Articles

1820: Beveiligingsadvies

Geheimzinnige vragen zijn geen 2-factorauthenticatie (2FA). Ze zijn gewoon een heel lullig wachtwoord, iets dat je weet. –JakubNarebski (talk) 14:33, 5 april 2017 (UTC)

Secret questions zijn meer een soort 0-factor authenticatie, omdat ze typisch om openbare gegevens vragen. Shirluban 141.101.88.106 14:39, 5 april 2017 (UTC)

Zelfs als het niet openbaar is, is het vaak erg onveilig – zoals: “je wachtwoord moet hoofdletters, kleine letters, cijfers” en andere eisen hebben – als je het vergeet voer je gewoon het merk van je eerste auto in, er zijn ongeveer 20 waarschijnlijke antwoorden (maak er 40 van als je aanvullend moet zien of het al dan niet met een hoofdletter is geschreven) 162.158.92.46 15:18, 5 April 2017 (UTC)

Gebruik priemgetallen in je wachtwoord: dit zou het aantal mogelijke wachtwoorden voor een hacker om te controleren alleen maar beperken.

Gebruik speciale tekens zoals & en % : dit advies wordt grondig behandeld in https://xkcd.com/936/ Het veranderen van tekens in een speciale voegt inderdaad maar heel weinig toe aan de zoekruimte. Een video van Computerphile stelt echter voor om ergens in het wachtwoord een willekeurig teken in te voegen, wat eigenlijk best nuttig zou kunnen zijn

162.158.111.211 14:53, 5 april 2017 (UTC)

Merk op dat als je elk getal n vervangt door het n-de priemgetal de veiligheid van je wachtwoord echt beter zou zijn. Zo ook de lengte, natuurlijk. — Hkmaly (talk) 23:44, 7 April 2017 (UTC)

Misschien moet je echt een beveiligd lettertype gebruiken Font related bug 162.158.79.161 15:13, 5 April 2017 (UTC)

Moet de tip met het blauwe vinkje worden genoteerd als zijnde alleen nuttig op Twitter? Meestal is het advies niet van toepassing op e-mails, die aanzienlijk meer kans hebben om naar je minder geheime accountgegevens te vragen, maar ook aanzienlijk minder kans hebben op een blauw vinkje. 162.158.2.10 15:15, 5 April 2017 (UTC)

“Als een grenswacht vraagt om je laptop te onderzoeken, heb je het wettelijke recht om ze uit te dagen tot een schaakspel om je ziel.”, weet iemand van jullie precies wat hier het oorspronkelijke advies is? Dit is waarschijnlijk verschillend in verschillende landen, maar als ik het me goed herinner kun je niet voorkomen dat ze je apparaat in beslag nemen, maar je bent niet verplicht om ze je wachtwoorden te geven (maar ze kunnen het je wel moeilijk maken of je de toegang ontzeggen als je geen burger bent). Kan iemand dit bevestigen? 108.162.216.22 15:16, 5 april 2017 (UTC)

In het VK kan de politie je wachtwoord eisen als ze een misdrijf vermoeden, en grenspersoneel kan je wachtwoord eisen, zelfs zonder toestemming. Mensen kunnen – en zijn – in de gevangenis gezet voor het niet verstrekken van een wachtwoord. Cosmogoblin (talk) 23:39, 15 August 2018 (UTC)

De rijsttruc werkt niet eens voor natte telefoons. http://www.gazelle.com/thehorn/wp-content/uploads/2014/05/Water-Damage-Prevention-and-Recovery.pdf 162.158.111.211 15:33, 5 april 2017 (UTC)

Ja – was me voor! De rijsttruc werkt niet…niet voor telefoons of iets anders wat dat betreft. Dus dit is dubbel slecht advies. 162.158.69.39 16:06, 5 April 2017 (UTC) Als iemand die met elektronica heeft gewerkt, opgeleid in elektronica ontwerp, vind ik de meest effectieve oplossing om alle stroom zo snel mogelijk te verwijderen – trek de stekker uit het stopcontact en verwijder de batterij – laat het dan opdrogen. Vloeistof beschadigt door elektriciteit toe te staan paden te nemen die het niet zou moeten nemen. Geen stroom, geen probleem. Daarom vertrouw ik niet en zal ik nooit een apparaat vertrouwen waarvan je de batterij niet snel kunt verwijderen (iPads en veel iPhones, bijvoorbeeld). Geen batterij eruit halen betekent voor mij risico. – NiceGuy1 108.162.219.88 07:20, 7 april 2017 (UTC) Ik heb me eindelijk aangemeld! Deze opmerking is van mij. NiceGuy1 (talk) 05:07, 13 June 2017 (UTC)

Grenswacht – Ik zou graag wat meer uitleg zien, alsjeblieft, over hoe Ingmar Berman’s film een man laat zien die schaakt met de Dood, en eventueel de beruchte subversie van deze trope in Bill And Ted’s Bogus Journey. Zoals het nu is, is de uitleg alleen de kale botten. –172.68.34.52 17:35, 5 April 2017 (UTC)

Het controleren van het hangslotpictogram in je browser is niet genoeg om er zeker van te zijn dat je echt verbonden bent met de site die je denkt. Je moet ook het domein controleren, om er zeker van te zijn dat je niet op een typosquatter domein zit (bijv. explianxkcd.com in plaats van explainxkcd.com). Voor echt belangrijke zaken zoals bankieren, zou je moeten controleren op een Extended Validation Certificate (Firefox toont de naam van de organisatie die de website beheert naast het hangslot om een EV-Certificaat aan te geven). Dit betekent, dat de CA gecontroleerd heeft of de website operator echt is wie hij voorgeeft te zijn (en daar een flinke som geld voor neemt). Ja, ik weet het, beveiliging is niet gemakkelijk. De hersenen gebruiken kan nog steeds niet vervangen worden. –162.158.202.160 20:14, 5 April 2017 (UTC)

Extended Validation Certificate betekent dat de CA gecontroleerd zou MOETEN hebben …. Symantec heeft dat bijvoorbeeld niet gedaan (en Google straft ze daarvoor). — Hkmaly (talk) 23:44, 7 April 2017 (UTC)

Deze twee karakters worden vaak niet toegestaan in wachtwoorden vanwege hun relevantie voor SQL (een veelgebruikte database query taal). Een slecht geschreven beveiligingssysteem dat SQL gebruikt, zou ernstige bugs (en kwetsbaarheden) kunnen hebben als deze tekens in een wachtwoord werden gebruikt. Dus in plaats van de bugs te verhelpen, worden gebruikers vriendelijk verzocht/verboden om & en % te gebruiken omdat dat het systeem zou breken? Vertrouwen op empathie in plaats van het probleem op te lossen, vergelijkbaar met “breek alstublieft niet in, we zijn te arm om een fatsoenlijk slot te betalen”. Klinkt zoals Black Hat in een rol als beveiligingsadviseur zou kunnen bedenken. 162.158.111.211 21:01, 5 April 2017 (UTC)

Ik zag ooit een grappige melding bij een inlogscherm. Die luidde: “Log alleen in als u een geautoriseerde gebruiker bent”. Hilarisch… Elektrizikekswerk (talk) 13:03, 6 april 2017 (UTC) Omgekeerd, voor mijn werk moet ik met een 2-factor autorisatiemethode komen. Een simpel wachtwoord is één factor. Ik dacht dat de tweede factor makkelijk was: je moet ook fysiek toegang hebben tot een computer in het netwerk. Blijkbaar is dat niet “technisch” genoeg of zo, externe adviseurs vertellen ons dat het feit dat een hacker fysiek moet inbreken om het systeem te hacken niet telt als een tweede factor. (als iemand een autoriteit kan aanwijzen die zegt dat dat wel zo is zou ik heel blij zijn!) 162.158.111.211 00:27, 7 April 2017 (UTC)

“Turing-complete kerning specification language in OpenType fonts” heeft een citatie nodig. Wordt hiermee alleen de TeX taal in het algemeen bedoeld?

“het banksysteem in de VS, waar er zeer weinig beveiliging is voor direct account drafts, en daarom wordt daar geadviseerd om het rekeningnummer zo geheim mogelijk te houden. In Europa daarentegen…” moet ook geciteerd worden. Waarom is het geven van je bankrekeningnummer veiliger in Europa? Ik googlede wat rond maar kon geen enkele verificatie hiervan vinden (afgezien van discussies over chips vs. magneetstrips, wat een andere kwestie is).–Tractarian (talk) 17:29, 6 April 2017 (UTC)

Uit ervaring, hier in het Verenigd Koninkrijk, als ik wilde dat iemand online geld naar me overmaakte, gaf ik ze gewoon mijn rekeningnummer en routing (of “sort”) code. Mensen publiceren deze informatie zelfs op websites.

Er zijn hier veel regels die de banken aansprakelijk stellen voor frauduleuze en niet-geautoriseerde transacties, zolang de consument niet onzorgvuldig is geweest of de regels van zijn rekening heeft overtreden.

Zie https://www.directdebit.co.uk/DirectDebitExplained/pages/directdebitguarantee.aspxhttps://www.chequeandcredit.co.uk/information-hub/faqs/cheque-fraud

Maar ik kan me niet voorstellen hoe iemand een transactie vanaf mijn rekening zou kunnen initiëren zonder een document te vervalsen of mijn online bankgegevens te hacken (voor elektronische overboekingen).–162.158.111.37 19:33, 6 April 2017 (UTC)

Ja vanuit mijn, Nederlandse, optiek komt dat deel ook vreemd over. Zo van “ik vertel je mijn e-mail adres niet dus je kunt mijn e-mail niet lezen”. Bovendien, iedereen aan wie je ooit geld hebt gestuurd krijgt toch je rekeningnummer te weten? Kunnen ze daarna zomaar een bank binnenlopen en zeggen “Hallo, ik ben John, rekeningnummer 12345, geef me $5000 alstublieft”? Ik wil wel een strip met mijn rekeningnummer om te testen hoe gekwetst ik zou zijn als ik het de hele wereld zou vertellen 🙂 Het wordt nog vreemder, om een terugbetaling op mijn credit card te krijgen moest ik niet alleen mijn credit card nummer geven maar ook de vervaldatum. Ik beschouwde de vervaldatum altijd als een heel eenvoudig wachtwoord om te bewijzen dat je de kaart zelf hebt. Dit voelde meer als “Je zou toch niet willen dat totale vreemden geld op je rekening zetten?” (Nu ik erover nadenk, misschien wordt het gebruikt als een “checksum”). 162.158.111.211 22:35, 6 April 2017 (UTC)Als een Noord-Amerikaan, lijkt het hier dat iemand toestaan om je rekeningnummer te kennen een dief potentieel een doelwit geeft. Als ze erin slagen om op de een of andere manier hun weg naar je bank te hacken, weten ze nu een geldig rekeningnummer om op te mikken. Veel minder verdacht dan hun geluk beproeven met het kiezen van een willekeurig. En als we geld naar elkaar overmaken, komt het rekeningnummer er niet aan te pas. Ik ga naar de website van mijn bank, start een overschrijving, en zeg dat ik X dollar naar deze e-mail account moet sturen, en ik voeg een veiligheidsvraag toe – “Wat is mijn favoriete online comic?” – en het antwoord – “xkcd”. Ze krijgen de e-mail, selecteren naar welke bank ze het geld willen overmaken (en loggen in op de website van hun bank), en geven dan het afgesproken of bekende antwoord op mijn vraag. Onze rekeningnummers worden alleen gebruikt / gedeeld met onze eigen respectievelijke banken. – NiceGuy1 108.162.219.88 07:20, 7 april 2017 (UTC) Ik heb me eindelijk aangemeld! Deze opmerking is van mij. NiceGuy1 (talk) 05:07, 13 juni 2017 (UTC)Er is niets veilig aan een creditcard. Zelfs het Card Security Code nummer is alleen beschermd doordat mensen het niet mogen opslaan in database. Ja ik weet zeker dat dieven zich aan deze regel zouden houden. En die e-Transfer … dus als iemand die email onderschept en tegen de bank zegt dat het naar zijn emailadres komt, zou de bank het geld naar hem sturen? Lijkt me ook niet veilig ; email is een zeer onveilige manier om gegevens uit te wisselen. — Hkmaly (talk) 23:44, 7 April 2017 (UTC) Daarom hebben tegenwoordig zelfs creditcards een pincode. En eigenlijk zijn e-Transfers een van de meest veilige dingen waar ik aan deelneem. Aan beide kanten van de overschrijving (d.w.z. zowel ik als de persoon die ik betaal) moeten we elk afzonderlijk een login hebben ingesteld bij onze banken, een die ons bankkaartnummer en/of rekeningnummer gebruikt (vandaar een deel van de reden voor de afkeer van een Noord-Amerikaan om iemand te laten weten wat het is), en die een wachtwoord bevat zoals elke andere login. Iemand die geld van mij wil stelen door het van mijn rekening over te schrijven, heeft dus mijn inlognaam (als mijn bank er een gebruikt) of kaartnummer of rekeningnummer nodig – wat de bank ook gebruikt om na te gaan wie je online bent, plus dat hij moet weten welke hij moet weten. De dief kan niet zomaar een nieuwe login aanmaken voor mijn rekening, want ik heb er al een, en banken staan geen dubbele rekening toe. Ze zouden ook mijn wachtwoord nodig hebben. En om mijn overschrijving te onderscheppen, zou iemand naast dat alles (voor mijn ontvanger deze keer) ook de e-mail moeten onderscheppen – die mijn ontvanger weet te verwachten, meestal binnen een paar minuten nadat de e-mail zal aankomen – maar ook het antwoord op de door mij gestelde vraag moeten weten, wat meestal informatie is die je alleen met de ontvanger deelt. Ik moet denken aan Harry Potter And The Half-Blood Prince, waar alle goede mensen voor de zekerheid persoonlijke veiligheidsvragen opstelden om elkaars identiteit te bevestigen. In dit geval kan het zo simpel zijn als “Waar ben ik nu?”, wat je besproken zou hebben bij het regelen van de betaling, of “Waar hebben we elkaar ontmoet?” of “Welke leraar hebben we allebei gehad?”, dat soort dingen. – NiceGuy1 162.158.126.76 05:53, 12 april 2017 (UTC) De mijne ook! NiceGuy1 (talk) 05:07, 13 juni 2017 (UTC) In het Verenigd Koninkrijk raakte de overheid in 2008 25 miljoen sets bankrekeninggegevens kwijt (op twee onversleutelde cd’s die via de post werden verstuurd – dit soort datalekken is een veelvoorkomend tijdverdrijf van Britse overheidsdiensten). Jeremy Clarkson beweerde dat er geen veiligheidsprobleem was, en om dat te bewijzen publiceerde hij zijn bankrekening en sorteercode. Binnen enkele dagen had iemand 500 pond van zijn rekening gedoneerd aan Diabetes UK. Cosmogoblin (talk) 16:07, 22 juli 2018 (UTC)

“Klik niet op links naar websites”
Omdat het triviaal is om een link “schmoo.com” te laten weergeven, maar je in werkelijkheid naar “dastardlyevil.com” te laten sturen wanneer erop wordt geklikt, is dit eigenlijk bruikbaar advies. Als de link een adres van een website weergeeft dat correct is, markeer en kopieer dan de tekst en plak die direct in de adresbalk van een browser. Is dat niet het geval, klik dan met de rechtermuisknop op de link, kopieer het verborgen linkadres en plak dat in de adresbalk. Natuurlijk moet je dan wel goed controleren dat het gekopieerde adres niet bougus is. This Are Not The Comments You Are Looking For (talk) 00:49, 9 April 2017 (UTC)

Meestal laat elke software die ik gebruik het echte adres in de statusbalk zien als ik met de muis over de link ga. Ik controleer altijd of deze overeenkomen, en zo ja, dan weet ik dat ik me vrij kan voelen om te klikken (ervan uitgaande dat het genoemde overeenkomende adres er een is die ik wil bezoeken, natuurlijk, LOL!) – NiceGuy1 162.158.126.76 05:53, 12 april 2017 (UTC) Ik heb me eindelijk aangemeld! Deze reactie is van mij. NiceGuy1 (talk) 05:07, 13 juni 2017 (UTC)Ik ga verder – als ik ook maar een beetje verdacht ben van een link typ ik hem direct. Copy-paste zal homoglyphs behouden, tekens die op elkaar lijken maar het niet zijn; explainxkcd.com is bijvoorbeeld correct, maar eхplainхkcd.com is dat niet (met gebruik van de cyrillische HA in plaats van de Latijnse x), en zou als een heel andere website geregistreerd kunnen worden. Cosmogoblin (talk) 16:16, 22 juli 2018 (UTC)

“Als de rookmelder volgens de authenticatielogica zou werken, zal het minder waarschijnlijk zijn dat hij rook detecteert, waardoor de brandveiligheid effectief afneemt in vergelijking met een exemplaar met één sensor.”

Het zal minder waarschijnlijk zijn dat hij brand detecteert, maar dat betekent niet noodzakelijk een mindere veiligheid. Er is een mogelijkheid van een “brandalarm dat wolf riep” syndroom. Als er ooit een echte noodsituatie is, wil je echt niet dat mensen denken “het is waarschijnlijk gewoon weer een rokende broodrooster, ik heb tijd om snel te douchen en mijn tanden te poetsen voordat ik vertrek”. –172.68.54.52 08:04, 9 april 2017 (UTC)

Het gaat hier niet om meer veiligheid, maar om minder valse alarmen. Op dezelfde manier zou je in kamers waar je regelmatig “rook” hebt een detector kunnen installeren die niet op rook scant maar in plaats daarvan op warmte of infrarood licht, of je zou twee rookmelders kunnen installeren in de uiterste hoeken van een grotere kamer, die alleen een alarm geven als ze allebei rook detecteren. –162.158.90.126 13:28, 9 april 2017 (UTC)In een dergelijk systeem met twee rookmelders kan een klein brandje uitbreken in de buurt van één rookmelder, dat tegen de tijd dat het genoeg rook heeft geproduceerd om de andere rookmelder te activeren en het alarm af te laten gaan, zover is gegroeid dat het nu moeilijk te bestrijden is, en op zijn minst aanzienlijke schade heeft aangericht die voorkomen had kunnen worden als de eerste rookmelder onmiddellijk “alarm” had geslagen. Een systeem dat zichzelf in twijfel trekt is NIET goed. – NiceGuy1 162.158.126.76 05:53, 12 april 2017 (UTC) Ik heb me eindelijk aangemeld! Deze opmerking is van mij. NiceGuy1 (talk) 05:07, 13 juni 2017 (UTC)

Vierde amendement is niet van toepassing op grens- of douanezoekingen

Zie uitzondering grenszoekingen: https://en.m.wikipedia.org/wiki/Border_search_exception

In feite hebben we niet de hele alinea over het vierde amendement nodig.

  • Gebruik de telefoon van een burner

Hoewel het mogelijk is dat “burner” verwijst naar iemand die het Burning Man festival bijwoont, denk ik dat het waarschijnlijker is dat dit verwijst naar iemand die marihuana rookt, wat een veelgebruikte term is in populair informeel Engels. Dit legt ook een mooi verband met het deel over het typische gebruik van burner phones door drugsdealers. –Ianrbibtitlht (talk) 14:11, 8 June 2017 (UTC)

Mee eens. Ik heb het gevoel dat er geen sprake van is, Randall verwijst naar een wietroker, ik betwijfel of er ooit een bedoeling van hem was om hier naar Burning Man te verwijzen. NiceGuy1 (talk) 05:24, 13 June 2017 (UTC)

De tip in de titeltekst is technisch gezien niet verkeerd, alleen misleidend, want je moet je wachtwoorden of bankinfo niet aan mensen zonder blauwe vinkjes geven. Je moet ze natuurlijk ook niet aan mensen met blauwe vinkjes geven, maar dat maakt de tip nog niet verkeerd. PotatoGod (talk) 15:44, 10 augustus 2018 (UTC)