Om je beter van dienst te kunnen zijn maakt deze website gebruik van cookies. Lees meer in ons privacy statement. Akkoord


Support

  • 071 - 30 30 300
  • support@interpulse.nl

Kantoor

  • 071 - 566 52 82
  • info@interpulse.nl
  • Zoeterwoudsesingel 56
    2313 EK Leiden

Blijf op de hoogte!

Max. 1 x per 14 dagen per e-mail. Inschrijven voor onze Updates
Blogs

Hoe veilig is jouw webapplicatie? 7 eisen die je moet toepassen

2 aug 2018
Reinoud ten Hove

Reinoud ten Hove


De beveiliging van webapplicaties heeft helaas niet altijd de hoogste prioriteit, maar is nu echt een MUST geworden! Bevat de applicatie persoonsgegevens, dan ben je mogelijk in overtreding als de applicatie onvoldoende beveiligd is… Mocht er een datalek optreden, dan ben jij als eigenaar van de gegevens verantwoordelijk. De gevolgen kunnen groot zijn, niet alleen financieel, maar ook op het gebied van mogelijke reputatieschade.

Hoe veilig is jouw webapplicatie? 7 eisen die je moet toepassen

Bij Interpulse hebben we veel verschillende webapplicaties ontwikkeld waarbij voorheen beveiligingsfunctionaliteiten overboord werden gegooid om redenen als "wat heb ik daar aan?", "wat voor waarde levert dat op?" of "totaal niet praktisch..".  Nu wordt dit altijd direct vanaf de start opgepakt: 'security by design'!

Wat moet er toegepast worden om veilig te zijn?

Het beveiligen van data is op verschillende niveaus te realiseren, het is bijvoorbeeld mogelijk om een goed slot op te hangen, maar je kunt ook een kluis opzetten met 5 verschillende sloten. Onderstaande beveiligingstoepassingen zijn naar ons idee erg verstandig om toe te passen. Mocht er in je applicatie iets niet geregeld zijn, leg dit dan eens voor bij je webbouwer.

Database encryptie op persoonlijke gegevens

Encryptie is het versleutelen van informatie zodat deze gegevens niet leesbaar zijn zonder in het bezit te zijn van een sleutel. Persoonlijke gegevens die tot misbruik kunnen leiden of impact kan hebben op de privacy van personen moet versleuteld worden. Denk aan NAW gegevens, e-mail adressen en zeker ook bankgegevens en andere (zeer) gevoelige data. Mocht iemand de database in bezit krijgen, dan hebben ze met deze encryptie nog niets bruikbaars in handen.

Wachtwoord - alleen instelbaar door gebruiker

In veel applicaties wordt een gebruiker van het systeem aangemaakt door een beheerder. Bij de gebruiker wordt een wachtwoord door de beheerder ingesteld, waarna deze (vaak op een onveilige manier) aan de gebruiker wordt verstrekt. In dit geval zijn er minimaal 2 personen op de hoogte van het wachtwoord.

Veel veiliger is het om bij het aanmaken van een gebruiker automatisch een e-mail te versturen. In de e-mail is een link opgenomen welke verwijst naar een locatie waar hij of zij zelf een wachtwoord kan instellen. De link is eenmalig te gebruiken en heeft een houdbaarheid van bijvoorbeeld 2 dagen.

Wachtwoord - hashing

Het veilig opslaan van wachtwoorden is noodzakelijk. In het geval van password hashing wordt een wachtwoord ‘gehashed’ (versleuteld) opgeslagen in de database. Ook ontwikkelaars of andere beheerders van de applicatie kunnen het wachtwoord niet achterhalen. Want zeg nu zelf, gebruik jij altijd een ander wachtwoord? (klik hier voor tips voor een veilig wachtwoord)

Wachtwoord - sterkte afdwingen

Wachtwoorden zijn vaak slecht gekozen. Dwing de gebruiker een veilig wachtwoord te kiezen dat voldoet aan minimale eisen.

Wachtwoord - verloop

De meningen over het laten verlopen van een wachtwoord lopen nog wat uiteen, maar wij adviseren periodiek (minimaal 1x per jaar) een wachtwoord te laten verlopen. De gebruiker moet dan opnieuw een veilig wachtwoord kiezen, wat bij voorkeur niet teveel lijkt op eerder gekozen wachtwoorden.

Bevestigen nieuw IP adres en topografische blokkades

Bevat je applicatie veel bijzondere persoonsgegevens, dan kan het verstandig zijn om IP-adressen te laten bevestigen. Stel dat je inlogt vanaf een niet bekende locatie, dan wordt er een e-mail verzonden naar het e-mailadres van de gebruiker waarna deze de locatie kan bevestigen. Alternatief of aanvulling kan zijn de ip-adressen vanuit bepaalde werelddelen of landen te blokkeren. Want waarom zo iemand vanuit Roemenië in moeten loggen op je webapplicatie?

Two factor authentication (aanbevolen!)

Two factor authenticatie (ook wel Multi factor authentication genoemd) is een extra stap tijdens het login proces. Two factor authentication vereist twee of meer authenticatiemiddelen. In de praktijk blijkt het verliezen van inloggegevens door de gebruiker zelf het grootste risico. Deze methode zorgt ervoor dat je niets hebt aan alleen gebruikersnaam en wachtwoord.

Allereerst moet gebruikersnaam en het wachtwoord worden ingevoerd, daarnaast (2e factor) moet de mobiele telefoon geraadpleegd worden. Zonder mobiele telefoon kan je niet verder.

Wij adviseren hierin het gebruik van een Authenticator app. Hiermee kan een code gegenereerd worden op de smartphone, die vervolgens ingevuld moet worden. Er zijn overigens verschillende implementaties mogelijk. Voor bepaalde doelgroepen werkt bijvoorbeeld de traditionele SMS beter, omdat deze toegankelijker in gebruik is.

Single Sign On (SSO)

SSO maakt het mogelijk om eenmalig in te loggen, waarna gebruikers automatisch toegang krijgen tot meerdere applicaties. Mocht je Microsoft Office 365 gebruiken, dan kan deze bijvoorbeeld gebruikt worden om ook automatisch in te loggen bij een maatwerk applicatie. Er kan dan centraal bepaald worden of iemand nog mag inloggen, wel zo fijn als een medewerker het bedrijf verlaat of een nieuwe medewerker aangesteld wordt. Bijkomend voordeel van SSO is dat een deel van eerdergenoemde beveiligingstoepassingen al voorhanden is, want dit wordt centraal geregeld door Microsoft. Wij raden SSO dan ook sterk aan.

Wij zijn blij dat beveiliging een belangrijk onderdeel is geworden en dat opdrachtgevers de waarde inzien van een veilige webapplicatie. Heb je nog vragen over het goed beveiligen van je applicatie, stel ze gerust!


Deel artikel



Tags

Reinoud ten Hove

Reinoud ten Hove

Als manager van de afdeling Interactive is Reinoud altijd op de hoogte van de laatste ontwikkelingen op het gebied van security, apps en websites.


Terug naar overzicht


Updates

Blogs

Extra goed vindbaar als bedrijf in Google

Wie wil er nu niet goed gevonden worden in Google? Er worden door organisaties grote investeringen gedaan om goed zichtbaar te zijn op bepaalde woorden of woordgroepen. Hier kunnen ook wij je veel over bijbrengen en op weg helpen, maar begin nu eens met het neerzetten van een goede basis. Goed nieuws: Je kunt het namelijk zelf! En het resultaat is dat je direct beter zichtbaar en vindbaar bent in de meest gebruikte zoekmachine Google.
Blogs

Zo valt je zonnige werkplek niet in het water

Bracht het afgelopen weekend nog even winterse temperaturen, nu is dan eindelijk écht de lente begonnen. De korte broeken kunnen uit de kast, boten uit de stalling en de tuinmeubelen afgestoft. Tijd om naar buiten te gaan, het zonnetje in. Dankzij de moderne werkplek is dat buiten zijn niet beperkt tot de avonden en het weekend. Werken kunnen we overal, dus ook in de tuin, op een terras, aan het water of op de boot. Ideaal. Maar hou daarbij wel een aantal dingen in het oog, zodat je zonnige werkplek niet in het water valt.
Blogs

Microsoft Ignite: de top 6 van Kees en Killian

Eind maart vond Microsoft Ignite plaats, hét Microsoft-event voor ontwikkelaars en ICT-professionals met meer dan 100 workshops en sessies door Microsoft-experts. Onze collega’s Kees en Killian van ICT Services bezochten het evenement in Amsterdam. Dit is de top 6 die ze graag met je delen.
Events

Getting most out of your data - Microsoft Ignite Amsterdam

Eind maart vond Microsoft Ignite plaats, hét Microsoft-event voor ontwikkelaars en ICT-professionals met meer dan 100 workshops en sessies door Microsoft-experts. Onze collega's van Interactive delen graag de inzichten welke zij daar hebben opgedaan.
Blogs

3 kleine stappen voor betere online veiligheid

Malware, spyware, ransomware, virussen, Trojaanse paarden en wormen. Voor je het weet is je computer gegijzeld of gaat een cybercrimineel er met je (creditcard)gegevens vandoor. Met deze 3 kleine aanpassingen bewegen jij en je collega’s een stuk veiliger door cyberspace.
Blogs

Digitale transformatie; best of breed of best of suite?

De wereld verandert en onze manier van samenwerken en communiceren verandert mee. We zijn altijd en overal online en switchen met het grootste gemak tussen telefoon, tablet en PC. Maar veel bedrijven werken nog met een traditionele, lokale ICT-omgeving of hebben een omgeving die beperkt gehost wordt in de cloud. Vroeg of laat gaat dat botsen. En dan?
Events

Grote belangstelling voor slimme technologie

Het Leidse PLNT, centrum voor innovatie en ondernemerschap, was op 5 februari even het middelpunt van de lokale techwereld. Tijdens het event Tech voor de Toekomst NU, een initiatief van Economie071, werden interessante cases getoond van concrete toepassing van slimme technologie. Denk daarbij aan de toepassing van sensoren en slimme apps. Ook waren er interessante kennissessies, waar ondernemers en geïnteresseerden kennis konden maken met technologie en zaken waar iedereen het over heeft, maar zelf nog maar mondjesmaat toepast.
Events

Waarom betaal ik eigenlijk voor beveiliging van mijn data?

De titel van dit stukje wijst naar een uitspraak gedaan door Mikko Hypponen, één van de Keynote sprekers op de Tweakers Developers Summit van 2019. De gehele quote was als volgt: “Waarom betaal ik eigenlijk voor beveiliging van mijn data? We hebben geen enkel security issue gehad het afgelopen jaar!”.
Blogs

Microsoft Surface Pro 6 versus Surface pro 5

Kees bezocht het geheel vernieuwde kantoor van Microsoft op Schiphol. Decor voor de presentatie van de nieuwe Microsoft Surface productlijn. Wij schreven onlangs een artikel over de Surface en gingen dus met enthousiasme op bezoek. Onze focus: de Microsoft Surface Pro 6.
Blogs

Heb jij een 5 sterren Back-Up Systeem?

Voor een goede back-up dien je rekening te houden met 5 factoren: retentie, hersteltijd, de frequentie van de back-up, de veiligheid, het systeem testen.