Zo, dat is toch op de valreep nog even dé tip van het jaar van de heer van Hilten.

Het nadeel van MFA is, dat je niemand meer hoort over unieke wachtwoorden voor elk account of het niet gebruiken van woorden uit een online woordenboek.

Sterker nog, Microsoft is bezig met het verbieden van wachtwoorden in zijn geheel. Waarschijnlijk om smartphone gebruikers te plezieren die geen toetsenbord kunnen aansluiten.

Ja, want elke keer dat gewone (niet-ict) mensen op Amazon, Bol, hun mailbox, etc willen inloggen, dan gaan ze ook echt door meerdere hoepels springen. want dat vinden ze zo'n leuke besteding van hun tijd.

Iets van gemak vs veiligheid.
En we weten wat er dan gekozen wordt.
Bewust doordacht of niet.

Dan kun je waarschuwen tot je en ons weegt of blauw in je gezicht wordt.
Misschien tijd voor een nieuwe, simpele en veilige ICT-oplossing die gemak en veiligheid weet te combineren?

Probleem is alleen dat wachtwoordmanagers net zo onbetrouwbaar zijn, tenzij je daar een niet met internet verbonden apparaat voor gebruikt, en zelfs dan.
Kortom en languit (of TL;DR in het moderne jargon)
hoe veiliger je je waant, des te meer risico je mogelijk loopt.

Internet is over het algemeen onveilig...

Op zich is er niks mis met een password. Er zitten wat randvoorwaarden aan, zowel bij de gebruiker als bij de implementatie. 2FA maakt die iets makkelijker, maar 'veilig' is het daarmee niet per definitie.

Absolute veiligheid bestaat niet. Veiligheid is met name risico management, dat is niet nieuw dat is al eeuwen zo ook analoog.
Dus afwegen hoeveel je kan incaseren vs. wat het mag kosten.

Wij gebruiken met Linux al jaren geen wachtwoorden meer maar ssh keys met pass phrases.

Segmentatie en natuurlijk SSO als het om het serieuze werk gaat. Verwonderlijk is het terugvallen op Web zoals OAuth is het kader van "in de cloud gaan". Er mist iets fundamenteels met identity management.
Zou de AP hun ongelijk gaan bekennen aan biometrie is MFA gaan aanbevelen?

Veiligheid is niet moeilijker dan nét een slotje meer te hebben dan de rest van de straat. Want dan is het gemakkelijker om bij de buren in te breken. Heb je echter veel meer slotjes dan de rest, dan komen ze bij jou. Want dan valt er duidelijk wat te halen.

Klinkt leuk maar is onzin. Ransomware is net als een sleepnet. Laaghangend fruit wordt gepakt.

Wat fijn voor jou, als ICT admin die CLI access wil.

Heb je ook nog tips voor webshops , al dan niet gehost op linux ?

Daar zou ik graag een Belgische wijsheid achteraan smijten: Het is gemakkelijker appels van de grond te rapen dan uit de boom te plukken. Noem het maar onzin.

Webshops, of de bezoekers daarvan? Die ook nog wie weet hoeveel andere webshops bezoeken.\

Voor de consument: Passkey/webAuth. Of zolang dat nog niet gemeengoed is, passwordmanager vanuit het OS - op de Mac al jaren gebruikelijk. Voor professioneel gebruik is het een no-brainer om betere eisen dan alleen een password te stellen.

Autorijden op een weg die geen afgebakende persoonlijke 100% privéweg is, is ook onveilig.
Je kan er zelfs dood aan gaan...
Het gaat er dus blijkbaar niet alleen om of het maximaal veilig is. Het gaat bijv. ook over gemak, eenvoud en kosten.
Dus is het commentaar van AP niet wat overtrokken? Is je data dan soms belangrijker dan je leven?

Leg uit: Hoe kan het beveiligen van je data je leven in gevaar brengen?

Mocht dat al gebeuren (specifiek bij medische data - misschien), hoort dat dan niet een eigen (bewuste) keuze te zijn?
Of hebben mensen niets meer te zeggen over hun eigen lijf en leven.

Dit is (nog) niet de USA...

Kun je nog autleggen hoe webAuth werkt?
Is dat Yubikey?

Als het een eigen keuze is, nadien ook niet zeuren!

Beiden zouden interessant zijn inderdaad.

Maar in eerste instantie was ik benieuwd welke authenticatie methode(n) meneer Linux admin zou kiezen/bouwen om aan de bezoekers van een webshop aan te bieden.

Gezien van het perspectief van een gebruiker die op tig sites 'op enige manier' authenticeert is een opinie hoe al die methodem/credentials te gebruiken ook boeiend.

Je praat alleen maar over enterprise-intern, als je de termen 'segmentatie' en 'SSO' gebruikt.

Niet verkeerd in die context, maar in de context "de nederlandse bevolking die iets doet met digitale aanbieders" - de segmentatie is maximaal (iedeern is een ander bedrijf, en meestal bij een andere diensten aanbieder) .

SSO bestaat niet in de normale zin - of je moet 'log in met google/facebook/idin/digid' als een vorm van SSO herdefinieren .


Ook dat is enterprise


De AP heeft hier gewoon gelijjk.

Waarom moet je biometrie en MFA aanbevelen voor een 'NPO start' account ?
Op een security.nl login ?
Op een netflix account ?

Dat bedoelde ik niet.
Ik bedoel: we accepteren dat we op de weg elkaar soms (meestal per ongeluk) in het graf kunnen rijden omdat we van dezelfde weg gebruik maken. Er zijn wel enkele beschermende maatregelen, maar perfect veilig is het beslist niet.
In 2002 zijn maar liefst 737 mensen omgekomen in het verkeer in Nederland.

Maar als het op inloggen aankomt, gaat het "slechts" over je data, en moet het opeens ontzettend veilig zijn?
Afhankelijk van de situatie zou men volgens mij dan wel moeten oppassen dat men het ook weer niet gaat overdrijven.
( hangt natuurlijk grotendeels af van waar het over gaat: wat voor data is het, en hoe belangrijk is die data, en hoe erg is het (nuchter bekeken) als die data in handen zou komen van onbevoegden)

Kijk, ik was vroeger privé ook zo'n overdreven beveiligerd, maar ik heb er meer ellende van gehad dan profijt.
Zoals wachtwoord kwijt of inloginstrument kwijt of kapot.
Nooit ingebroken op mijn data, maar dan opeens kan je er dus zelf nooit meer bij, omdat je het zo sterk had beveiligd.
Nu is daar vast ook wel wat op te verzinnen, maar als er geen mensenleven van afhangt en als het om je eigen data gaat
waar je zelf verantwoordelijk voor bent, dan zou ik het niet al te ingewikkeld maken.
Dat is wat ik bedoel.

Wat adviseer je dan als beveiliging?
Wachtwoord of wachtwoordzin
Of zoiets als Bitwarden? In de browser als plugin?

Ook in de prive sfeer kun je segmenteren. Waardeloze accounts ,met waardeloze sites apart houden. Niet te complexe watctwoorden. Securirt.nl zal wenig impact geven als mijn account voor die site gehackt wordt.
Voor bankieren gaarne een MFA die beide kanten op zekerheid biedt. Een tweede gescheiden apparaat heeft men voorkeur.
Met websites voor winkels hebben we een uitdaging.

Veel vervelende is dat de benadering voor enterprises ernstig leidt onder het luide geluid voor een consumentenbenadering.
Technology Startegen die geloven als dat geluid maar gevolgd wort dat de enterprise dan we goed zit.
Het helpt niet dat vanuit media dat hijgerige geluid als de enige waarheid gebracht wordt.

Klopt dat is waar in de media vaak de ophef over is als er bij bedrijven een databreach plaats vindt.

Gaat om een enterprise benadering. Neem nu eens dat niet meer duidelijk mag zijn of iemand werknemer is of niet.
Ooit ging er een naam en pasfoto op de pas zodat anderen konden zien en controleren dat je geautoriseerd fysiek toegang had.

De AP: wel druk maken over logging dat duidelijk moet zijn wie wat benaderd heeft maar een pasfoto voor fysieke toegang is een privacy schending? Dan is de security monitoring voor bescherming data ook een privacy schending.

Is waarschijnlijk een KPI om de kerstbonus nog binnen te halen..

Ook het aanbevelen van password managers is natuurlijk vreselijk naief..

Een fort-knox constructie werkt alleen omdat inbrekers bang zijn voor vuurwapens, nucleare raketten, waterboarding enz...

Er is niemand bang om jouw password file te hacken. Sterker nog, ik zie dat als een van de eerste attack vectoren in de meeste aanvallen...
Een password file, of password manager is een groot uitroep teken van 'kijk, HIER zijn mijn belangrijke wachtwoorden'...
De bestanden hebben ook altijd dezelfde EXTENTIE, wat ze nog makkelijker vindbaar maken.
Het handmatig hernoemen naar bijvoorbeeld 'digitale.sleutelbos' ipv default-bestands-naam-keeppass.kdbx is al erg lastig door te voeren. Maar levert wel meer op, want aanvallers moeten de nederlandse taal beheersen, en dat lukt de meeste nederlanders zelf niet eens, en de file extentie sleutelbos zegt geen oekrainer of roemeen wat.

De beste wensen voor 2024 karma4!
Hopelijk gaat u dit jaar wat vaker eerst uw comment zelf hardop voorlezen voordat u het post. Ik heb het meerdere keren herlezen, maar kan er echt (weer) geen touw aan vastknopen. ;-)

KARMAAAAAAAAAAA!!! Wat leuk, toch nog even een kat aan het adres van de Autoritetit Persoonsgegevens op de allerlaatste dag van het jaar. Dankjewel!

En natuurlijk de beste wensen voor 2024! :*

Zet wat leestekens (komma's) er bij en de zinnen kloppen.
De onderwerpen met de verbanden maken het echt lastig. Je ziet het pas als je het ziet.

Biometrie is een van de meest geavanceerde opties om vast te stellen of het om de juiste persoon gaat.
Zoals je zou moeten weten heeft de AP er problemen mee als de identiteit van een persoon vastgesteld wordt.
Op dat moment is de persoon herleidbaar en wordt hij verantwoordelijk voor de uitgevoerde handelingen.
Herleidbaarheid is een privacyinbreuk.

Ook nog de beste wensen, voor 2024 en niet uitsluiten wat volgt. 2025 2026...



Ook nog de beste wensen voor de komende jaren.

We hebben het over veiligheid. Hackers houden zich niet aan feestdagen of andere zaken.
Met oudjaar vuurwerk hebben velen zich bezondigd aan ondoordacht vuurwerkgebruik en een flinke groep aan opzettelijk misbruik. Het is zoals de maatschappij in elkaar zit. Een kat in de zak is het niet. Je moet de kat niet op het spek binden. Een persoon met de naam Kat zou wel eens bij die organisatie kunnen werken (Katja Mur).

Dat hangt er vanaf hoe gevoelig de data is die criminelen eventueel zouden kunnen buitmaken, vernielen of manipuleren,
en hoe groot de kans is dat zoiets gebeurt, en dus ook hoe goed de gebruiker in staat is om gezond verstand te gebruiken. Bij veel consumenten ontbreekt het laatste.

Voor inloggen adviseert ECSC tegenwoordig FIDO2.
https://www.ncsc.nl/actueel/weblog/weblog/2021/alleen-een-wachtwoord-is-niet-veilig-genoeg-meer
Persoonlijk vind ik dat niet ideaal omdat het stuk kan gaan. Maar voor mensen die niet kunnen overzien wat ze doen
is het misschien toch het beste. (vooral als er een simpele, veilige en redelijk snelle oplossing is in geval je FIDO2 token kaduuk zou gegaan!)