: Zuidwending / Veendam
Contacteer:

Re: inloggen niet secure

Bericht door Paul Joosten » 05 jun 2017, 15:45

Ruuben schreef:
Paul Joosten schreef:Unieke wachtwoorden gebruiken is sowieso overal en altijd veel beter. Zonder kosten en met verrassend weinig moeite te realiseren door gebruik te maken van een wachtwoordmanager. Google er maar eens op en lees je even goed in als je dat niet zomaar wilt vertrouwen. Hier vind je een leuk overzicht van de gratis managers.

Mijn aanrader van de dag: Lastpass. Ik gebruik het al jaren en ben daar bijzonder tevreden mee. Je hoeft daarvoor alleen maar het hoofdwachtwoord van die manager te onthouden. Ik heb een bijzonder lange bedacht: een aantal van de vroeger veel herhaald gebruikte wachtwoorden (die ik uiteraard wel goed onthoud) in serie. Onkraakbaar ;)
lieve dromerige dommelaars. Jullie verkondigen dat het prima is om op een onbeveligde verbinding in te loggen. Je hoeft ook je auto gordel niet om als je binnen de bebouwde kom rijd.
Gratis je pinpas afgeven aan hele vriendelijke man doe je ook niet. Wakker worden mensen. Het is 2017.
Waar heb ik dat beweerd? Ik zeg alleen maar dat het altijd beter is om voor elke site een ander wachtwoord te gebruiken.

Joepie
Berichten: 407
Lid geworden op: 13 mar 2015, 23:17

Re: inloggen niet secure

Bericht door Joepie » 05 jun 2017, 15:53

En mijn vraag ging alleen over deze site.

Ik lees verder veel theorie over risico's of kansen, al dan niet voorzien van metaforen, maar ik lees nergens een sluitend antwoord op de oorspronkelijk gestelde vraag.

Merci voor de tip over Lastpass/Keepass. Het loopt zo gaandeweg de spuigaten uit met die wachtwoorden. Ik tel er met gemak al 30.
"You can educate a fool, but you cannot make him think” (Talmud)

beek
Berichten: 67
Lid geworden op: 28 mei 2014, 18:36

Re: inloggen niet secure

Bericht door beek » 05 jun 2017, 17:05

Ruuben schreef:
Joepie schreef:Dus het advies meegeven aan de leden om zorg te dragen voor een (echt) uniek wachtwoord, is een voordelige edoch effectieve beveiligingsmaatregel?
nee.
Ja. Mits het een moeilijk te raden wachtwoord is. Dus niet "123456", "qwerty" of "wachtwoord".

beek
Berichten: 67
Lid geworden op: 28 mei 2014, 18:36

Re: inloggen niet secure

Bericht door beek » 05 jun 2017, 17:21

Joepie schreef:En mijn vraag ging alleen over deze site.

Ik lees verder veel theorie over risico's of kansen, al dan niet voorzien van metaforen, maar ik lees nergens een sluitend antwoord op de oorspronkelijk gestelde vraag.
Een sluitend antwoord is er ook niet, omdat geen enkele beveiliging waterdicht is. Meer beveiliging zou niets uithalen als er bug in de forumsoftware zou zitten die kan worden uitgebuit.

Nu is het forum wel beveiligd met een éénfactor authenticatie (gebruikersnaam en wachtwoord), maar niet versleuteld en zonder token zoals je gebruikt voor je bank. Daar kan ik in dit geval mee leven.

Ruuben
Berichten: 1241
Lid geworden op: 14 okt 2012, 17:42

Re: inloggen niet secure

Bericht door Ruuben » 05 jun 2017, 17:27

Tot een administrator eenvoudig gehackt wordt.

Gebruikersavatar
Pietje
Moderator
Berichten: 2972
Lid geworden op: 04 jun 2012, 21:39
Locatie: Wijbosch
Contacteer:

Re: inloggen niet secure

Bericht door Pietje » 05 jun 2017, 19:19

Of een mod. Maar dat is helemaal niet interessant; wat is hier van waarde (lees: privacy) te halen? Alle content is al openbaar, misschien zijn er wat email adressen te hacken, maar geen echte-naam- en adres-koppeling. Dus, zoals Beek stelt, voor het bezorgen van een krant is een brievenbus prima.
-- We hebben de aarde niet geërfd van onze voorgangers, maar te leen van onze nakomelingen --

Plaats reactie