Internetbankieren
Je geld staat op je bankrekening – het is dus logisch dat fraudeurs en cybercriminelen daar graag bij willen. Er bestaat geen volledige veiligheid bij online bankieren, maar je kunt het criminelen wel extreem moeilijk maken.
AAN DE SLAG!
Om er zeker van te zijn dat je in geval van nood geen bestanden verliest, heb je een back-up nodig. Het maakt in eerste instantie niet uit hoe je die creëert, want elke back-up is beter dan helemaal geen backup. Het belangrijkste is in ieder geval dat je dat ook daadwerkelijk doet. Het juiste moment daarvoor is altijd eigenlijk simpel: nu!
Maak eerst een back-up van de belangrijkste bestanden. Begin met de bestanden die alleen beschikbaar zijn als uniek exemplaar, zoals scripties, belastingdocumenten en andere werkresultaten. Denk ook aan allerlei originele foto’s, video’s en correspondentie. Overweeg voor de andere bestanden hoe tijdrovend het zal zijn om er opnieuw aan te komen of ze te bewerken.
VUURBESTENDIG
Als er brand in je huis uitbreekt, zal ook een usb-schijf naast de pc verbranden. Je back-upmedium moet dan ook ergens anders heen. Een kelder en zolder mogen dan voor de hand liggen, maar die voldoen niet want het bluswater loopt de kelder in en het vuur gaat overal naartoe. Kortom: de back-up moet het huis verlaten. Neem bijvoorbeeld na een werkdag een van je back-upmedia mee naar huis of bewaar die bij familie.
BESCHERMING TEGEN ‘OEPS!’
Een bescherming tegen bestandsverlies ten gevolge van soms helaas niet te voorkomen bedieningsfouten en hardwareuitval wordt geboden door zo’n beetje elke kopie die apart van het origineel wordt opgeslagen. Voor kleine hoeveelheden bestanden kan een usb-stick of dvd voldoende zijn als opslagmedium.
Voor leken is het vaak makkelijker om dingen op papier af te drukken. Dat type back-up doorstaat zelfs de tand des tijd: een foto van 60 jaar oud kan wel vergeeld zijn, maar het onderwerp is nog steeds herkenbaar. Ter vergelijking: probeer eens iets te lezen van een cd die half zo oud is.
VEILIG TEGEN TROJANS
De versleutelings-trojans van dit moment vallen zo’n beetje alles aan wat ze kunnen bereiken. Ze proberen zich daarbij zelfs de ontbrekende toegangsrechten toe te eigenen. Daarom is een back-up alleen betrouwbaar als je die technisch gescheiden houdt van het origineel. Hij mag vanaf de broncomputer op geen enkele (!) manier bereikbaar zijn.
Een usb-stick die wordt losgekoppeld nadat de back-up gedaan is, is technisch gezien wel gescheiden – maar wees voorzichtig: als je hem weer aansluit voor de volgende back-up, is hij dat niet meer. De enige manier om dat te voorkomen, is het gebruik van meerdere back-upmedia, afwisselend of in de vorm van wegwerpmedia zoals dvd’s.
DIEFSTALBESTENDIG
Als een dief toegang tot de back-upmedia krijgt, kan hij de bestanden die daar op staan gewoon lezen. Het is daarom het beste om die in een brandwerende kluis te stoppen. Als alternatief helpt om de back-upbestanden te versleutelen – dan krijgt de dief bij gebrek aan een sleutel alleen nog maar onzinnige gegevens te zien. Zorg er wel voor dat je de back-up in geval van nood weer opnieuw kunt ontcijferen, dus verlies de sleutel zelf niet.
HERSTELLEN
Zolang je je back-up niet een keer hebt hersteld voor testdoeleinden, mag je die back-up eigenlijk niet als betrouwbaar beschouwen. Zorg ervoor dat je een andere pc gebruikt om het herstellen te testen – als de oude is verbrand of gestolen, zul je met precies dezelfde situatie te maken krijgen.
BLIJVEN HERHALEN
Back-ups verouderen omdat de bestanden die sindsdien zijn toegevoegd er natuurlijk niet in worden meegenomen. Maak dus regelmatig een back-up van je bestanden. Het is nog beter als je het proces zodanig automatiseert dat het zonder actieve hulp verloopt. Zorg er in dat geval voor dat eventuele storingen worden gedetecteerd en dat je daarover geïnformeerd wordt.
RUSTIG SLAPEN
Voldoet je back- voldoet aan alle eisen? Gefeliciteerd! Zo niet: kijk dan eens in c’t 3/2020 op pagina 82 hoe je met Duplicati makkelijk een centrale back-upprocedure kunt instellen.
Literatuur
[1] Ronald Eikenberg en Daniel Dupré, FIDO2-beveiligings sleutels om in te loggen met of zonder wachtwoord, c’t 4/2020, p.38
VERWACHT BEZOEKERS
Een server die toegankelijk is op internet via het IPv4-adres is niet geheim te houden door er geen domeinnaam voor in te stellen. Een aanvaller kan in minder dan een uur alle adressen op internet uitproberen en vindt jouw ‘geheime’ site dan net zo makkelijk.
Beveilig de vertrouwelijke informatie daarom altijd met een wachtwoord. Zelfs als je je server alleen toegankelijk maakt via IPv6, waarbij de kans op een toevallige ontdekking een heel stuk kleiner is, is een wachtwoord voor je serverdiensten nodig. In het beste geval publiceer je je diensten onder een DNS-naam en activeer je HTTPS.
WACHTWOORDEN HASHEN
Als je een eigen dienst ontwikkelt, sla de wachtwoorden van je gebruikers dan nooit leesbaar op. Gebruik in plaats daarvan een moderne hashmethode zoals PBKDF2 en sla alleen de (bij voorkeur salted) hashwaarde op in je database. Sla bovendien zo min mogelijk gegevens over je gebruikers op. Gebruik populaire crypto-bibliotheken die door een grote community ontwikkeld zijn.