Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Veilig inloggen

02-05-2024, 23:59 door Erik van Straten, 18 reacties
Laatst bijgewerkt: 03-05-2024, 00:56
Lees niet alle "10 vuistregels voor wachtwoorden" van de Begische politie in [1] (bron: [2]). Mijn advies:

1) Onbetrouwbaar apparaat = Game Over
Wat u ook doet, zorg dat het apparaat dat u gebruikt om op accounts in te loggen en/of betalingen te doen en/of persoonsgegevens in te vullen, daar veilig genoeg voor is en blijft. Eén foute app met teveel permissies kan rampzalig zijn; de maker daarvan kan uw gegevens kopiëren en zich mogelijk voordoen als u (en zo zelfs uw bankrekening(en) plunderen).

Nb. Ook als u géén wachtwoordmanager gebruikt, of in plaats daarvan passkeys, of FIDO2 hardware keys of client certificaten, kan het desastreus zijn als het door u gebruikte toestel gecompromitteerd is (d.w.z. software van een kwaadwillende derde partij toegang tot dat toestel en andere software daarop heeft). Een betrouwbaar toestel is een voorwaarde om, maakt niet uit welke, handeling voldoende veilig uit te kunnen voeren.

2) Gebruik een betrouwbare wachtwoordmanager
Gebruik een wachtwoordmanager waar u de makers van vertrouwt en verwacht te kunnen blijven vertrouwen (zie ook de disclaimer in 4).

3) Nepsoftware
Laat u in elk geval niet foppen door een "lijkt op" wachtwoordmanager, gemaakt door criminelen, te downloaden en te installeren. Ga niet "ff googlen" en laat u niet foppen met foute apps, die af en toe zelfs in de Google of Apple stores kunnen staan.

4) Kies een WW-manager die domeinnamen checkt
Kies een wachtwoordmanager die, op basis van de domeinnaam van een website, automatisch de bijpassende inloggegevens opzoekt (voor Android is dat bijvoorbeeld KeePassDX, en voor iOS/iPadOS bijvoorbeeld KeePassium; voor geen van beiden is een browser-plugin vereist, mits in het besturingssysteem de juiste instellingen zijn geconfigureerd). Daarmee kunt u de manier van inloggen bijna net ze sterk maken als bij passkeys, maar zonder de nadelen van genoemde passkeys [3].

Disclaimer: niemand (dus ook ik niet) kan garanderen dat nu (ogenschijnlijk) betrouwbare ontwikkelaars van een wachtwoordmanager betrouwbaar blijven, geen kwetsbaarheden (onbewust of bewust) in hun software hebben aangebracht en dat nooit zullen doen, en zij zich nooit zullen laten hacken (maar dit alles geldt voor alle software die u -al dan niet bewust- gebruikt, inclusief besturingssysteem en drivers voor hardware).

5) Nepwebsites: voorkóm dat u in phishing trapt
Indien u een wachtwoordmanager gebruikt die, zodra u probeert in te loggen, checkt welke website er in het vóórste tabblad van uw browser geopend is, geldt het volgende.

Kijk en onthoud hoe die wachtwoordmanager reageert als u op een website, waarop u géén account heeft, probeert in te loggen. Bijvoorbeeld, als u géén account heeft op https://security.nl, klik dan rechts boven op "Inloggen". Nadat u de wachtwoorddatabase hebt ontgrendeld, hoort die website dan niet door uw wachtwoordmanager "herkend" te worden (en login-gegevens voor te stellen). Echter, meestal kunt u vervolgens wél zoeken naar inloggegevens in de wachtwoorddatabase - hetgeen meestal zéér onverstandig is (laat u ook niet foppen door een nepsite die liegt dat er een problerm is met de echte website, en de eigenaar daarom tijdelijk naar een andere domeinnaam is "uitgeweken").

Wat u hebt zien gebeuren is hetzelfde als dat u een phishing (nep-) website in uw browser geopend zou hebben. Als u inloggegevens bestemd voor een andere website met een nepwebsite deelt, is de kans zeer groot dat uw account op de echte site wordt gekaapt (zie bijv. "Instagram en Facebook nog steeds niet opgewassen tegen simpele phishing" vandaag gepubliceerd door Joost Schellevis in [4]).

Het volgende voorbeeld maakt dit hopelijk duidelijk. Stel u hebt een account op
https://example.com. Op een gegeven moment krijgt een overtuigend phishingbericht met daarin een link naar
https://example.net, en stel dat u niet (meer) weet dat dit niet de juiste domeinnaam is van de, in het bericht, gesuggereerde eigenaar (organisatie) van de website. Als u op die foute link klikt, kan het volgende gebeuren (ik ga ervan uit dat u een browser op uw smartphone gebruikt, maar dit kan net zo goed op een tablet, laptop of vaste PC zijn):
U Uw smartphone
met browser
o _
/|\ —> | |
/ \ |_|
|
| https://example.net
|
v
[Aanvaller] lijkt op "example.com"
|
| https://example.com
|
v
[Echte example.com server]
Uw browser maakt hierbij verbinding met een "mini-server" van de aanvaller, een "twee-richtingen doorgeefluik" dat ook wel een "proxy" of een "proxy-server" wordt genoemd (ik noem zoiets een "evil proxy").

De computer van de aanvaller doet zich voor:

• Richting uw browser: als een (potentieel exacte) kopie van de webpagina van de echte webserver (Nb. de aanvaller heeft géén invloed op de in de adresbalk van uw browser getoonde domeinnaam. In zoverre, de aanvaller kan uw browser (op elk gewenst moment) doorsturen naar elke andere website, maar dan heeft die aanvaller geen invloed meer op de vervolgens getoonde pagina en kan niet meer "zien" wat u invoert. Ook kan de aanvaller daarna uw browser niet "terughalen" naar diens nepserver).

• Richting de bedoelde webserver: als uw browser (soms maken aanvallers gebruik van een extra "transparante proxy" tussen hun nepserver en de echte server, om de server te laten denken dat u inlogt vanaf een IP-adres dat geografisch bij dat van u in de buurt ligt (zie [5]).

Zélfs als u met 2FA (d.w.z. dat u, naast met een wachtwoord, met een SMS-code, TOTP-code of via een push-bericht) inlogt op de nepsite (die als twee druppels water op de echte kan lijken), kan de aanvaller "in het midden" daarmee op de echte website inloggen en uw account kapen (technisch: de aanvaller kan, als alternatief, alles heen en weer doorgeven en, nadat u bent ingelogd, uw "session-cookie" kopiëren en dat vervolgens misbruiken om de sessie van uw browser op de echte server te klonen of over te nemen).

6) Maak backups van de wachtwoorddatabase
Verzeker u ervan dat, na elke wijziging in de wachtwoorddatabase, deze op minstens twee plaatsen wordt opgeslagen (meestal op het apparaat zelf en in een cloud-account). Maak daarnaast regelmatig minstens één offline backup van die database.

7) Ontgendel-WW voor WW-database moet sterk zijn
Gebruik een sterk wachtwoord (zie [6]) voor het ontgrendelen van de wachtwoorddatabase. Overweeg om biometrie als alternatieve ontgrendelmogelijkheid te gebruiken; dat levert extra risico's op, maar als het daardoor acceptabel wordt om een langer wachtwoord voor het ontgrendelen van de wachtwoorddatabase te gebruiken (ter bescherming van op onveilige plaatsen opgeslagen backups van die database, zoals in cloud-accounts), dan kan dat een verstandige keuze zijn.

8) Lange random WW, met keuze uit véél karakters
Laat de wachtwoordmanager, voor elk account, een willekeurig wachtwoord genereren, dat voldoet aan de volgende eisen:
• Zo lang mogelijk als wordt toegestaan door de betreffende website;
• Waarbij de wachtwoordgenerator (naast uit '0'..'9', 'a'..'z' en 'A'..'Z') uit zoveel mogelijk leestekens kan kiezen, dus uit spatie, maar uit zoveel mogelijk in:
@#$_&-+()/*":;!?~`'|^={}\[]%
€£¥¢•°×§«…»—–·
D.w.z. voor zover toegestaan door de betreffende website (alles op de tweede regel, dus vanaf '€', is zelden toegestaan).

Nb. Uitvinden wat de maximale lengte is en welke tekens (of combinaties daarvan) een website toestaat, kan een heel gedoe zijn (de foutmeldingen zijn vaak nietszeggend). Zie ook [7] (waarop u, desgewenst, ook zelf stupide sites aan de schandpaal kunt nagelen).

9) Verplicht gebruik van "https://" door uw browser
Stel uw browser, indien mogelijk, zo in dat uitsluitend "https://" wordt gebruikt als u op een link zonder zo'n (communicatieprotocol-) voorvoegsel klikt, en zelfs als u op een link klikt die met "http://" begint.

Als u uw browser goed instelt, en op de volgende link klikt:
http://http.badssl.com/, dan moet uw browser u waarschuwen dat er geen "https://" verbinding mogelijk is (zie ook het voorbeeld onder 11.a). Bij normale (niet test-) websites kan dat namelijk twee dingen betekenen:

a) De website ondersteunt echt geen "https://" (dat is absurd, zie ook [8], nu gefixed);

b) Er "zit" een aanvaller tussen uw browser en de echte website:
U Uw smartphone
met browser
o _
/|\ —> | |
/ \ |_|
|
| http://example.com
|
v
[Aanvaller] lijkt op "example.com"
|
| https://example.com
|
v
[Echte example.com server]
Het "https://" protocol geeft een behoorlijke zekerheid dat uw browser daadwerkelijk verbinding heeft met de in de adresbalk van uw browser getoonde domeinnaam (daarnaast is die verbinding, tussen uw browser en de webserver met die domeinnaam, "End-to-End" versleuteld). Bij gebruik van het "http://" heeft u geen van beide zekerheden.

Vooral bij het gebruik van onbetrouwbare netwerken, zoals publieke WiFi, is dit een niet te verwaarlozen risico.

Merk op dat de aanvaller uw browser meteen kan doorsturen naar een derde website die ook op de computer van de aanvaller kan draaien en die wél van https gebruik maakt, zoals bijvoorbeeld https://login-example.com. Dit kan zó snel gaan dat u niet doorheeft dat uw browser door een htttp:// website is doorgestuurd, en u kunt denken dat de echte https://example.com website uw browser heeft doorgestuurd (naar de nepsite https://login-example.com). De situatie is dan veranderd in de omstandigheden zoals weergegeven in het "plaatje" onder 5).

10) Browser ondersteunt verplichte "https://" niet:
Log nooit in als er geen https:// verbinding wordt gebruikt. De meeste browsers laten het voorvoegsel "https://" (of zelfs "https://www.") wég uit de adresbalk. Onderzoek hoe uw browser het onderscheid toont tussen "https://" en "http://" verbindingen.

En nogmaals: indien u inlogt doch géén wachtwoordmanager gebruikt, of een wachtwoordmanager die niet de domeinnaam checkt (zie 5), dan moet u zelf de domeinnaam in de adresbalk van uw browser (dubbel-) checken (is die domeinnaam daadwerkelijk van de bedoelde eigenaar of organisatie - zoals beschreven onder 11).

11) Als u (nog) geen account heeft
Als u met uw browser verbinding maakt met een nepsite waarop u (nog) géén account heeft, kan uw wachtwoordmanager u niet helpen (zoals beschreven in 5) om vast te stellen dat het om de door u verwachte (en geen nep-) website gaat.

Zowel als het om een website gaat waarop u een account wilt gaan maken, als op een website waar u persoonsgegevens op moet invullen, als op een website die u om een betaling vraagt, is het in uw eigen belang dat u grondig checkt:

a) dat uw browser een "https://" verbinding heeft;

b) en dat dit met de juiste website is (en geen nepkopie daarvan). Dit laatste kan aan de hand van de, in de adresbalk van uw browser, getoonde domeinnaam.

Bijzonder lastig daarbij is het om, gegeven een domeinnaam, vast te stellen wie of welke organisatie eigenaar is van (c.q. verantwoordelijk is voor) een website. Vertrouw daarbij nooit op wat er in de webpagina(s) te zien valt; dat bewijst helemaal niets indien het om een nepsite gaat (zie ook [9] en mijn reacties daarop).

Enkele tips met betrekking tot een in de adresbalk van uw browser getoonde domeinnaam:

11.a) Geen hoofdletters
In domeinnamen kunnen formeel geen hoofdletters zitten. In links kan dat wel (voorbeeld: https://NOS.NL) maar nadat u op zo'n link klikt zal uw browser, in de adresbalk, de domeinnaam in kleine letters hebben omgezet. Nb. dit geldt niet voor wat er, verderop in een URL (achter de domeinnaam) volgt.

U kunt genept wordt met het bekijken van een link in bijvoorbeeld een bericht of in een webpagina - zoals bij
https://appIe.com (daarin zit een hoofdletter 'i' in plaats van een kleine 'L'). Ik heb die link "onklikbaar" gemaakt, maar als ik dat niet zou doen en daarop zou drukken (in Firefox op mijn Android smartphone), zou ik in de adresbalk links een hangslotje met een schuine rode streep er doorheen zien, gevolgd door:
ww25.appie.com/?subid1=202405… (de rest valt weg in portretmodus)
en daaronder (dit is een melding uit Firefox zelf, dankzij de instelling beschreven in 9):
Beveiligde website niet beschikbaar
Hoogstwaarschijnlijk ondersteunt de website simpelweg geen HTTPS.

Het is echter ook mogelijk dat er een aanvaller bij betrokken is. Als u doorgaat naar de website, voer dan geen gevoelige informatie in. Als u doorgaat, wordt de Alleen-HTTPS-modus tijdelijk uitgeschakeld voor de website.

     [    Doorgaan naar HTTP website    ]
De eerste regel is verschrikkelijke desinformatie van Mozilla: het "https://" protocol bevestigt de identiteit van de website en zorgt voor een versleutelde verbinding, maar zegt helemaal niets over de beveiliging van een website.

Als ik op de knop "[    Doorgaan naar HTTP website    ]" druk, wordt mijn browser automatisch doorgestuurd naar uiteindelijk https://www.above.com/marketplace/appie.com, met een pagina waarin onder meer staat:
appie.com
Is Not For Sale
Maar of dat ook geldt als iemand (zoals AH?) daar genoeg voor over heeft, blijft de vraag (ook wat er gebeurt mocht de domeinparkeerder "above.com" ooit worden overgenomen).

11.b) Meer info over domeinnamen
In [10] vindt u aanvullende informatie over domeinnamen.

Referenties
[1] https://www.politie.be/5998/nl/nieuws/10-vuistregels-voor-wachtwoorden

[2] https://www.security.nl/posting/840165/Belgische+politie+raadt+aan+om+wachtwoorden+regelmatig+te+wijzigen

[3] https://www.security.nl/posting/798699/Passkeys+voor+leken

[4] https://nos.nl/artikel/2518932

[5] https://www.security.nl/posting/839626/Okta+waarschuwt+voor+grote+credential+stuffing-aanval+via+residential+proxies#posting839641

[6] https://security.nl/posting/839395

[7] https://dumbpasswordrules.com/sites-list/

[8] https://www.security.nl/posting/803597/werk_nl%3A+geen+https

[9] https://www.security.nl/posting/837727/Digitale+bankfraude+%28bunq%232%29

[10] https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html#r_19450852
Reacties (18)
03-05-2024, 22:39 door Anoniem
Door Erik van Straten: Lees niet alle "10 vuistregels voor wachtwoorden" van de Begische politie in
8<
9) Verplicht gebruik van "https://" door uw browser
Stel uw browser, indien mogelijk, zo in dat uitsluitend "https://" wordt gebruikt als u op een link zonder zo'n (communicatieprotocol-) voorvoegsel klikt, en zelfs als u op een link klikt die met "http://" begint.

Desondanks ik het grotendeels met je eens ben, accepteert mijn Fritzbox (uiteraard up-to-date firmware) geen https, helaas. Dus die is lastig, omdat die ook antwoordapparaat is.. Is een min puntje van avm..
04-05-2024, 09:02 door Erik van Straten
M.b.t. Fritz!box routers: discussie daarover graag in https://www.security.nl/posting/840399/Fritz%21Box+router%3A+https%3F.

De mogelijk verwarring hierbij is dat deze wél https ondersteunt, maar met een "self-signed" certificaat. Dat is een ander onderwerp, deze pagina houd ik graag vrij voor vragen over wachtwoordmanagers, wachtwoorden en inloggen in het algemeen.
05-05-2024, 18:29 door Erik van Straten
Misverstand over "Alleen-HTTPS-modus"
Als u in uw browser de "Alleen-HTTPS-modus" aanzet (mits beschikbaar), dan kunt u nog steeds gebruik maken van http:// verbindingen. Wel moet u dat dan "elke keer" handmatig goedkeuren.

Ik heb hierboven "elke keer" tussen dubbele aanhalingstekens gezet, want nadat u éénmalig toestemming hebt verleend voor een webserver (voor bijvoorbeeld http://http.badssl.com of http://gemeente.amsterdam, uw thuisrouter of een ander IoT apparaat aan uw lokale netwerk), blijft die toestemming in elk geval gelden zolang u de browser niet helemaal afsluit (hoe dit precies werkt kan afhangen van de gebruikte browser).

Met "Alleen-HTTPS-modus" UITgeschakeld (default)
Als u in de adresbalk van uw browser bijvoorbeeld ing.nl intikt (of op de link http://ing.nl klikt, proberen de meeste moderne browsers eerst https://ing.nl. En als dat lukt, blijft de browser https:// gebruiken.

Opmerking: hier kan ook een ander mechanisme ingrijpen, namelijk HSTS - maar dát werkt niet in alle gevallen, bijvoorbeeld:
• Als u een private browser tab gebruikt (dit hoeft niet voor alle browsers te gelden);
• Als u de website voor het eerst bezoekt met uw huidige browser (of meer dan 1/2 of 1 jaar niet bezocht hebt);
• De website HSTS niet of niet goed ondersteunt.

Uitleg over HSTS gaf ik eerder in "Steekproef: overheid + HSTS" https://security.nl/posting/802243.

Dat eerst (ongevraagd) https:// geprobeerd wordt, is een verbetering t.o.v. "vroeger", toen browsers (in de beschreven situatie, bijv. http://ing.nl) "gewoon http deden" en er pas van https:// gebruik gemaakt werd indien en nadat de server de browser doorstuurde naar dezelfde (of een andere) server via een https:// verbinding (zoals https://www.ing.nl).

De verbetering bestaat eruit dat dit passief "afuisteren" en eventueel passief kapen van de verbinding, tijdens het opzetten daarvan, voorkómt. En bij héél stomme servers (die wel https:// ondersteunen maar de browser daar niet automatisch naar doorsturen) voorkómt dit dat derden kunnen afluisteren en wijzigen.

Echter: dit is zinloos bij een actieve AitM. En die AitM hoeft niet eens "in uw netwerk" (*) te zitten: een gespooft (vervalst) DNS-antwoord volstaat.

(*) Denk aan een vals access point bij publieke WiFi, of het netwerk van een hotel of bedrijf (waar u op bezoek bent) waar kwaadwillenden toegang tot hebben.

Demonstratie (Windows)
Hiermee simuleren we een DNS-aanval. Dat is veel lastiger voor aanvallers als u bijv. DoH (DNS over Https) gebruikt, maar dan zijn, op onveilige netwerken, nog steeds AitM-aanvallen mogelijk; het effect daarvan is zeer vergelijkbaar (uw browser komt op een andere site uit, met https, die als twee druppels water op de echte site kan lijken).

In dit voorbeeld gebruik ik almere.nl, een website die (ondanks wetgeving van medio vorig jaar) in elk geval HSTS nog steeds niet juist geconfigureerd heeft (zie https://internet.nl/site/almere.nl/2770195/). Dit om te voorkómen dat HSTS mijn tests in de war schopt.

1) Start uw browser.

2) Stel vast dat "altijd HTTPS" o.i.d. in uw browser nog niet aan staat door http://http.badssl.com te openen. Als er een rode pagina met in witte letters "http.badssl.com" verschijnt, accepteert uw browser, zonder vragen, http-verbindingen.

3) Voeg toe aan het bestand
C:\Windows\System32\Drivers\hosts :
82.94.191.109 almere.nl
Nb. dat IP-adres is van www.security.nl. Het handige van deze website is dat deze aan https-verzoeken meegegeven domeinnamen negeert.

Opmerking: zo'n regel in de hosts file heeft geen effect op subdomeinnamen (zoals www.almere.nl).

4) Tik in de adresbalk van uw browser: almere.nl en druk op Enter. Als ik dat doe verschijnt de home-pagina van https://www.security.nl/ - zonder ook maar één enkele foutmelding.

Indien mijn browser zou zijn doorgestuurd naar bijvoorbeeld https://www-almere.nl, of naar https://almere.nu, en de getoonde pagina had als twee druppels water op die van https://almere.nl geleken, had ik heel goed naar de adresbalk moeten kijken om dat op te merken (ik weet zeker dat heel veel mensen in dit soort trucs trappen).

5) Vergeet na afloop niet om de aan de hosts file toegevoegde regel te verwijderen.

Met "Alleen-HTTPS-modus" INgeschakeld
Of ik "Alleen-HTTPS-modus" kon aanzetten heb ik getest bij de volgende browsers:
Android:
- Firefox: ja
- Firefox Focus: ja
- Firefox Nightly: ja
- Chrome: ja

iOS/iPadOS:
- Chrome: ja
- Safari: nee
- Firefox: nee
- Edge: nee

Windows (alleen 10 getest):
- Firefox: ja
- Edge: ja - na veel uitzoekwerk (zie onder)

Als "Alleen-HTTPS-modus" aan staat, krijg ik altijd een melding uit de betreffende browser zelf als ik http://http.badssl.com (of bijv. http://gemeente.amsterdam) open. In alle gevallen kan ik zelf kiezen of ik door wil gaan via het onveilige http.

TIP: in veel gevallen ondersteunt de uiteindelijke website wel https, maar een "jump site" daarvoor niet. Destijds was dat ook het geval bij http://werk.nl (die geen https ondersteunde) maar de browser wél doorstuurde naar https://www.werk.nl. Als u een "geen https" foutmelding krijgt op bijvoorbeeld example.com kunt u proberen of www.example.com wél https ondersteunt ("example" is hier een voorbeeld).

Windows Edge: "Alleen-HTTPS-modus" INschakelen
Microsoft heeft, in al haar "wijsheid", de instelling "Alleen-HTTPS-modus" verwijderd uit de settings van Edge.

U kunt dit aanzetten door handmatig het register te editten, of door het volgende tekstbestand te maken en op te slaan onder bijv. de bestandsnaam EdgeForceHttps.reg, en daarop te dubbel-klikken (geen admin-rechten nodig, en dit geldt alleen voor de nu ingelogde gebruiker):
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge]
"AutomaticHttpsDefault"=dword:00000002

LET OP: Als u "veilige DNS" (secure DNS) gebruikte, wordt dat hierdoor uitgeschakeld!
Dat kan, ongetwijfeld, ook wel weer met een policy (c.q. de daaruit resulterende registerwaarde) worden gecorrigeerd, maar dat heb ik niet verder uitgezocht.

LET OP: Tijdens mijn experimenten met de "demo" middels de hosts-truc reproduceerden wijzigingen soms niet. Kennelijk had Egde gecached dat almere.nl de inhoud van www.security.nl bevatte. Het wissen van alle browsergeschiedenis loste dit probleem op (mocht u zelf aan het experimenteren slaan, verwijder dan regelmatig de browser history).

Desgewenst kunt u de instelling weer verwijderen door regedit te starten, de sleutel (links) "HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge" te openen, en rechts de waarde-naam "AutomaticHttpsDefault" geheel te verwijderen (door de .reg file opnieuw te draaien wordt deze hersteld). Na dit soort wijzigingen in het register moet u Edge geheel sluiten (alle eventuele vensters) en opnieuw starten.

Waarom "Alleen-HTTPS-modus" INschakelen helpt
In links genoemd of getoond op TV, in kranten en in tijdschriften, word het voorvoegsel https:// in bijna alle gevallen weggelaten - en ik ken maar weinig mensen die dat er zelf vóór typen in de adresbalk van hun browser.

Maar ook bij links in e-mails, in SMS-berichten, in QR-codes en zelfs in webpagina's kan het voorvoegsel zijn weggelaten, of staat er glashard http:// voor - terwijl de gelinkte website gewoon https:// ondersteunt.

Ook als het risico hierdoor meestal klein is, vind ik dit zonde. Ik werk al tijden met "HTTPS-Only" en ondervind zelden onverwachte problemen (en als die er zijn, is dat voor mij vaak reden voor extra onderzoek :-)

Gewoon aanzetten dus, is mijn advies. En klaag bij de eigenaar als diens website niet veilig geconfigureerd is; op de eerste plaats is dat in uw belang!
05-05-2024, 23:21 door Anoniem
Ik was zo klaar met die mooie password managers. Heb ze vervangen door een mooi boekje waar ik het inschrijf. Geen password stealer of cybercrimineel die dat te pakken gaat krijgen.
06-05-2024, 11:27 door Anoniem
Kijk, weer een heldere en voor mij te begrijpen uitleg!
Bedankt mijnheer van Straten.

Noob
10-05-2024, 20:48 door Erik van Straten
Uit https://www.proofpoint.com/us/blog/email-and-cloud-threats/tycoon-2fa-phishing-kit-mfa-bypass:
Unmasking Tycoon 2FA: A Stealthy Phishing Kit Used to Bypass Microsoft 365 and Google MFA
May 09, 2024 Laura Hamel , Garrett Guinivan, and Chris Dawson

How it works
Tycoon 2FA operates as an adversary-in-the-middle (AitM) phishing kit. Its primary function is to harvest Microsoft 365 and Gmail session cookies. Attackers use these cookies to circumvent MFA access controls during subsequent authentication. That allows them to gain unauthorized access to a user’s accounts, systems and cloud services—even those that have additional security measures in place.

What’s new
[...]
• Obfuscation techniques that scramble the code, making it difficult to understand

• Dynamic code generation that alters the code each time it runs, thereby enabling it to evade signature-based detection systems


Where to find it
The group behind Tycoon 2FA sells ready-to-use phishing pages for Microsoft 365 and Gmail via Telegram, a malicious cloud-based encrypted messaging service. Prices start at $120 for 10 days of access to the service, with variations based on top-level domains (TLDs). [...]

How Proofpoint detects threats like Tycoon 2FA
Tycoon 2FA has received considerable attention recently. But Proofpoint has been detecting and blocking activity associated with a range of reverse proxy services for some time. That includes Evilginx and EvilProxy.

Many bad actors continue to use simpler phish kits that are not designed to bypass MFA. But the use of kits that can steal session tokens is on the rise among phishing actors and initial access brokers (IAB). [...]

U kunt voor een beveiligingsoplossing zoals van Proofpoint kiezen, maar wat ik bovenaan deze pagina beschreef, helpt minstens net zo goed. Ik herhaal de hoofdpunten daaruit (met dezelfde nummering):

1) Log uitsluitend in vanaf een betrouwbaar apparaat met uitsluitend betrouwbare software daarop.

2), 4) Kies een betrouwbare wachtwoordmanager die voor u de domeinnaamvan de website checkt, zodat deze géén inloggegevens voorstelt indien de domeinnaam onbekend is.

3) Kijk uit voor nepsoftware; Googlen is bloedlink.

5) Leer hoe uw wachtwoordmanager reageert indien de domeinnaam van de huidige website niet wordt herkend. Ga in geen geval zoeken naar de inloggegevens van een website met een afwijkende domeinnaam.

6) Maak, zo vaak als nodig, backups van de wachtwoorddatabase.

7) U heeft nog steeds een paar wachtwoorden nodig, in elk geval om uw (versleutelde) wachtwoorddatabase te ontgrendendelen. Juist omdat veel mensen die (versleutelde) wachtwoorddatabase op een cloud-drive opslaan (zodat die database vanuit meerdere apparaten gebruikt kan worden, en/of omdat mensen denken dat cloud-opslag veiliger is tegen verlies - wat je nooit zeker weet), is een sterk wachtwoord essentieel (ga ervan uit dat zo'n versleutelde database, vroeger of later, in verkeerde handen valt). Zorg dat u weet aan welke eisen een sterk wachtwoord moet voldoen.

8) Laat uw wachtwoordmanager zo sterk mogelijke (en dus unieke) wachtwoorden voor elk van uw web- (en eventueel andere) accounts genereren.

9) Gebruik een browser die https-only ondersteunt en zet dat aan. Dat betekent niet dat u geen http meer kunt gebruiken, maar wél dat u daar zélf (minstens één keer per domeinnaam) toestemming voor moet geven.

10) Log nooit in en deel nooit gevoelige gegevens via een http-verbinding.

11) Wees extra voorzichtig met websites (waar uw browser een https-verbinding mee heeft) waarop u (nog) geen account heeft, en een account wil aanmaken, en/of vertrouwelijke gegevens op moet invullen, en/of waarop u een betaling moet doen. Probeer uit te vinden wie de eigenaar is van die website. Lukt dat niet, dan is de kans al gauw groot dat u met oplichters te maken heeft.
11-05-2024, 07:49 door Anoniem
Ik schrijf delen van mijn passwords op papier, als geheugensteuntjes. Ik zet er niet bij waar het een password voor is. Zolang ze mijn geheugen niet kunnen hacken ben ik redelijke veilig. Als ik een password lang niet gebreuk, vergeet ik het ontbrekende deel. Top! Als ik een password niet meer weet, streep ik het geheugensteuntje op het papieren lijstje door. Klaar.
11-05-2024, 11:03 door Erik van Straten
Door Anoniem: Ik schrijf delen van mijn passwords op papier, als geheugensteuntjes. Ik zet er niet bij waar het een password voor is. Zolang ze mijn geheugen niet kunnen hacken ben ik redelijke veilig. Als ik een password lang niet gebreuk, vergeet ik het ontbrekende deel. Top! Als ik een password niet meer weet, streep ik het geheugensteuntje op het papieren lijstje door. Klaar.
Dat beschermt niet tegen phishing.
11-05-2024, 11:58 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik schrijf delen van mijn passwords op papier, als geheugensteuntjes. Ik zet er niet bij waar het een password voor is. Zolang ze mijn geheugen niet kunnen hacken ben ik redelijke veilig. Als ik een password lang niet gebreuk, vergeet ik het ontbrekende deel. Top! Als ik een password niet meer weet, streep ik het geheugensteuntje op het papieren lijstje door. Klaar.
Dat beschermt niet tegen phishing.
Klopt. Daarvoor is het nodig om niet te happen.
Jouw puntjes 1), 3) en 9) t/m 11) probeer ik ook te doen.
Alleen wat is "een betrouwbaar apparaat" en "betrouwbare software" tegenwoordig nog? (jouw puntje 1)
Beste is: weinig op internet komen, weinig "exploren".
Je gaat ook niet de sloppenwijken van Rio de Janeiro in als het niet echt moet.
11-05-2024, 12:39 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik schrijf delen van mijn passwords op papier, [...]
Dat beschermt niet tegen phishing.
Klopt.
Ik publiceer voor een grote groep mensen die ik hoop te laten beseffen welke risico's zij lopen. En wat zij, met weinig kennis van zaken, daar het beste tegen kunnen doen.

Jij ridiculiseert mijn advies met een alternatief dat jij beter lijkt te vinden, om vervolgens toe te geven dat het zuigt. Wat hebben lezers uit mijn doelgroep aan jouw "bijdragen"?
11-05-2024, 12:54 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik schrijf delen van mijn passwords op papier, [...]
Dat beschermt niet tegen phishing.
Klopt.
Ik publiceer voor een grote groep mensen die ik hoop te laten beseffen welke risico's zij lopen. En wat zij, met weinig kennis van zaken, daar het beste tegen kunnen doen.

Jij ridiculiseert mijn advies met een alternatief dat jij beter lijkt te vinden, om vervolgens toe te geven dat het zuigt. Wat hebben lezers uit mijn doelgroep aan jouw "bijdragen"?
Hoezo ridiculiseer ik jouw advies? Waarom mag ik een alternatief niet beter vinden?
Hoezo "zuigt"? Je quote alleen het woord "Klopt", de rest laat je weg. Lekker bezig.
Mijn alternatief gaat over wachtwoorden. De rest van je advies ging het niet over.
Waarom jij zo snel op teentjes getrapt? Nergens voor nodig.
11-05-2024, 16:18 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik schrijf delen van mijn passwords op papier, [...]
Dat beschermt niet tegen phishing.
Klopt.
Ik publiceer voor een grote groep mensen die ik hoop te laten beseffen welke risico's zij lopen. En wat zij, met weinig kennis van zaken, daar het beste tegen kunnen doen.

Jij ridiculiseert mijn advies met een alternatief dat jij beter lijkt te vinden, om vervolgens toe te geven dat het zuigt. Wat hebben lezers uit mijn doelgroep aan jouw "bijdragen"?

Ik denk dat de lezers er ook niet veel aan hebben dat jij altijd bij iedere oplossing (niet alleen hier maar ook in andere topics) meteen even vermeldt waarom die niet goed is. Dat gaat zo ver dat je zelfs claimt dat problemen helemaal niet oplosbaar zijn.

Daar hebben de lezers uit jouw doelgroep HELEMAAL NIETS aan! Want in tegenstelling tot wat bepaalde mensen hier denken of vinden, moeten of in ieder geval willen "de mensen" wel meedoen met een samenleving die gebruik maakt van internet. Ze willen helemaal niet als kluizenaar leven.
11-05-2024, 21:03 door Erik van Straten
Door Anoniem: Ik denk dat de lezers er ook niet veel aan hebben dat jij altijd bij iedere oplossing (niet alleen hier maar ook in andere topics) meteen even vermeldt waarom die niet goed is.
Meestal onderbouw ik dat met zorgvuldig gewogen argumenten, die zelden met steekhoudende tegenargumenten worden bestreden. Hierboven is dat niet anders.

Door Anoniem: Dat gaat zo ver dat je zelfs claimt dat problemen helemaal niet oplosbaar zijn.
Ik claim zelden of nooit "dat problemen helemaal niet oplosbaar zijn". Wel schrijf ik vaak dat veel ingewikkelde problemen niet met uitsluitend techniek kunnen worden opgelost. Zoals betrouwbare online leeftijdsverificatie en/of online authenticatie.

En in tegenstelling tot wat Anoniem in https://security.nl/posting/841164 schreef:
Beste is: weinig op internet komen, weinig "exploren".
Je gaat ook niet de sloppenwijken van Rio de Janeiro in als het niet echt moet.
schrijf *ik* nergens dat mensen "als kluizenaar" zouden moeten leven. Integendeel, met posts zoals op deze pagina probeer ik mensen juist te laten zien hoe zij zo veilig mogelijk niet als een internet-kluizenaar hoeven te leven.

Bovendien schrijf ik regelmatig dat je, "dankzij" DV-certificaten, als doorsnee internetter géén idee hebt of je een pand in één van "de sloppenwijken van Rio de Janeiro" betreedt, of eentje in de Kalverstraat.

Ofwel je bent mij valselijk aan het beschuldigen, ofwel je komt met bewijzen:

1) Geef eens minstens twee (want je schreef "problemen", meervoud dus) voorbeelden (met links) van waar ik claim "dat problemen helemaal niet oplosbaar zijn";

2) Geef eens een voorbeeld (met link) van waar ik suggereer dat mensen "als kluizenaar" zouden moeten leven.

En als jouw "bijdrage" aan internet niet uitsluitend bestaat uit lastercampagnes jegens anderen, voeg dan links toe naar posts van jou waar anderen van kunnen leren hoe zij veiliger kunnen internetten.
11-05-2024, 21:31 door Anoniem
Ik vind de tips top en snap ook het punt van de anoniem.

@erik: meer tips zeer welkom, ook (bv) over of een
vpn zinnig of niet (zeer veel tegenstrijdige informati
Online)
12-05-2024, 13:07 door Anoniem
Door Erik van Straten:

En in tegenstelling tot wat Anoniem in https://security.nl/posting/841164 schreef:
Beste is: weinig op internet komen, weinig "exploren".
Je gaat ook niet de sloppenwijken van Rio de Janeiro in als het niet echt moet.
schrijf *ik* nergens dat mensen "als kluizenaar" zouden moeten leven. Integendeel, met posts zoals op deze pagina probeer ik mensen juist te laten zien hoe zij zo veilig mogelijk niet als een internet-kluizenaar hoeven te leven.

Je hoeft echt niet meteen een "kluizenaar" te worden als je de sloppenwijken van Rio de Janeiro niet ingaat.
Zelfde geldt voor internet. Er bestaat een hele grote wereld buiten internet. Klinkt misschien heel gek, maar toch is het echt waar. Die kun je ook "exploren". Da's ook nog goed voor je sociale contacten. Kom je weer eens wat anders tegen dan avatars, reaguurders, phishers, dating scammers, fake news en deepfakes.
Geniet van de zon! (de echte)
12-05-2024, 13:54 door Anoniem
Ze willen helemaal niet als kluizenaar leven.
Dus als je geen kluizenaar wil zijn moet je het internet op, is het niet zo dat je juist een soort
kluizenaar bent als je zowat al je kennissen via internet hebt. Ik begrijp echt niet hoe je op zo
een gedachte komt.

Dat gaat zo ver dat je zelfs claimt dat problemen helemaal niet oplosbaar zijn.
Is het niet zo dat je een probleem wat je “nog” niet kent niet kunt oplossen, en juist deze problemen
komen veel voor op internet en maken internet onveilig.

Eric wil gewoon een poging doen om mee te werken om internet zo veilig mogelijk te maken, wat is daar
mis mee.

Ik ben ervan overtuigd dat veel problemen niet oplosbaar zijn in de natuurkunde. Maar onze gedachten
zijn zo dat wij alles kunnen, weet je eigenlijk wel hoe oud het eerste computer pr eigenlijk is of waarom
wifi mogelijk is. Ja alle bij vrouwen, geweldig toch of niet.

https://www.nationalgeographic.nl/geschiedenis-archeologie/a44770926/ada-lovelace

https://techpulse.be/nieuws/231826/transformation-thursday-hedy-lamarr-uitvinder-van-de-moderne-wifi/
12-05-2024, 16:51 door Erik van Straten
Door Anoniem:
Door Anoniem: Dat gaat zo ver dat je zelfs claimt dat problemen helemaal niet oplosbaar zijn.
Is het niet zo dat je een probleem wat je “nog” niet kent niet kunt oplossen, en juist deze problemen
komen veel voor op internet en maken internet onveilig.
Ik heb nog geen mening over problemen en/of oplossingen die ik niet ken.

De laster verspreidende anoniem van 11-05-2024, 16:18 heeft (geheel conform mijn verwachting) nog niet inhoudelijk gereageerd, maar wie weet helpt het volgende lijstje van m.i. slechte "oplossingen" haar of hem (of het).

"Oplossingen" die meestal zijn bedacht door naar inkomsten zoekende en/of uitgebreid lobbyende tech-solutionisten. "Oplossingen" waar ik, in de meeste gevallen, een uitgesproken mening over had en heb, zoals (in min of meer chronologische volgorde, uit m'n hoofd):

• Stemcomputers
• Spamfilters
• SPF (Sender Permitted From, nu S. Policy Framework)
• Internetbankieren
• EPD en, meer recent, opvolger EHDS
• Fotokopie of scan van paspoort afgeven/verzenden
• BSN geheimhouden
• Cryptovaluta
• DV-certificaten
• DKIM, DMARC, ARC, [...]
• Onnodige burgersurveillance (video, WiFi, BT, IMEI etc)
• 2FA (een soort MFA) via OTP, meestal SMS of TOTP
• Sleepnetten: allerlei communicatievormen aftappen
• CoronaMelder (zelfs technisch totaal onrealistisch)
• CoronaCheck
• BIMI
• Online leeftijdsverificatie (waaronder IRMA en Yivi)
• Online absolute authenticatie (incl. EDIW, VideoIdent)
• CSS (Client Side Scanning)
• AI en "algoritmes" inzetten als "objectieve" beslissers
• Passkeys

Vaak spreekt de oplossing in de basis aan, maar zijn er veel te veel bijwerkingen (bijv. bias, veel valspositieven en/of valsnegatieven), ligt scope-creep voor de hand, zijn de risico's te groot, is omzeilen van restricties simpel en/of is impersonatie (vaak door AitM's) veel te eenvoudig.

De problemen als gevolg van de keuzes voor dit soort oplossingen worden vaak enorm vergroot doordat de nadelen van die "oplossingen" aanvankelijk worden verzwegen en latere publicaties daarover worden gebagatelliseerd of afgedaan als leugens.
13-05-2024, 00:50 door Erik van Straten
Bovenaan schreef ik onder meer:
6) Maak backups van de wachtwoorddatabase
Verzeker u ervan dat, na elke wijziging in de wachtwoorddatabase, deze op minstens twee plaatsen wordt opgeslagen (meestal op het apparaat zelf en in een cloud-account). Maak daarnaast regelmatig minstens één offline backup van die database.
Alleen opslaan "in de cloud" is niet genoeg, zie https://tweakers.net/nieuws/221800/google-cloud-wist-per-ongeluk-account-van-australisch-pensioenfonds.html.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.