Om je beter van dienst te kunnen zijn maakt deze website gebruik van cookies. Lees meer in ons privacy statement. Akkoord

Contactinfo

Support

  • 071 - 30 30 300
  • support@interpulse.nl

Kantoor

  • 071 - 566 52 82
  • info@interpulse.nl
  • Zoeterwoudsesingel 56
    2313 EK Leiden

Hoe veilig is jouw webapplicatie? 7 eisen die je moet toepassen

2 aug 2018
Reinoud ten Hove

Reinoud ten Hove


De beveiliging van webapplicaties heeft helaas niet altijd de hoogste prioriteit, maar is nu echt een MUST geworden! Bevat de applicatie persoonsgegevens, dan ben je mogelijk in overtreding als de applicatie onvoldoende beveiligd is… Mocht er een datalek optreden, dan ben jij als eigenaar van de gegevens verantwoordelijk. De gevolgen kunnen groot zijn, niet alleen financieel, maar ook op het gebied van mogelijke reputatieschade.

Hoe veilig is jouw webapplicatie? 7 eisen die je moet toepassen

Bij Interpulse hebben we veel verschillende webapplicaties ontwikkeld waarbij voorheen beveiligingsfunctionaliteiten overboord werden gegooid om redenen als "wat heb ik daar aan?", "wat voor waarde levert dat op?" of "totaal niet praktisch..".  Nu wordt dit altijd direct vanaf de start opgepakt: 'security by design'!

Wat moet er toegepast worden om veilig te zijn?

Het beveiligen van data is op verschillende niveaus te realiseren, het is bijvoorbeeld mogelijk om een goed slot op te hangen, maar je kunt ook een kluis opzetten met 5 verschillende sloten. Onderstaande beveiligingstoepassingen zijn naar ons idee erg verstandig om toe te passen. Mocht er in je applicatie iets niet geregeld zijn, leg dit dan eens voor bij je webbouwer.

Database encryptie op persoonlijke gegevens

Encryptie is het versleutelen van informatie zodat deze gegevens niet leesbaar zijn zonder in het bezit te zijn van een sleutel. Persoonlijke gegevens die tot misbruik kunnen leiden of impact kan hebben op de privacy van personen moet versleuteld worden. Denk aan NAW gegevens, e-mail adressen en zeker ook bankgegevens en andere (zeer) gevoelige data. Mocht iemand de database in bezit krijgen, dan hebben ze met deze encryptie nog niets bruikbaars in handen.

Wachtwoord - alleen instelbaar door gebruiker

In veel applicaties wordt een gebruiker van het systeem aangemaakt door een beheerder. Bij de gebruiker wordt een wachtwoord door de beheerder ingesteld, waarna deze (vaak op een onveilige manier) aan de gebruiker wordt verstrekt. In dit geval zijn er minimaal 2 personen op de hoogte van het wachtwoord.

Veel veiliger is het om bij het aanmaken van een gebruiker automatisch een e-mail te versturen. In de e-mail is een link opgenomen welke verwijst naar een locatie waar hij of zij zelf een wachtwoord kan instellen. De link is eenmalig te gebruiken en heeft een houdbaarheid van bijvoorbeeld 2 dagen.

Wachtwoord - hashing

Het veilig opslaan van wachtwoorden is noodzakelijk. In het geval van password hashing wordt een wachtwoord ‘gehashed’ (versleuteld) opgeslagen in de database. Ook ontwikkelaars of andere beheerders van de applicatie kunnen het wachtwoord niet achterhalen. Want zeg nu zelf, gebruik jij altijd een ander wachtwoord? (klik hier voor tips voor een veilig wachtwoord)

Wachtwoord - sterkte afdwingen

Wachtwoorden zijn vaak slecht gekozen. Dwing de gebruiker een veilig wachtwoord te kiezen dat voldoet aan minimale eisen.

Wachtwoord - verloop

De meningen over het laten verlopen van een wachtwoord lopen nog wat uiteen, maar wij adviseren periodiek (minimaal 1x per jaar) een wachtwoord te laten verlopen. De gebruiker moet dan opnieuw een veilig wachtwoord kiezen, wat bij voorkeur niet teveel lijkt op eerder gekozen wachtwoorden.

Bevestigen nieuw IP adres en topografische blokkades

Bevat je applicatie veel bijzondere persoonsgegevens, dan kan het verstandig zijn om IP-adressen te laten bevestigen. Stel dat je inlogt vanaf een niet bekende locatie, dan wordt er een e-mail verzonden naar het e-mailadres van de gebruiker waarna deze de locatie kan bevestigen. Alternatief of aanvulling kan zijn de ip-adressen vanuit bepaalde werelddelen of landen te blokkeren. Want waarom zo iemand vanuit Roemenië in moeten loggen op je webapplicatie?

Two factor authentication (aanbevolen!)

Two factor authenticatie (ook wel Multi factor authentication genoemd) is een extra stap tijdens het login proces. Two factor authentication vereist twee of meer authenticatiemiddelen. In de praktijk blijkt het verliezen van inloggegevens door de gebruiker zelf het grootste risico. Deze methode zorgt ervoor dat je niets hebt aan alleen gebruikersnaam en wachtwoord.

Allereerst moet gebruikersnaam en het wachtwoord worden ingevoerd, daarnaast (2e factor) moet de mobiele telefoon geraadpleegd worden. Zonder mobiele telefoon kan je niet verder.

Wij adviseren hierin het gebruik van een Authenticator app. Hiermee kan een code gegenereerd worden op de smartphone, die vervolgens ingevuld moet worden. Er zijn overigens verschillende implementaties mogelijk. Voor bepaalde doelgroepen werkt bijvoorbeeld de traditionele SMS beter, omdat deze toegankelijker in gebruik is.

Single Sign On (SSO)

SSO maakt het mogelijk om eenmalig in te loggen, waarna gebruikers automatisch toegang krijgen tot meerdere applicaties. Mocht je Microsoft Office 365 gebruiken, dan kan deze bijvoorbeeld gebruikt worden om ook automatisch in te loggen bij een maatwerk applicatie. Er kan dan centraal bepaald worden of iemand nog mag inloggen, wel zo fijn als een medewerker het bedrijf verlaat of een nieuwe medewerker aangesteld wordt. Bijkomend voordeel van SSO is dat een deel van eerdergenoemde beveiligingstoepassingen al voorhanden is, want dit wordt centraal geregeld door Microsoft. Wij raden SSO dan ook sterk aan.

Wij zijn blij dat beveiliging een belangrijk onderdeel is geworden en dat opdrachtgevers de waarde inzien van een veilige webapplicatie. Heb je nog vragen over het goed beveiligen van je applicatie, stel ze gerust!


Deel artikel



Tags

Reinoud ten Hove

Reinoud ten Hove

Als manager van de afdeling Interactive is Reinoud altijd op de hoogte van de laatste ontwikkelingen op het gebied van security, apps en websites.


Terug naar overzicht


Updates

Verlies je goede medewerkers niet aan een modernere concurrent

Millenials stellen steeds hogere eisen aan werkgevers. Is je ICT niet up to date? Vergeet het dan maar. In dit artikel laten we je zien hoe je voldoet aan de eisen van vandaag. Hoe je kunt werken met de Modern Workplace en hoe dat ervoor zorgt dat mensen productiever en efficiënter kunnen (samen)werken.

Hoe combineer je de AVG met de Cloud?

De AVG: ‘Hiep Hoera!’ voor de bescherming van persoonlijke gegevens, maar ook ‘HELP!’ voor de gevolgen voor veel organisaties. Want hoe pas je je infrastructuur en rechtenstructuur goed aan? En als je dat eenmaal voor elkaar hebt, hoe hou je de boel dan continu veilig en up-to-date?

Zomerstop? Welnee: doorpakken!

De zomervakanties zijn begonnen, terwijl het zuiden van Nederland al richting de zon gaat en de andere regio’s zich ook opmaken voor een periode van ontspanning en vertier, begint het zakelijke laagseizoen. Tenminste, dat zou je zeggen.

Minder mail, productievere teams

Met je eerste kop koffie in de hand open je ’s ochtends goedgemutst je inbox. Maar al voor je klaar bent met het ordenen en afhandelen van al die belangrijke, en nog veel meer onbelangrijke e-mail berichten, ben je toe aan je vijfde bak koffie en is je vrolijke muts ingeruild voor een bokkenpruik. Je wordt er gek van: al die e-mail!

Prototyping: Kwalitatieve doelgerichte App in minder ontwikkeltijd

"Fail faster to succeed sooner". Het klinkt gek, maar is waar prototyping om draait. Je wilt z.s.m. zien wat wel en wat niet werkt binnen een interface. In een proces zonder prototyping is vaak te zien dat fouten in de user interface pas zichtbaar worden tijdens de ontwikkelfase. In dit stadium ben je te laat. Aanpassingen kosten dan al veel meer tijd en moeite. Tijdens een prototyping fase kan je de fouten en onduidelijkheden uit een interface halen nog voordat er gestart is met vormgeven en technische ontwikkeling. Meer kwaliteit, minder kosten!

Avonturen in de ICT

In 2000 begon een stel jonge whizzkids in een klein kamertje een eigen bedrijf. Na 18 jaar is Interpulse uitgegroeid tot een bloeiend ICT-bedrijf met klanten door heel Nederland. Jaren waarin we keihard aan de weg timmerden, heel veel avonturen beleefden, en nog meer kennis hebben verzameld.

Samen de klant op reis sturen

We hebben bij Interpulse het voorrecht om de ICT te mogen verzorgen bij allerlei soorten organisaties, van klein tot groot. Het is leuk om een kijkje achter de schermen te krijgen bij bijzondere bedrijven, de Treinreiswinkel is er daar zeker één van!

Wij laten vanaf nu beter zien wat wij doen!

Elles & Hellen levert zeer creatieve concepten voor uiteenlopende klanten. Dit doen zijn met een team van ervaren professionals. Het advies van Interpulse: laat dit zien! Resultaat van het Design-traject is een website waar de presentatie van hun werk centraal staat.

Wat is de Next Big Thing online?

Is het een hype of gaat dit het écht worden, bij veel populaire termen worden daar vraagtekens gezet, maar is dat wel terecht? Denk aan Kunstmatige intelligentie, Blockchain en Machine Learning. Tijdens het festival The Next Web in Amsterdam mochten een aantal Interpulse collega's eind mei horen wat er nu en in de toekomst speelt op het technologische speelveld.

Wachtwoorden – “wacht; welk woord ook alweer!?” (Deel 1/2)

Wachtwoorden. Een geheime “code” om te laten zien dat jij, jij bent tijdens het aanmelden. Een code die jij alleen maar weet en herkent, toch? We zijn allemaal bekend met de noodzaak hiervan; de ongemakken en soms ook heuse wachtwoord-stress.