Website gegevens beveiligen
Een website of webshop kan allerlei gegevens bevatten die je graag goed wilt beveiligen. Beveiliging is een onderwerp dat vaak over het hoofd wordt gezien. We nemen de basis veiligheidsmaatregelen, kiezen een sterk wachtwoord en denken 'dat zal mij of ons niet overkomen'. Benieuwd of je wachtwoord echt een sterk wachtwoord is? Via deze website kun je zien hoe snel jouw wachtwoord te kraken is.
Welke gegevens we zoal via een website verwerken?
- Webshop bestellingen
- Accounts (voor een webshop, forum, website, etc)
- Formulier inzendingen (aanmeldingen, contact aanvragen)
Er zijn veel dingen die je kunt doen om de veiligheid van je website en daarmee dus ook de privacy gevoelige gegevens te verbeteren. Hieronder licht ik enkele manieren toe hoe je je website gegevens beter kunt beveiligen.
Login locaties beperken (IP restrictie)
Het is mogelijk om toegang tot het beheer van je website te beperken op basis van IP-adressen. Dit betekent dat je alleen op selecte locaties kunt inloggen. Elke keer dat je inlogt kijkt een CMS systeem naar het IP adres waar vanaf wordt geprobeerd om in te loggen. Komt dit IP-adres niet voor in de lijst die je vooraf hebt bepaald dan kun je niet inloggen. Stel criminelen stelen je inloggegevens via phishing dan kunnen ze alsnog niet inloggen omdat de locatie waar vanuit ze dit proberen niet wordt toegestaan. Uiteraard beperkt dit wel de vrijheid van je werkplek. Het voordeel van login locaties beperken ten opzichte van tweestaps-verificatie is dat je niet telkens een extra stap hoeft uit te voeren bij het inloggen. Werk je altijd vanuit de zelfde locatie aan je website, dan is dit een mooie en eenvoudige manier van een extra beveiligingslaag.
Tweestaps-verificatie
Een andere mogelijkheid is tweestaps-verificatie ook wel bekend als Multi-factor authentication (MFA). Nadat je inlogt moet je via een tweede stap met een mobiele app (bijv Google Authenticator) of via een sms een code invoeren om het login proces af te ronden. Dit ken je wellicht van DigiD of van je bank. Steeds meer grote partijen werken (Google, Apple etc) werken met deze manier van inloggen om de gegevens van hun gebruikers beter te beschermen. Ook hier geld dat internet criminelen geen toegang kunnen krijgen tot de gegevens van je website omdat alleen jij de extra login stap kunt uitvoeren.
SSL certificaat
Een SSL certificaat beschermt je gegevens die je via een formulier verzend. Het is herkenbaar aan het slotje in de browser adresbalk. Meerdere browsers tonen al een melding 'niet veilig' als een SSL certificaat ontbreekt. Welke soort formulieren gaat het dan om? Denk bijvoorbeeld aan een login-formulier maar ook alle andere soorten formulieren waarmee je gegevens via een website verstuurt. Een SSL certificaat is wettelijk ook verplicht als je persoonsgegevens via je website verwerkt.
Sterke wachtwoorden
Hoe vaak komt het niet voor dat we voor verschillende websites de zelfde inloggegevens gebruiken. Waarom? Het gemak. Maar het is sterk af te raden. Via programma's als Hunted maar ook in de dagelijkse praktijk merk ik vaak dat mensen veelal het zelfde wachtwoord gebruiken. Wil je gegevens toch beter beschermen dan kun je ervoor kiezen om wachtwoord regels op te stellen in combinatie met het opleggen van een periodieke wachtwoord wijziging.
Wachtwoordmanagers
Je kunt natuurlijk ook gebruik maken van een wachtwoordmanager. Op die manier kun je overal verschillende wachtwoorden gebruiken en alle wachtwoorden beheren in een tool met 1 wachtwoord, wel zo makkelijk. Vpngids schreef er een artikel over en heeft diverse wachtwoordmanagers voor je getest. Lees hiervoor het artikel "wachtwoordmanagers".
Phishing
Hoe krijgen internet criminelen dan toegang tot jou gegevens zul je je afvragen. Een veelvuldig gebruikte techniek is phishing. Phishing staat eigenlijk voor 'hengelen naar gegevens'. Via verschillende technieken proberen ze toegang te krijgen tot jouw wachtwoorden, inloggegevens of bankgegevens. In het onderstaande filmpje van Dell wordt dit mooi uitgelegd.
Voorkomen beter dan genezen
Extra maatregelen bieden nooit 100% zekerheid. Het maakt het mensen die uit zijn op het stelen van website gegevens in ieder geval een stuk lastiger. Wat als het toch mis gaat omdat je hackers toegang hebben gekregen tot de gegevens van je website? Dan moet je dit melden bij de autoriteit persoonsgegevens. Daarnaast wil je / moet je ook de benadeelde mensen op de hoogte stellen om te voorkomen dat hun gegevens misbruikt kunnen worden. Een hoop extra werk waar je als bedrijf of organisatie niet op zit te wachten. Voorkomen is beter dan genezen, zorg er dus voor dat gegevens beveiliging van je website niet vergeten wordt!