XS4ALL Weblog

In de Tweede Kamer over de Bewaarplicht

Niels Huijbregts

Gisteren vergaderde de Vaste Kamercommissie voor Veiligheid en Justitie over de bewaarplicht telecomgegevens. In een rondetafelgesprek vertelden experts over de voor- en nadelen van de bewaarplicht, zodat de kamerleden zich konden voorbereiden op een overleg op 25 maart. Ik was uitgenodigd om namens XS4ALL mijn visie te geven.

Politie en openbaar ministerie kwamen als eerste aan het woord; zij benadrukten hoe belangrijk de bewaarplicht is en waarschuwden voor een digitale vrijstaat als de bewaarplicht wordt ingeperkt. Hoogleraar Egbert Dommering veegde de vloer aan met de argumenten die politie en OM hadden aangevoerd en wees de Kamer erop dat het opslaan van de telecommunicatiegegevens van alle burgers simpelweg niet mag: het Europese Hof van Justitie heeft bepaald dat dat een te zware inbreuk vormt op de privacy van burgers.

Jacob Kohnstamm van het CBP benadrukte dat hij niet per definitie tegenstander was van de bewaarplicht, maar dat voor zo’n inbreuk op de privacy eerst moet worden aangetoond dat de bewaarplicht noodzakelijk is voor het bestrijden van zware criminaliteit. ‘De afgelopen vier jaar hebben we in Nederland een bewaarplicht gehad, dus die noodzaak moet eenvoudig aan te tonen zijn’. Dat de politie desondanks niet kan aantonen dat de bewaarplicht noodzakelijk is, noemde hij laakbaar.

Toen het in het vierde blok van de sessie mijn beurt was, had het weinig zin nogmaals over de inbreuk op de privacy te beginnen. Hoewel dat ook voor ons het belangrijkste bezwaar is, was dat onderwerp inmiddels voldoende toegelicht en heb ik de commissie verteld over de onmogelijke positie waarin providers zich door de bewaarplicht bevinden:

Afgelopen week ontving XS4ALL een brief van een klant, waaruit ik u graag een stukje voorlees:

“Op grond van de Wet bewaarplicht telecommunicatiegegevens bent u verplicht langdurig een groot aantal gegevens over mijn communicatiegedrag te bewaren. (…) Nu de regering expliciet stelt dat de huidige bewaarplicht strijdig is met het Handvest, betekent dit dat de bewaarplicht geen toepassing kan
vinden (…) Ik verzoek u dan ook, het bewaren van mijn persoonsgegevens in het kader van de bewaarplicht
per direct te staken, en mijn persoonsgegevens die u reeds heeft
opgeslagen per direct te verwijderen.”

Deze brief laat uitstekend zien in wat voor een onmogelijke positie wij ons bevinden: we zitten klem tussen de overheid en onze klanten. De minister verplicht ons door te gaan met het opslaan van gegevens en de toezichthouder volgt hem daarin, terwijl onze klanten in de krant lezen dat dat in strijd is met de wet. Voor onze klanten is het volstrekt onduidelijk: geldt de wet nu wel of niet?

Wij zijn het zeer eens met de redenering en argumenten van deze klant. De bewaarplicht maakt inbreuk op de privacy van de klant, maar als we ingaan op zijn verzoek dan zouden we direct ingaan tegen het beleid van de minister, en handhaving daarvan uitlokken. Het pijnlijke daarbij is dat het verwijt over privacyschending van onze abonnees bij ons komt te liggen. Het is juist onze rol om over de privacy van onze klanten te waken.

Vervolgens ging ik in op de proportionaliteit van de bewaarplicht:

Bij de hele discussie over de bewaarplicht gaat het vooral om de proportionaliteit van het middel: in hoeverre weegt het voordeel dat de maatregel oplevert, op tegen de nadelen en wegen de kosten op tegen de baten. Eén van de middelen om zo’n proportionaliteitsafweging te maken is een financiële afweging, maar door het stelsel van de wet komt die hier niet aan de orde. In Nederland zijn de telecombedrijven verplicht de kosten van dit opsporingsmiddel te dragen. Of de baten opwegen tegen de financiële kosten, is daardoor een afweging die de minister en de opsporingsdiensten niet hoeven maken en die uw Kamer als toezichthoudend orgaan dus niet kan maken. De minister hoeft met deze kosten in zijn budgetten geen rekening te houden, waardoor de proportionaliteitsafweging te gemakkelijk uitvalt in het voordeel van opslag van gegevens.

Vanwege de schending van de persoonlijke levenssfeer moet de bewaarplicht worden afgeschaft. Maar als de bewaarplicht blijft bestaan dan pleit XS4ALL voor een vergoeding die overeenkomt met de werkelijke kosten die aanbieders moeten maken. Door deze vergoeding in de wet op te nemen, zou een proportionaliteitstoets in het systeem worden verankerd en zijn de minister en de opsporingsdiensten, maar ook uw Commissie, in staat een kosten-batenanalyse te maken op basis van volledige gegevens.

Het is ons niet om het geld te doen. Daarom lijkt dit misschien een vreemd argument. Maar in Engeland, waar de overheid de kosten voor de bewaarplicht draagt, blijkt dat de overheid minder makkelijk besluit alles maar op te slaan: daar is besloten bepaalde gegevens niet op te slaan omdat dat gezien het nut van de gegevens niet proportioneel zou zijn. Het duidelijk zichtbaar maken van kosten kwam daar de privacy dus ten goede.

Onze volledige gespreksnotitie is hier te lezen.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: , , . Bookmark de Permalink. 27 Reacties.

In the spotlight: XS4ALL Datacenter DC2

XS4ALL

DC2kabelsDC2 is het centrale knooppunt van het XS4ALL-netwerk: in deze ruimte komt het internetverkeer van alle verbindingen samen. Alles is hier gericht op veiligheid, betrouwbaarheid en snelheid. Naast onze eigen servers staan er honderden servers van onze klanten. Een gesprek met John Dissen, coördinator van het datacenter.

John vertelt: ‘Jarenlang hadden we de slogan: ‘U staat hier veilig want wij staan er zelf naast’. En dat is nog steeds letterlijk het geval. Onze eigen servers en routers staan aan de ene kant van de zaal en aan de andere kant staan de servers van klanten die colocation afnemen. Klanten huren dan een kast met stroom en een supersnelle internetverbinding en kunnen daar zelf hun server in hangen.’

Wat doen die servers?
‘Alle mail van al onze XS4ALL-klanten wordt hier afgehandeld en ook de schijfruimte voor opslag staat hier. Wat we hier bijvoorbeeld ook doen is het bufferen van data voor Netflix. Als klanten iets van Netflix willen zien dan wordt de video automatisch hier opgehaald in plaats van in de VS. Dat scheelt een hoop bandbreedte en daardoor gaat het veel sneller.’

Wat maakt DC2 zo veilig?
‘Op al deze servers staan veel gegevens die natuurlijk optimaal beschermd moeten worden. Er is dag en nacht bewaking, 365 dagen per jaar. Er hangen camera’s en er is een zorgvuldig pas- en registratiesysteem. Onze colocation-klanten krijgen alleen toegang via een biometrische lezer. Die lezer controleert of je vingerafdruk matcht met je toegangspas.’

Zo’n datacenter slurpt natuurlijk energie!
‘DC2 draait sinds 2011 volledig op groene stroom. KPN – eigenaar van DC2 – heeft enige jaren geleden een aandeel van 25% gekocht in Windmolenpark Amalia dat voor de kust van IJmuiden in zee ligt. Windenergie is een zeer schone en duurzame vorm van groene stroom. We kunnen de volledige jaarlijkse energiebehoefte van DC2 van dit windmolenpark betrekken.’

En als het een keer niet waait?
‘Haha een dag zonder wind betekent niet dat servers uitvallen! DC2 betrekt stroom van het reguliere stroomnetwerk en het windmolenpark levert gemiddeld per jaar dezelfde hoeveelheid stroom terug aan het netwerk. We zijn dus niet volledig afhankelijk van de dagelijks beschikbare windkracht.’

Hoe houden jullie het hoofd koel?
‘Goeie vraag! Servers produceren namelijk een hoop warmte. Als die niet afgevoerd wordt, is het hier binnen de kortste keren 50 graden of nog warmer. Een milieuvriendelijke oplossing is de stadskoeling van Nuon. Zeer koud water wordt opgepompt uit het Nieuwe Meer en naar DC2 geleid voor koeling. Het koelwater warmt op, wordt door Nuon gebruikt voor verwarming van kantoren en na afkoeling gaat het weer terug naar het Nieuwe Meer. Een andere slimme oplossing is dat we de racks telkens met de voorkant en achterkant naar elkaar toe plaatsen. Zo ontstaan warme en koude paden waardoor een zeer effectieve koeling mogelijk is.’

U moet eerst een 0 draaien… kent u die uitdrukking?
‘Ja, DC2 was ooit een telefooncentrale. De letters DC staan eigenlijk voor DistrictsCentrale, een oude KPN-afkorting. DC1 staat in de Spuistraat in Amsterdam. Vroeger waren die telefooncentrales enorme gevaartes, met de invoering van digitale telefooncentrales was er ineens een stuk minder ruimte nodig. Die ruimte gebruiken we nu dus als datacenter.’

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Bookmark de Permalink. 13 Reacties.

Update: bewaarplicht

Niels Huijbregts

reactieDe bewaarplicht telecomgegevens is in strijd met de wet, maar toch moeten we doorgaan met bewaren van die gegevens. Dat plaatst ons in een zeer onwenselijke situatie: we zijn gedwongen medeplichtig aan de schending van de privacy van onze klanten en dat willen we niet. Daarom schreven we een brief aan minister Opstelten, waarin we hem opriepen schadebeperkende maatregelen te nemen.

Internetconsultatie wetsvoorstel

De minister had al erkend dat de huidige wet niet deugt, en bood een wetsvoorstel ter consultatie aan waarin hij de problemen van de bewaarplicht een klein beetje tracht op te lossen. XS4ALL heeft een reactie op die consultatie ingediend waarin we uiteenzetten waarom we principieel tegen de bewaarplicht zijn, en aan welke eisen een bewaarplicht minimaal zou moeten voldoen. Onze reactie is openbaar: hij is te lezen op internetconsultatie.nl.

Heel kort samengevat: Een opsporingsmaatregel tegen alle burgers, of ze nou verdacht zijn of niet, is principieel onjuist en schendt de privacy van al die burgers. Als het noodzakelijk is gegevens over communicatie op te slaan voor de bestrijding van criminaliteit, dan moet duidelijk zijn wat het verband is tussen het doel en het middel. Welke gegevens bewaard worden, hoe lang die gegevens worden opgeslagen en wie toegang tot de opgeslagen gegevens krijgt, moet duidelijk verband houden met het doel van de opslag. De minister heeft nog steeds niet duidelijk gemaakt of de opslag van gedetailleerde communicatiegegevens voor opsporingsdoeleinden, wel leidt tot het doel – criminelen vangen. Het wetsvoorstel dat de minister ter consultatie heeft aangeboden, lost dat probleem niet op.

Deadline

Minister Opstelten heeft in reactie op onze brief van 11 december laten weten dat hij in verband met het kerstreces onze deadline niet kan halen. Wij hebben daar begrip voor – al heeft de deadline voor reacties op zijn internetconsultatie ons er niet van weerhouden wel gewoon op tijd te reageren. We verwachten zijn reactie in januari.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: , . Bookmark de Permalink. 36 Reacties.

Consumentenbond: XS4ALL weer beste alles-in-1 aanbieder

XS4ALL

XS4ALL is opnieuw gekozen tot beste aanbieder van Internet, Bellen en TV (alles-in-1-pakket), zo blijkt uit de Consumentenbond ProviderMonitor van december 2014. Dit betekent dat we ons al sinds februari 2013 – en nu tot juni 2015 – de beste landelijke aanbieder alles-in-1 mogen noemen, met een gemiddeld cijfer van 8.1. Ook voor de combinatie Internet & Bellen en Televisie totaal kregen we het predicaat ‘Beste uit de test december 2014’. Een resultaat waar we natuurlijk erg blij mee zijn.

XS4ALL komt als beste uit de test op de onderdelen kwaliteit, storingen, service en algemene tevredenheid. Als het gaat om internetstoringen geeft 92% van de respondenten aan hier geen ervaring mee te hebben in het afgelopen half jaar. XS4ALL voert de ranglijst aan voor de combinaties Internet, Bellen & TV (alles-in-1), Internet & Bellen en voor beste televisieprovider. Bekijk hier de resultaten voor Internet, Bellen & TV en Internet & Bellen.

“Deze uitslag bevestigt dat alles bij ons draait om kwaliteit en service. We zijn dan ook blij en trots op deze benoeming. Het laat zien dat de kwaliteit van ons netwerk en onze serviceverlening door onze klanten gezien wordt. We voeren steevast de ranglijst aan als het gaat om tevredenheidsonderzoeken en polls. Zo namen wij afgelopen september ook de award voor het Klantvriendelijkste bedrijf in de categorie Telecom (MarketResponse) in ontvangst. We zullen er ook in 2015 alles aan doen om tevreden klanten te hebben en te houden”, aldus Marco ten Oever, Manager Klantcontact van XS4ALL.

De ProviderMonitor van de Consumentenbond onderzoekt al jaren de dienstverlening van internetproviders. Ruim 11.000 consumenten nemen deel aan een testpanel en geven hun mening over ervaringen met hun internet-, telefonie- en/of tv-aanbieder. Twee keer per jaar doet de Consumentenbond onderzoek naar de klanttevredenheid. Publicatie daarvan vindt plaats in juni en in december. Meer informatie over de ProviderMonitor.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: , . Bookmark de Permalink. 6 Reacties.

Nieuw: Internet Onderweg met 4G

XS4ALL

4G-internet overal in Nederland met uw eigen, veilige verbinding. Dat is Internet Onderweg van XS4ALL. Makkelijk online met uw laptop, tablet en smartphone. Films kijken, muziek luisteren, vergaderen met collega’s, e-mails beantwoorden in de trein. Internet Onderweg komt altijd van pas.

Opvolger van Mobiel Internet
Internet Onderweg is de nieuwe naam voor Mobiel Internet. Met Internet Onderweg heeft u toegang tot het betrouwbare 4G-netwerk van KPN, met downloadsnelheden tot 50 Mb/s en een uploadsnelheid van 25 Mb/s. Dankzij de landelijke dekking geniet u overal in Nederland van razendsnel internet.

Veiliger dan WiFi
Met uw persoonlijke 4G-verbinding bent u veiliger op internet. Uw gegevens zijn beter beschermd dan bij een internetverbinding via een openbaar WiFi-netwerk. En u hoeft ook niet in te loggen zoals bij WiFi. Zonder gedoe heeft u altijd uw eigen, veilige internet bij u.

Nieuwe abonnementen
U kunt kiezen uit de abonnementen Internet Onderweg Plus (1 GB) en Pro (10 GB). Het abonnement Internet Onderweg Smart (250 MB) is inbegrepen bij de vaste internetabonnementen van XS4ALL (met uitzondering van Internet Compact).

Voordelig in combinatie met vast internet
Klanten met Internet van XS4ALL die Internet Onderweg bijbestellen, ontvangen € 10,- korting per maand op het nieuwe 4G- abonnement. Heeft u al Internet Onderweg, dan wordt u de komende tijd automatisch overgezet op 4G. U ontvangt vooraf een brief en na de omzetting een e-mail dat u 4G kunt gaan gebruiken.

Meer informatie Internet Onderweg
Kijk op https://www.xs4all.nl/internetonderweg/

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Bookmark de Permalink. Reacties staat uit voor Nieuw: Internet Onderweg met 4G.

Wat te doen met de bewaarplicht?

Ronald Renes

dataDe bewaarplicht telecomgegevens, die XS4ALL en alle andere providers verplicht gegevens op te slaan over het bel- en internetgedrag van klanten, is in strijd met de grondrechten. Dat bepaalde het Europese Hof van Justitie in april dit jaar. De Nederlandse Raad van State adviseerde de regering de bewaarplicht op te schorten omdat ze concludeerde dat de bewaarplicht strijdig is met het handvest van de grondrechten en ook minister Opstelten zelf – hij gaat over de bewaarplicht – zegt in een brief aan de Tweede Kamer dat hij die conclusie deelt. Maar toch moeten providers van hem doorgaan met opslaan van de gegevens. Dat zou noodzakelijk zijn vanwege het grote belang van de bewaarplicht bij de aanpak van zware criminaliteit.

Dat plaatst XS4ALL in een zeer onwenselijke positie: wij worden door de minister verplicht door te gaan met iets waarvan we weten dat het onwettig is. We moeten mee blijven werken aan het schenden van de privacy van onze klanten. Doen we dat niet, dan volgt een boete die kan oplopen tot vele honderdduizenden euro’s. Dat is een nogal forse stok om ons te dwingen mee te werken. Wel heeft minister Opstelten een wetsvoorstel ter consultatie aangeboden. In het voorstel wordt een aantal wijzigingen in de wet aangebracht waardoor de Nederlandse bewaarplicht zou voldoen aan de eisen die het Europese Hof stelde, aldus Opstelten.

XS4ALL heeft lang nagedacht over hoe we het best kunnen reageren op deze situatie. Stoppen we met opslaan en riskeren we de boete? Spannen we een rechtszaak aan tegen de Staat? We kunnen onmogelijk doen alsof er niets aan de hand is, de huidige situatie staat overduidelijk op gespannen voet met de grondbeginselen van onze democratische rechtsstaat. Gelukkig zien we in de consultatie een aanwijzing dat minister Opstelten misschien toch bereid is te luisteren naar onze bezwaren. We hopen daarom dat voor dit probleem in dialoog een oplossing gezocht kan worden, in plaats van in de rechtszaal.

XS4ALL zal daarom de officiële procedure volgen en reageren op de consultatie. Tegelijkertijd wijzen we de minister er in een brief op, dat hij ons in een onmogelijke positie dwingt door ons te verplichten onwettig te handelen en zo het vertrouwen van onze klanten te beschamen. We roepen de minister daarom op zelf alvast maatregelen te nemen in afwachting van de consultatie en de verdere procedure voor aanpassing van de wet. Een aantal wijzigingen die hij voorstelt, kan namelijk ook nu al worden uitgevoerd.

Opstelten schrijft in zijn wetsvoorstel dat bepaalde gegevens alleen nog moeten kunnen worden opgevraagd voor de zwaarste categorie misdrijven, en hij stelt bovendien voor dat voor het inzien van de opgeslagen gegevens niet alleen een handtekening van de officier van justitie, maar ook van de rechter-commissaris nodig zal zijn. Beide maatregelen kunnen nu al worden ingevoerd: ook zonder wetswijziging kan de minister van het OM eisen dat gegevens voortaan alleen worden ingezien na goedkeuring door de rechter-commissaris, en dat bepaalde gegevens alleen worden opgevraagd wanneer ze nodig zijn in een onderzoek naar zeer zware criminaliteit. Door deze maatregelen nu al in te voeren, zou de minister laten zien dat hij de democratie toch goed gezind is. Zo zou hij ons uit onze onmogelijke situatie helpen, zodat wij hem met een gerust hart kunnen helpen de wet te verbeteren door te reageren op de consultatie.

Klik hier om de brief van XS4ALL aan minister Opstelten te lezen. Zodra onze reactie op de consultatie klaar is, zal die ook hier gepubliceerd worden. Mocht de regering onverhoopt toch besluiten de huidige, onwettige situatie langdurig te laten voortbestaan, dan zullen wij onze opties heroverwegen. De gegevens die in de tussentijd bij ons worden opgeslagen, zullen we uitstekend blijven beschermen. Bovendien zullen we inzageverzoeken zoals altijd uiterst streng beoordelen. Zo beschermen we onder deze nare omstandigheden toch zo goed mogelijk de privacy van onze klanten.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: . Bookmark de Permalink. 27 Reacties.

Wachtwoorden doorgezaagd

Jacques Schuurman

Als internetter heb je al gauw enkele tientallen wachtwoorden nodig om in verschillende omgevingen in te loggen. In deze blog sta ik uitgebreid stil bij de complexe wereld van wachtwoorden en geef ik achtergrondinformatie en tips om het wachtwoord op een optimale manier te gebruiken om zo maximale bescherming te bieden.

Wat is een wachtwoord?
De term wachtwoord komt uit het verleden. Oorspronkelijk werden accounts op kantoorsystemen beschermd door een wachtwoord van vaak 8, en soms slechts 6 tekens. Tegenwoordig kunnen wachtwoorden veel langer zijn, soms tot 256 tekens of zelfs ongelimiteerd. Hoewel we dus van wachtwoord spreken, zouden we ook wachtzin of wachtstring kunnen zeggen. Verderop leg ik uit hoe belangrijk de lengte van het wachtwoord is.

Als het goed is worden wachtwoorden niet rechtstreeks opgeslagen in de omgeving waar ze gebruikt worden. Meestal zit er een ingewikkelde wiskundige bewerking op (hash function) die van het originele wachtwoord een ander “woord” maakt – een verhaspelde vorm.

De sterkte van een wachtwoord en het kraken ervan
Hoe gaat het kraken van wachtwoorden in zijn werk? De indringers gaan, geautomatiseerd en systematisch, alle mogelijkheden af tot ze het juiste wachtwoord hebben gevonden. Deze methode noemen we trial-and-error en het kan razendsnel. Met sommige tools kun je miljarden wachtwoorden per seconde proberen. Hoe langer een wachtwoord is, hoe meer tijd een wachtwoord-cracker nodig heeft om alle mogelijkheden te proberen.

Een rekenvoorbeeld: Als we uitgaan van 90 keuzes -per teken in een wachtwoord- en een lengte van 12 tekens van het wachtwoord, doet een cracker er 9012 pogingen over om alle combinaties te proberen, ofwel 282429536481000000000000 pogingen. Een aanvaller die er een miljard per seconde uitprobeert, is dan 282429536481000 seconden bezig om alle mogelijke combinaties uit te proberen, wat neerkomt op bijna negen miljoen jaar!

In hoeverre hebben lengte en variatie van een wachtwoord invloed op de tijd dat het kost om een wachtwoord met trial-and-error te achterhalen? Zie de tabel. Daarbij ga ik uit van 1 miljard pogingen per seconde, en dat de treffer waar naar gezocht wordt min of meer in het midden van de test valt. Door de waardes te verdubbelen, krijgt men de absolute bovengrens: in die tijdsspanne zijn alle mogelijke combinaties getest.

wachtwoordsterkte
(lengte en variatie)
lengte = 6 lengte = 8 lengte = 10 lengte = 12
variatie = 26 0,15 seconden 1,75 minuten 19,5 uur 1,5 jaar
variatie = 52 10 seconden 7,5 uur 2.29 jaar 62 eeuw
variatie = 62 28 seconden 30,5 uur 13.3 jaar 511 eeuw
variatie = 90 4,5 minuten 25 dagen 552 jaar 4.500 millennia

 

Naast lengte helpt het om de gebruikte tekens te variëren (kies dus niet alleen kleine of hoofdletters, maar ook cijfers en leestekens). Maar de lengte van het gekozen wachtwoord is doorslaggevend voor de sterkte ervan. Size does matter! Dat leidt tot tip 1:

TIP 1
KIES EEN LANG WACHTWOORD
(of wachtzin; een spatie is net zo goed een geldig teken als alle andere tekens). Op dit moment is een lengte van 12-16 tekens een goede standaardkeuze, maar langer is veiliger. Een lengte van 8 is volkomen ongeschikt.

Wachtwoorden, wachtwoorden. En nog meer wachtwoorden
We hebben steeds meer wachtwoorden nodig. Het dilemma is: overal hetzelfde wachtwoord gebruiken (met alle risico’s van dien als dat alomvattende wachtwoord op straat belandt), of het gebruik van verschillende wachtwoorden, die je allemaal moet onthouden. Dit laatste kun je oplossen met een tool die al je wachtwoorden administreert. De tool is afgeschermd met 1 eigen wachtwoord. De voordelen zijn legio: alle wachtwoorden worden bewaard inclusief de omgeving waar ze betrekking op hebben, ze zijn afgeschermd tegen onbevoegd gebruik, en vele uitvoeringen van deze tool bieden extra functionaliteit zoals het genereren (“verzinnen”) van veilige wachtwoorden, en het plaatsen in de juiste context van eventuele verdere invulgegevens. Het is uiteraard wel zaak om het wachtwoord van de tool zelf een zeer veilig wachtwoord te laten zijn, van voldoende lengte (liefst 16 of meer) en samengesteld uit een brede variatie van tekens.

TIP 2
GEBRUIK EEN WACHTWOORDTOOL
(password manager) om de wachtwoorden voor web-omgevingen, accounts of andere omgevingen op 1 centrale plek op te slaan. Stel een zeer veilig wachtwoord in voor de tool zelf en maak op gezette tijden een back-up van de gegevens die in de tool zijn opgeslagen. Er zijn momenteel verschillende goede wachtwoordtools beschikbaar, sommige betaald, sommige zonder vereiste betaling. Enkele bekende zijn:

o   1Password
o   KeePass
o   iCloud-sleutelhanger
o   LastPass

Op de website van de Consumentenbond staat een vergelijkende test van vijf wachtwoordmanagers.

Ben ik nu veilig?
Bovenstaande tips helpen in belangrijke mate om je gegevens veiliger te laten zijn, maar ze geven geen volledige garantie. Ze beschermen niet tegen aanvallen zoals:

  • De installatie van kwaadaardige software die (bijvoorbeeld) het toetsenbord afluistert op het moment dat je wachtwoorden intoetst. De beste bescherming hiertegen biedt nog altijd een optimaal onderhouden systeem, met up-to-date virusscanners e.d.
  • Het ontfutselen van inloggegevens op vervalste websites. Controleer dus altijd goed of een omgeving wel echt de vertrouwde plek is waar je denkt te zijn. Ziet het er anders uit? Voer dan niet zomaar je wachtwoord in! Controleer de navigatiebalk en verifieer dat de URL ook die is die je kent van eerdere bezoeken.

TIP 3
VERIFIEER DE ECHTHEID
van een site alvorens een wachtwoord in te voeren. Let daarbij op allerlei kenmerken, zoals vorm, tekst, en de exacte samenstelling van het eerste deel van het webadres.

Wachtwoord kwijt – wat nu?
De meeste omgevingen hebben een methode voor wachtwoordherstel. Vaak komt dat neer op een specifieke vraag die alleen de gebruiker kan beantwoorden (de achternaam van je opa van moeders kant, de roepnaam van je eerste huisdier). Een andere methode is via een vooraf ingesteld contactgegeven (e-mailadres, mobiel nummer), waar je dan een reset-link o.i.d. op ontvangt. Let hierbij goed op. Immers, hoe sterk het wachtwoord ook is (was), het enige dat een indringer hoeft te doen is het herstel-geheim kennen om een nieuw wachtwoord in te (laten) stellen.

Stuurt een omgeving het originele wachtwoord opnieuw toe? Dat is zeer risicovol: zij hebben het wachtwoord kennelijk in onverhaspelde vorm opgeslagen, met alle risico’s van dien. Als gebruiker kun je je afvragen of, en zoja welke gegevens je aan zo’n omgeving toevertrouwt.

Sommige omgevingen kunnen niet aan wachtwoordherstel doen, zoals webmaildiensten die de mail automatisch en onherroepelijk versleutelen. Ofschoon zij ironisch genoeg een risico vormen voor de houdbaarheid van de opgeslagen gegevens, zijn zij wel het veiligste in termen van gegevensbescherming. Er kan niemand bij de gegevens, ook de dienstverlener zelf niet, en ook de wachtwoorden zijn niet opgeslagen.

Komt er ooit iets anders?
In feite zijn wachtwoorden als beveiligingsmechanisme enigszins achterhaald. In opkomst is wat we noemen multi-factor authenticatie. Deze methode gebruikt ook iets dat de gebruiker in bezit moet hebben, naast iets wat hij of zij moet weten. Een extra stap is een biometrische factor – een biologisch en onlosmakelijk element van de gebruiker zelf, zoals de iris of een vingerafdruk.

Een voorbeeld van multi-factor authenticatie is wat banken doen. Al sinds jaar en dag gebruiken zij 2-factor authenticatie: bij het elektronisch bankieren heeft de gebruiker zowel een logincode nodig als een aparte omgeving of apparaatje dat eenmalige codes genereert. Deze trend zal ook in andere omgevingen zichtbaar worden.

Ook XS4ALL is op dit moment bezig met voorbereidingen om aan gebruikers een 2-factor authenticatie als alternatief aan te bieden voor de klassieke gebruikersnaam/wachtwoord combinatie. Totdat dergelijke nieuwe en veiligere methodes op grote schaal zijn ingevoerd zullen we het beste moeten maken van de oude vertrouwde wachtwoorden. Dat is, mits bewust gebruikt, nog steeds een behoorlijk veilige methode.

 

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: . Bookmark de Permalink. 38 Reacties.

“Pop-up op illegale downloadsites”

Ronald Renes

Op verschillende nieuwssites (*) verscheen gisteren het bericht dat de PvdA en de VVD pleiten voor een waarschuwing op ‘illegale downloadsites’ die internetgebruikers moeten wijzen op het feit dat er ook legale alternatieven zijn, en vervolgens deze internetgebruikers hiernaartoe zouden moeten verwijzen.

Afhankelijk van de nieuwssite wordt in de berichtgeving tegelijkertijd gebruik gemaakt van de term ‘pop-up’ en ‘(copyright)waarschuwing’ wat de voorgestelde maatregel nogal breed en multi-interpretabel maakt. In de pop-up zouden internetgebruikers gewezen moeten worden op legale alternatieven.

Laat ik eerst aangeven dat werk inderdaad moet lonen, zoals kamerlid Jeroen van Wijngaarden aangeeft. XS4ALL is dan ook tegen “het zonder toestemming delen van auteursrechtelijk beschermd materiaal”.

Waar ik het ook mee eens ben, is het feit dat internetgebruikers pro-actiever gewezen kunnen worden op het feit dat er voor veel zaken legale alternatieven zijn. Veel mensen zijn zich bewust van het feit dat diensten als Spotify en Netflix bestaan, maar ik kan me goed voorstellen dat er nog steeds flink wat consumenten zijn die hier nog onvoldoende van op de hoogte zijn, of erger: niet weten dat het gebruik van bijvoorbeeld Popcorn Time illegaal is.

Ik denk dat je met voorlichting en educatie een hoop kan bereiken, als je het op de juiste manier doet. Ik geloof in aangeven wat het goede is, ik ben tegen het straffen van onwetenden. De vraag is of een pop-up het juiste middel is en niet alleen maar tot irritatie leidt. Maar het is dan ook niet de gedachte achter de voorgestelde maatregel waar ik vraagtekens bij plaats, maar wel bij de maatregel zelf.

Het zullen niet de downloadsites zijn die met de uitvoering van de “pop-up” belast zullen worden. Dat begrijpt iedereen. Het zijn de Nederlandse providers die volgens de coalitie partijen op een of andere manier zouden moeten zorgdragen voor de uitvoering van dit systeem. Hoe precies wordt echter niet duidelijk.

Aan de technische uitvoering van zo’n maatregel zitten nogal wat technische haken en ogen. Afhankelijk van de interpretatie van de maatregel is het aantal haken en ogen meer of minder, maar hoe dan ook zou je als internet provider in moeten grijpen op het verkeer van je klanten. Voor XS4ALL zou dit een inbreuk betekenen op het privacybeleid.

Ook wordt er gesproken over bijvoorbeeld het ‘injecteren’ van een waarschuwing op het moment dat een internet provider de pagina doorgeeft aan de internetgebruiker. Dit druist in tegen het principe van ‘Netneutraliteit’, de ontwikkeling van veiligheidsstandaarden als DNSSEC, en werkt niet op het moment dat er van https gebruik gemaakt wordt.

Als internetprovider is het onze taak om als ‘neutrale’ partij mensen onbelemmerd toegang tot het internet te verschaffen. Het doorvoeren van de voorgestelde maatregel van de coalitiepartijen is zoals gezegd niet haalbaar zonder in te grijpen op het internetverkeer van onze klanten en daarmee in strijd met ons privacybeleid. Dat maakt het voorstel weinig doordacht. Maar ik denk graag mee, net als de aanbieders van legale alternatieven dat ongetwijfeld doen. Zij kennen het spel van de verleiding het beste.

Mochten de coalitiepartijen hierover van gedachten willen wisselen, dan ben ik hiertoe graag bereid.

(*) Bijvoorbeeld:
http://cookievrij.nos.nl/artikel/717644-pop-up-op-illegale-downloadsites.html
https://www.security.nl/posting/407515/PvdA+en+VVD+willen+pop-up+op+illegale+downloadsites
http://www.nutech.nl/internet/3920159/coalitie-wil-pop-up-bij-illegale-downloadsites.html

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Tags: , , , . Bookmark de Permalink. 28 Reacties.

Binnenkort 4G internet met Internet Onderweg van XS4ALL

XS4ALL

XS4ALL introduceert binnenkort Internet Onderweg: 4G internet in Nederland. Voor consumenten die buitenshuis via een eigen, veilige verbinding snel internet willen op bijvoorbeeld laptop, tablet of Internet Hotspot.

Met Internet Onderweg bieden we snelheden tot 50 Mb/s download en 25 Mb/s upload via het landelijk dekkende 4G netwerk van KPN. Drie nieuwe abonnementen geven keuze in data tot 10 GB. Beschikbaar voor klanten met vast Internet van XS4ALL en los verkrijgbaar. Klanten van XS4ALL met Mobiel Internet via 3G worden voor eind 2014 kosteloos en automatisch naar het nieuwe 4G abonnement omgezet. Er volgt meer informatie zodra Internet Onderweg beschikbaar is.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Bookmark de Permalink. 14 Reacties.

Nationaal Cyber Security Centrum verkrijgt gegevens van internetgebruikers.

Ronald Renes

Deze zomer verschenen in de media berichten over een criminele organisatie die wereldwijd ruim 1 miljard e-mailadressen met bijbehorende wachtwoorden heeft weten te verzamelen. De betreffende mailadressen zijn zeer waarschijnlijk buitgemaakt door onder andere mee te kijken op honderdduizenden willekeurige websites, zoals webshops en social media waar bezoekers inloggegevens hebben ingevoerd. Het Nationaal Cyber Security Centrum (NCSC) heeft onderzoek gedaan naar deze zaak. Uit dit onderzoek blijkt dat de mogelijkheid bestaat dat ook klanten van XS4ALL tenminste één van deze vele websites bezocht hebben en daar een mailadres en wachtwoord hebben ingevoerd.

Wij weten niet of er daadwerkelijk misbruik is gepleegd met de mailadressen. Om de kans hierop zoveel mogelijk te beperken, is het verstandig om het wachtwoord van uw mail-account te wijzigen. Dit kunt u doen via het Service Centre. Kiest u alstublieft een sterk wachtwoord, en wijzig deze regelmatig, ook voor andere e-mailaccounts zoals Gmail, Hotmail en Outlook. Daarnaast is het verstandig om voor andere online activiteiten niet hetzelfde wachtwoord te gebruiken in combinatie met uw e-mailadres. Meer informatie over het kiezen van een sterk wachtwoord vindt u op onze website.

Het NCSC heeft in een persbericht aangegeven dat de eigenaren van betrokken mailadressen met een .nl-extensie actief door hun internetprovider worden geïnformeerd. XS4ALL kiest ervoor om, op basis van de verkregen informatie en het bestaande security beleid, haar klanten zelf in staat te stellen te controleren of het e-mailadres op de lijst voorkomt.

U kunt via de hiervoor speciaal ingerichte website controleren of uw e-mailadres voorkomt op de lijst van het NCSC. Dit is alleen mogelijk voor e-mailadressen eindigend op ‘@xs4all.nl’. Het antwoord zal verstuurd worden naar het door u ingevoerde e-mailadres.

Kijk voor meer informatie op www.ncsc.nl

Update 14-10:
Inmiddels zijn ook de e-mailadressen van cistron.nl en demon.nl toegevoegd. Via bovengenoemde website kunnen die e-mailadressen nu ook gecontroleerd worden. Let er aub op dat nu het volledige e-mailadres dient te worden ingevuld.

  • Facebook
  • Twitter
  • LinkedIn
  • Google Bookmarks

Bookmark de Permalink. 45 Reacties.