Extra veiligheid

Het opslaan van email op een mailserver kan op een aantal manier gebeuren. LinuxPro slaat met ingang van vandaag email op middels encryptie.

Waarom

Mocht de backup van de email of de email-server gecompromitteerd worden (gehackt in populaire woorden) dan kan men niet zonder meer je email-berichten lezen.

Wat merk je er van

Voor de gebruiker gebeurd dit geheel transparant, je merkt er dus niets van. Bestaande email wordt niet automatisch ge-encrypt, alle binnenkomende email wel. Als je email verplaatst van map van bijvoorbeeld de Inbox naar de map Bewaren (als je die hebt aangemaakt) wordt bestaande email tijdens deze verplaats actie meteen ge-encrypt.

Wat kan je zelf doen

Je blijft als gebruiker van email zelf verantwoordelijk wat er met je email op je notebook, tablet of phone gebeurd. Ook hier van manier voor om je email te beveiligen. Daarnaast maak je zelf regelmatig een backup van je email en zorg je er voor dat niemand behalve je zelf toegang hebt tot je notebook, tablet of phone. Gebruik bij voorkeur geen gezichtsherkenning (face-id) maar een lange PINcode, wachtwoordzin (passphrase) in plaats van een wachtwoord en/of een vingerafdruk. Verder update je regelmatig je app’s en uiteraard het besturingssysteem (iOS, Android, Linux of Windows)

Algemeen

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie Thunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.

Google heeft zijn browser, Google Chrome, uitgebreid met een functie die duidelijker aangeeft of een website https encryptie gebruikt of niet. Er wordt door een duidelijke tekst "Secure" of "Not secure" naast het al dan niet aanwezige slotje aangegeven of een website een veilige verbinding biedt. Onlangs bleek uit onderzoek dat een derde van alle ziekenhuissites geen beveiigde verbinding biedt als er om persoonlijke gegevens gevraagd wordt. Dat kan dus echt niet meer, deze nieuwe functie in Google Chrome maakt het (nog) duidelijker dat het invullen van je persoonlijke gegevens op een dergelijke onbeveiligde site niet verstandig is. 

Google ligt zelf regelmatig onder vuur door hun opslag van allerlei gegevens maar deze functie wordt enthousiast ontvangen en zal hopelijk niet alleen gebruikers attenter en bewuster maken van hun surfgedrag en waar je wat voor gegevens achterlaat maar ook beheerders van websites stimuleren om https te gaan gebruiken.

Voor beheerders van sites zou de kosten moeten meevallen, je kan gratis goede certificaten verkrijgen via het letsencrypt project. 

Waarom

Het inloggen op websites met alleen een gebruikersnaam en wachtwoord heeft zijn langste tijd gehad. Het is voor kwaadwillenden te makkelijk geworden om wachtwoorden te raden (brute force attack) of te kraken door de komst van (super)snelle pc's. Er moet dus iets veranderen om veilig te kunnen blijven inloggen op bijvoorbeeld webmail of website. Dat kan door aan de gebruikersnaam en wachtwoord iets toe te voegen: een eenmalig code. Deze code wordt gemaakt door de Google Authenticator app (gratis voor Android en Apple iOS). Deze manier wordt twee staps authenticatie of two way authentication genoemd. 

Hoe

We hebben al beschreven hoe je dit in kan stellen voor Facebook. Maar ook diensten als Twitter, Instagram en andere populaire sites bieden deze extra veiligheid. Ons advies: Maak er gebruik van en wacht er niet mee tot het te laat is. 

Om je LinuxPro webmail te beveiligen met deze manier volg je deze stappen:

• Installeer de gratis Google Authenticator app op je Android of Apple iOS smartphone.
• Log in op https://webmail.linuxpro.nl  en ga Instellingen
• Kies voor  2steps Google verification
• Selecteer Activate en klik op Show QR code 
• Scan de QR code met de Google Authenticator app en je bent klaar. 

De volgende keer dat je inlogt wordt er naast je gebruikersnaam en wachtwoord ook om de Google Authenticator code gevraagd. Zet het vinkje aan dat er slechts 1x in de 30 dagen om deze extra code gevraagd wordt. Doe dat alleen als je vanaf je eigen pc inlogt. Log je de dag erna in op een andere pc zal, uiteraard, weer om de extra code gevraagd worden. 

Happy safe browsing. 

Algemeen

Log jij nog steeds in op bijv. Facebook met alleen een gebruikersnaam en wachtwoord?  Denk daar eens over na, is je wachtwoord niet makkelijk door iemand anders (een boze ex?) te raden? Is je wachtwoord lang genoeg en zitten er in je wachtwoord ook 'rare' tekens zoals een '?', '#' of '!' ?  Het namelijk best zijn dat iemand je inloggegevens misbruikt al was het maar om alleen stilletjes mee te lezen maar wat als hij (of zij) berichten onder jouw naam kan schrijven, foto's kan uploaden of misschien nog wel erger,  verwijderen? Wat als het inloggegevens van bijvoorbeeld Paypal zijn of iemand jouw banksaldo kan bekijken?  

Als je daar bij stilstaat en dat is gezien de toename van allerlei vormen van internet-misbruik wel verstandig, wordt het tijd om tenminste je wachtwoord te veranderen in een wachtwoord wat niet de naam van je kind is, je geboortedatum of de naam van je huisdier of favoriete film. Verzin een langer wachtwoord wat niet makkelijk te raden is en vervang bijv. de letter 'e' met een '@' ofzo. Op die manier is het wachtwoord niet makkelijk te raden en kan je het zelf toch makkelijk onthouden. 

Ik heb toch niets te verbergen

Dat hoor en lees je vaak, iemand die zijn schouders ophaalt en zegt: "Ik heb niets te verbergen dus ze doen maar". Dat is om heel veel redenen ontzettend dom. Niet alleen heeft iedereen wel dingen waarvan hij (of zij) niet wil dat de hele wereld het hoeft of moet weten maar van jouw verzamelde gegevens kan wel misbruik worden gemaakt, online bestellingen of (telefoon)abonnementen worden afgesloten of verdachte transacties worden uitgevoerd. Er zijn al voorbeelden bekent dat iemand aangehouden werd maar dat het achteraf ging om identiteitsdiefstal. Dus ook denk je niet te verbergen te hebben, privacy met betrekking tot je gegevens is wel degelijk heel belangrijk, ook al denk je niets te verbergen te hebben. 

Twee staps authenticatie

Dat is iets relatief nieuws en nog bij veel mensen onbekend maar wat is het. Twee staps authenticatie voegt iets toe aan je gewone gebruikersnaam en wachtwoord: een 1-malige code. Je hebt dan dus je gebruikersnaam en wachtwoord nodig en een code die maar 1x gebruikt kan worden. Die code kan door een app, zoals de gratis Google Authenticator op je smartphone worden gemaakt. Het werkt ongeveer net zo als de apparaatjes die je van banken krijgt. Je vult naast je gebruikersnaam en wachtwoord die 1-malige code in en dan pas kan je inloggen. Je kan kiezen als je op je notebook of pc thuis werkt dat je niet elke keer dat hoeft te doen. Log je in vanaf een andere locatie of apparaat dan moet je die 1-malige code wel opgeven. Op die manier kan iemand je je gebruikersnaam en wachtwoord heeft geraden of afgekeken heeft alsnog niet ergens inloggen. Ook al zou hij die code meelezen, die kan maar 1x worden gebruikt. Allerlei sites zoals Google, Lastpass, Facebook enz. bieden deze extra beveiliging aan. De genoemde Google Authenticator is er voor Android, iPhone / iPad, Linux en Windows pc's. 

Lees hoe de LinuxPro Webmail beveiligd is met de  Google Authenticator

Slachtoffer van misbruik, en nu? 

Je account van bijv. Facebook of Google misbruikt? Wat nu?  Je eerste reactie is misschien om naar de politie te stappen. De ervaring leert dat je hier op korte termijn meestal niets mee opschiet. Je kan een afspraak maken om aangifte te doen maar hou er rekening mee dat je misschien pas over twee weken aan de beurt bent. Hou er rekening mee dat je met bewijzen moet komen die een eventuele zaak onderbouwd anders sta je kansloos. Denken dat je boze ex het gedaan heeft of een ex-werknemer is leuk maar maakt geen kans, je zal het moeten kunnen bewijzen. 

Wat je wel kan doen is in ieder geval z.s.m. je wachtwoord veranderen en de betreffende site in kennis stellen van het geconstateerde misbruik. DIe kunnen je soms van informatie voorzien die je kunt gebruiken als bewijs voor het misbruik zodat je bij een aangifte sterker staat. Verder kun je voor zover mogelijk is de schade te beperken. In sommige gevallen kan je een account tijdelijk op non-actief zetten of toegang er toe blokkeren.