Beveiligen begint bij jezelf
Geschreven door William van Grieken op 04-06-2013

Je hoeft het nieuws er maar op na te slaan. Cybercrime is in opmars. Op zich niet vreemd in een maatschappij waarbij ICT steeds belangrijker wordt. Pc, laptops, smartphones, cloud- applicaties, grote bedrijfsnetwerken zijn voor veel mensen een interessante prooi. Soms voor de 'lol' waarbij hackers willen aantonen dat bepaalde zaken minder veilig zijn. Soms omdat het domweg big business is. Ik kan mij van een goede maand terug nog een (klein) nieuwsbericht herinneren waarbij cybercriminelen meer dan 200 miljoen euro hebben buitgemaakt bij diverse Russische banken. Dit is een stuk lucratiever dan een traditionele bankroof.

Ik kan mij van een goede maand terug nog een (klein) nieuwsbericht herinneren waarbij cybercriminelen meer dan 200 miljoen euro hebben buitgemaakt bij diverse Russische banken. Dit is een stuk lucratiever dan een traditionele bankroof.

Ik ben zelf ook wel eens de dupe geweest van creditcardfraude. Dit zet je toch aan het denken en doet je vooral beseffen dat het iedereen kan gebeuren. Zoals zo vaak gaat een mens pas handelen als het kalf verdronken is. Ik dus ook.

De komst van SaaS en cloud gebaseerde applicaties heeft als gevolg dat data verspreid is over vele plekken. Het wordt hierdoor steeds moeilijker om je digitale identiteit te beschermen waardoor fraude en diefstal een grote bedreiging vormen voor iedereen die inlogt op een ‘open’ netwerk. Soms hoef je gelukkig niet ver te zoeken of diep in de buidel te tasten om het risico op frauduleuze praktijken te beperken.

De afgelopen periode ben ik daarom dieper gedoken in het fenomeen two-factor-authenticatie. Als fanatiek Google Apps en Dropbox gebruiker niet meer dan logisch omdat ik deze toepassingen ook zakelijk gebruik. Two-factor-authenticatie biedt een extra beschermingslaag bovenop de (unieke) combinatie van een loginnaam en een password. Het inregelen van een extra authenticatiestap wordt in de praktijk op verschillende manieren aangeboden. Veelal dient er een uniek gegenereerde code c.q. token te worden ingegeven, verkregen via SMS of door middel van een specifieke iOS of Android App (zoals Google Authenticator), om daadwerkelijk te kunnen inloggen. De willekeurige codes blijven vaak maar een korte tijd geldig. Two-factor-authenticatie maakt de gevolgen van het uitlekken van wachtwoorden minder groot.

Het toeval is -  maar misschien ook niet - is dat diverse andere bekende (web)applicaties zoals

Facebook, Twitter, LinkedIn vrij recent two-factor-authenticatie aanbieden. Soms met wisselend succes trouwens, zoals in het geval van Twitter. Ook Apple is druk in de weer om de beveiliging van Apple ID's en iCloud te verbeteren. Zelfs bij een van mijn opdrachtgevers speelt het vraagstuk heel concreet. Deze gemeentelijke organisatie stelt two-factor-authenticatie als harde eis bij de (toekomstige) aanschaf van SaaS en cloud gebaseerde applicaties. Google heeft inmiddels aangekondigd de two-factor-authenticatie verplicht te gaan stellen voor Google Apps gebruikers.

Voor de mensen die meteen roepen dit klinkt lastig of te technisch. Dat valt enorm mee. Via onder andere Youtube is er veel informatie voor handen om dit stap voor stap te regelen. Ik zeg doen!