Zijn jullie ook trots op jezelf? Passwords aanbieden aan shouldersurfers.

Status
Niet open voor verdere reacties.

Wat wil je daar mee zeggen, dat er een man in the middle attack mogelijk is? Dan zeg ik uiteraard maar de kans is klein dat dit binnen het LAN netwerk gebeurd. Bovendien is spyware/malware op het apparaat zelf (de computer) dan een veel reëler gevaar, dan hebben ze ook je wachtwoorden en daar kunnen ze ook een mitm uitvoeren of je verkeer herleiden.

Beveiliging is nooit 100% te krijgen, je moet het allemaal in de juiste context zien, een thuisnetwerk hoeft niet dezelfde beveiliging te hebben als de NAVO. Wat is een grote kwetsbaarheid voor die doelgroep en wat is eigenlijk minder van belang. Mensen die over je schouder meekijken bij je modem inlog, beschouwd ik als dat laatste. Daarnaast speelt de factor gebruikersvriendelijkheid een rol, als het te ingewikkeld wordt haakt iedereen af.
 
Een self-signed certificate werkt ook prima, …
Klopt voor jou en mij, maar niet voor de gemiddelde gebruiker. Die weten niet hoe ze een self-signed certificaat als 'vertrouwd' kunnen bestempelen. Dat werkt ook weer anders bij elke browser. Bij Safari gaat dat heel eenvoudig, terwijl het een hele puzzel is bij Chrome.

De meeste gebruikers zullen bij elke inlog de certificaat-waarschuwing negeren, maar dat is ook fout. Je leert jezelf dan aan om waarschuwingen te negeren, waardoor de kans groot is dat het mis gaat als het een terechte waarschuwing betreft.
 
Een self-signed certificate werkt ook prima, hoewel een echt certificaat beter is. Zolang het maar geen http meer is want dat gaat in je browser ook een veiligheidswaarschuwing opleveren alleen dan met de eerder besproken problemen.
Het is dan ook in mijn beleving puur misleiding. Ik begrijp dat goedpraten dan ook niet.
 
Klopt voor jou en mij, maar niet voor de gemiddelde gebruiker. Die weten niet hoe ze een self-signed certificaat als 'vertrouwd' kunnen bestempelen. Dat werkt ook weer anders bij elke browser. Bij Safari gaat dat heel eenvoudig, terwijl het een hele puzzel is bij Chrome.

De meeste gebruikers zullen bij elke inlog de certificaat-waarschuwing negeren, maar dat is ook fout. Je leert jezelf dan aan om waarschuwingen te negeren, waardoor de kans groot is dat het mis gaat als het een terechte waarschuwing betreft.

Nee je mist het punt, het gaat toch niet om die waarschuwing. Het gaat er om dat het een stuk veiliger is dan het wachtwoord in klare tekst over het lijntje sturen en ik heb al uitgelegd waarom.

Het is dan ook in mijn beleving puur misleiding. Ik begrijp dat goedpraten dan ook niet.

Er wordt niks goed gepraat maar je beseft toch wel dat een man in the middle attack ALTIJD mogelijk is ook als je bijvoorbeeld de website van je bank bezoekt. Er zijn zelfs virusscanners die dit standaard doen om ook versleutelde verbindingen te kunnen controleren en ook dan heb je ook gewoon dat slotje en merk jij daar als gebruiker niks van. Maar dat betekend niet dat we dan maar TLS moeten laten vallen.
 
Nee je mist het punt, het gaat toch niet om die waarschuwing. Het gaat er om dat het een stuk veiliger is dan het wachtwoord in klare tekst over het lijntje sturen en ik heb al uitgelegd waarom.
Er zitten twee kanten aan. Op korte termijn is dat inderdaad veiliger. Maar in de praktijk houd dat in dat gebruikers gedwongen worden om veiligheidswaarschuwingen te negeren. De meeste mensen kunnen de risico's niet onderscheiden en leeren daardoor aan om veiligheidswaarschuwingen standaard weg te klikken.

Certificaten zijn goed, maar dan moeten het geen self-signed certificaten zijn. Als je voor het grote publiek een certificaat gebrukt, moet je er een gebruiken die geen waarschuwingen geeft bij gebruikers.

Er zijn zelfs virusscanners die dit standaard doen om ook versleutelde verbindingen te kunnen controleren en ook dan heb je ook gewoon dat slotje en merk jij daar als gebruiker niks van.
Lijkt me sterk. Ik heb geen ervaring met dat soort virusscanners, maar het zou niet mogelijk moeten zijn om na een mit aanval toch weer het originele certificaat te tonen. Op zich is dit dan een bug in het OS als dit soort manipulaties met certificaten mogelijk zijn en je toch weer het certificaat van je bank ziet als je het certificaat bekijkt.
 
Er zitten twee kanten aan. Op korte termijn is dat inderdaad veiliger. Maar in de praktijk houd dat in dat gebruikers gedwongen worden om veiligheidswaarschuwingen te negeren. De meeste mensen kunnen de risico's niet onderscheiden en leeren daardoor aan om veiligheidswaarschuwingen standaard weg te klikken.

Certificaten zijn goed, maar dan moeten het geen self-signed certificaten zijn. Als je voor het grote publiek een certificaat gebrukt, moet je er een gebruiken die geen waarschuwingen geeft bij gebruikers.


Lijkt me sterk. Ik heb geen ervaring met dat soort virusscanners, maar het zou niet mogelijk moeten zijn om na een mit aanval toch weer het originele certificaat te tonen. Op zich is dit dan een bug in het OS als dit soort manipulaties met certificaten mogelijk zijn en je toch weer het certificaat van je bank ziet als je het certificaat bekijkt.

Dat negeren hoeft niet perse, menig provider is uitstekend in staat om dit op te lossen. en anders zetten ze in de gebruiksaanwijzing dat je de eerste keer zo'n melding krijgt.

En wat betreft die virusscanner, het zijn niet de minste die dit doen, kaspersky, bitdefender, norton, etc Zelf heb ik een bedrijfsversie van bitdefender met lokale management server draaien en ook die bied deze optie. Je kunt overigens wel opgeven welke sites uitgesloten moeten blijven. Maar ook corperate network firewalls bieden vaak dit soort functionaliteit soms met eigen endpoint security oplossing er bij. Die voegt dan een certificaat toe aan je systeem. En serieus welke normale gebruiker checkt het certificaat en de fingerprint?

En zelfs met de lokale certificate authority op het systeem is nog te knoeien maar dan moet je admin toegang tot de pc hebben en dan kan de bad guy net zo goed een keylogger installeren.
 
Self signed certs zijn rotdingen voor de gemiddelde gebruiker en handleidingen worden toch niet gelezen.
 
De discussie gaat nu wel heel erg over de voor en nadelen van https en hoe lastig het is om dat te implementeren, maar even terug naar de oorspronkelijke opmerking van topicstarter:

Het aanpassen van het wachtwoord invoer veld met sterretjes (die je uit kunt zetten) is gewoon een hele kleine en logische wijziging. Dat het niet heel veel toevoegt qua security is ook zo, maar het is een no brainer. Die zouden ze vrij makkelijk moeten kunnen implementeren. Niet veel meer dan wat javascript toevoegen.

De implementatie van https is natuurlijk veel ingrijpender. Maar ook ik ben er van overtuigd dat dat voor lokale netwerken steeds belangrijker gaat worden. En dat dat lastig en complex is, tuurlijk, maar daar komen vast wel oplossing voor.
Nog niet zo lang geleden hadden 99% van de websites helemaal geen https. Dat was vaak uit gemak, nut/noodzaak en kosten. Inmiddels zijn die problemen allemaal opgelost. Met zoiets als let's encrypt is het veel makkelijker geworden en worden certificaten zelfs om de 3 maanden automatisch verlengd, en nog gratis ook. Ook hostingproviders bieden het standaard aan.
Ik zeg niet dat Ziggo zo'n let's encrypt oplossing moet gebruiken, maar er zijn vast mogelijkheden om dit centraal te regelen met minimale impact voor gebruikers. Als KPN het is gelukt, dan zijn ze daar echt goed bezig.
 
Bij KPN (in elk geval de v10a) verliep het certificaat met als gevolg dat je niet meer de routerinterface kon benaderen. Dat had een firmware wijziging nodig om het weer goed te krijgen, en dat duurde nogal even. Ok, natuurlijk kon je via de bekende wegen de waarschuwing wegklikken en toch wel bij de interface komen, maar het geeft aan dat de gemiddelde gebruiker gauw de weg kwijt is.

Er was dus niet goed over de procedure nagedacht.
 
…Ik zeg niet dat Ziggo zo'n let's encrypt oplossing moet gebruiken, maar er zijn vast mogelijkheden om dit centraal te regelen met minimale impact voor gebruikers. Als KPN het is gelukt, dan zijn ze daar echt goed bezig.
Het blijft een lastige materie omdat het over beveiliging gaat. Browsers verhogen steeds de drempel voor wat ze toelaten. Als ze Let's Encrypt zouden gebruiken, kan dat alleen via de domeinnaam die aan elk IP adres gekoppeld is. Dan zou het certificaat op naam "xxx-xxx-148-245.cable.dynamic.v4.ziggo.nl" komen te staan. Hier kan een gebruiker niets mee. Bij de browser Safari zou dit nog wel werken. Als je daar een apparaat benaderd via een IP adres dat tot de lokale range behoort, krijg je geen waarschuwing op een https verbinding zolang dat certificaat maar ondertekend is door een bekende autoriteit. Bij diverse andere browsers krijg je toch weer een waarschuwing omdat het gebruikte IP adres niet in het certificaat staat.

Ik gebruik al heel lang self-signed certificaten, maar browsers zijn de laatste jaren steeds strenger geworden. Ik heb al vaker last gehad met IP cameras met self-signed apparaten die plots niet meer benaderbaar waren via https omdat de browser weer een strengere update kreeg. Persoonlijk vind ik dat Safari het hier goed doet door certificaten op apparaten in je eigen netwerk minder streng te controleren op een geldige domeinnaam. Dat maakt het gebruik van https in je eigen netwerk gebruiksvriendelijker.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan