Security

Wij bouwen alle grotere web-applicaties met Spring MVC (Java) en maken daarbij gebruik van het Spring security-framework. Dit framework is zeer robuust en wordt door duizenden bedrijven en financiële instellingen gebruikt.

Goede beveiliging van web-applicaties wordt vaak onderschat. Wekelijks verschijnen er berichten dat 'sites' eenvoudig te hacken zijn en dat vertrouwelijke en persoonlijke gegevens van mensen op straat zijn komen te liggen.

Of erger, dat het de inbrekers lukt om op afstand bruggen en sluizen te bedienen.

IRP heeft veel ervaring met het bouwen van zeer goed beveiligde web-applicaties. Wij laten dat ook regelmatig onderzoeken. Zo is bijvoorbeeld de beveiliging van NOSlink (https://noslink.nl) in 2011 uitvoerig getest (Universiteit van Amsterdam; p08_report.pdf).

NOSlink bevat de persoonlijke gegevens van ruim 35.000 (bekende) Nederlanders, zoals artiesten, bestuurders, politici, CEO's, etcetera. Vanzelfsprekend hoort de beveiliging van deze gegevens zeer robuust te zijn.

Welke technieken kunnen gebruikt worden om een applicatie goed te beveiligen?

  • Een combinatie van gebruikersnaam en wachtwoord;
  • Limiet aan het aantal inlog-pogingen;
  • Validatiecodes per e-mail, bijvoorbeeld na drie keer een foutief wachtwoord;
  • Controles op 'correct' gebruik van de applicaties;
  • Gebruikers kunnen maar 1 keer ingelogd zijn;
  • Speciale inloglocaties voor administrators;
  • Doorlopende monitoring van gebruik;
  • IP-checks (toegang alleen vanaf bepaalde IP-nummers/of IP-reeksen);
  • Gebruik mobiele telefoon (eenmalig wachtwoord per sms) of het gebruik van andere tokens.

Over alle bovenstaande onderdelen valt uiteraard meer te zeggen.

De combinatie van gebruikersnaam en wachtwoord vormt bij veel sites met een inlog de basisbeveiliging. Met een makkelijke gebruikersnaam (bijvoorbeeld e-mail-adres, of naam) is de helft van de beveiliging eigenlijk al weg. Toch is dat niet de hoofdreden om te pleiten voor een minder voor de hand liggende gebruikersnaam.

De belangrijkste reden is dat wij, net als sommige banken, na een aantal malen foutief inloggen het account blokkeren. Stel dat omroep-medewerkers hun e-mailadres gebruiken om in te loggen bij Perslink, dan kan iemand die kwaad wil tientallen (honderden?) accounts blokkeren. Want e-mailadressen zijn op veel plaatsen online te vinden en als je er een paar weet, dan is de structuur van de mailadressen bij dat bedrijf meestal wel helder.

Bij een goede beveiliging hoort ook dat mensen niet gedwongen worden om regelmatig hun wachtwoord aan te passen. We hebben jarenlang wachtwoorden gemonitord die mensen gebruiken en geconstateerd dat als mensen gedwongen worden tot frequente wijziging, ze hele voor de handliggende reeksen gaan gebruiken (jaartallen, maanden, etc.). Dat vormt uiteraard een groot risico voor de beveiliging.

Ook besteden we veel aandacht aan de manier waarop de infrastructuur is beveiligd, zoals het netwerk en de servers. Daarbij is het uitgangspunt dat het nooit iemand mag lukken om ongeautoriseerd binnen te komen. Maar dat, zelfs als dat onverhoopt gebeurt, het vervolgens niet mogelijk is database(s) te openen.