In Mijn Antagonist beheer je de bij ons gekochte producten. Vanzelfsprekend is het heel belangrijk dat alleen jij toegang hebt tot die omgeving. Daarom checken we nu automatisch of je wachtwoord betrokken is geweest bij een datalek. Dit doen we met behulp van de tool Have I Been Pwned (HIBP). Zo helpen we je klantaccount beter te beveiligen. Graag leggen we uit hoe het precies werkt en hoe het tot stand kwam!
Inhoudsopgave
Wat is Have I Been Pwned?
Have I Been Pwned is opgezet door de gerenommeerde beveiligingsexpert Troy Hunt. De dienst houdt een enorme database bij van inloggegevens en e-mailadressen die zijn betrokken bij datalekken wereldwijd. Vul je jouw mailadres of wachtwoord in op de HIBP-website, dan controleert de service of deze gegevens erin voorkomen. Als dat het geval is, wordt sterk aangeraden om je wachtwoord te wijzigen.
Waarom HIBP integreren in Mijn Antagonist?
We nemen online veiligheid erg serieus en hechten veel waarde aan het beschermen van je klantaccount. Door Have I Been Pwned te integreren, hoef je niet af te wachten totdat het te laat is. Zo kun je proactief actie ondernemen en ongeautoriseerde toegang tot je klantaccount voorkomen. Je hostingpakketten en domeinen blijven hierdoor veilig in jouw handen.
Hoe werkt de HIBP-check?
Wanneer je inlogt op Mijn Antagonist, checken we het wachtwoord bij HIBP. Komt het wachtwoord voor op de lijst, dan informeren we je hierover per e-mail. Daarin staat wat er aan de hand is en wat je moet doen. Probeer je een nieuw wachtwoord in te stellen dat al voorkomt in de database? Ook dat laten we je weten. Het wachtwoord wordt niet ingesteld en je zult een andere, unieke inlogcode moeten bedenken.
Bij Antagonist bewaren we inlogcodes volgens de meest moderne veiligheidsstandaarden. Zo wordt je wachtwoord altijd gecodeerd opslagen in onze database. Bij het inloggen hashen we het wachtwoord. Die hash sturen we naar HIBP om te achterhalen of het een gelekte inlogcode is. Zo blijft tijdens het hele proces je wachtwoord verborgen, zowel voor ons als voor HIBP.
Help, ik krijg een melding…
Dat is geen directe reden voor paniek. We sturen je de mail uit voorzorg, zodat je maatregelen kunt treffen. Er zijn op dat moment geen aanwijzingen dat iemand toegang heeft gekregen tot je account. Bovendien is er geen inbraak bij Antagonist. Wel is je wachtwoord blijven gebruiken onveilig. We raden daarom deze twee stappen aan.
- Wachtwoord wijzigen
Wijzig meteen je wachtwoord voor Mijn Antagonist. Gebruik het liefst een wachtwoordmanager om een veilige en unieke inlogcode te genereren. - Twee-factor-authenticatie inschakelen
Activeer twee-factor-authenticatie (2FA) voor je account, wanneer je dit nog niet hebt gedaan.
Gebruik jij al een wachtwoordmanager?
Zo niet, dan is nu het moment. Tegenwoordig heb je overal accounts voor. Misschien herken je de frustatie dat je weer ergens een wachtwoord voor moet verzinnen. Uit gemak hergebruik je er vaak eentje, soms zonder dat je het beseft. Voor iemand met kwade intenties is dat ideaal om toegang te krijgen tot meerdere van je accounts. Een hacker test op een geautomatiseerde manier of hij op systemen kan inloggen. Weet hij ook je gebruikersnaam (meestal je e-mailadres), gebruik je geen 2FA en heb je overal hetzelfde wachtwoord? Voor een hacker is het dan kinderspel.
Maak jezelf het daarom gemakkelijk en gebruik een wachtwoordmanager. Populaire opties zijn Bitwarden, 1Password en KeePass. Daarmee maak je veilige en unieke wachtwoorden aan, zonder dat je ze hoeft te onthouden. Met zo’n programma stel je voor ieder account een willekeurig wachtwoord in. Deze gegevens worden bewaard in een versleutelde kluis. Die kluis ontgrendel je met je hoofdwachtwoord, vingerafdruk of Face ID. Moet je ergens inloggen, dan detecteert je manager dit. Je ontgrendelt je kluis en het formulier wordt vanzelf ingevuld. Zo log je naadloos in.
Zie je er tegenop om overal nieuwe wachtwoorden in te stellen? Het kost minder tijd dan je denkt. Besef daarnaast dat toegang herstellen tot een gehackt account ook tijd kost – als dit al lukt. Niet alles hoeft in één keer. Begin met je belangrijkste accounts en wijzig het voor de rest, wanneer je ermee in aanraking komt. Je zult al snel merken dat een manager je tijd en irritatie bespaart. Daarnaast geeft het ook een prettig gevoel om te weten dat je overal veilige wachtwoorden gebruikt.
Van DevDag naar eindproduct
Vier keer per jaar hebben onze techneuten een inspiratieweek. Het doel daarvan is om los te komen van projecten en terugkerende werkzaamheden. In deze week is er ook een DevDag. Dat is een uitgelezen kans om eens te spelen met nieuwe technieken. Het hoeft niet per se raakvlak te hebben met je werkzaamheden, maar dat mag uiteraard wel. ’s Ochtends pitch je de ideeën naar elkaar en vervolgens ga je aan de slag. Aan het eind van de dag presenteer je jouw bevindingen, bijvoorbeeld in de vorm van een Proof of Concept (PoC).
Onlangs op een DevDag koos een van onze ontwikkelaars om de integratie met Have I Been Pwned te onderzoeken. Het doel was helder. Bij het inloggen op Mijn Antagonist wilde hij veilig en automatisch checken of het gebruikte wachtwoord voorkwam in de HIBP-database. Aanvullend wilde hij uitdenken hoe een gebruiker daarover zou worden geïnformeerd. Dankzij een goed gedocumenteerde API bleek het idee bijzonder haalbaar. Aan het einde van de dag had hij de verificatie werkend.
Nu is een DevDag-idee doorzetten naar een eindproduct zeker geen vereiste. Echter, gezien het nut ervan besloten we al snel dat we het ook in gebruik wilden gaan nemen. We draaiden een pilot en zagen dat in korte tijd al zo’n 50 klanten ermee waren geholpen. Na wat verfijning en input van andere afdelingen staat deze beveiligingsfunctie aan voor iedereen. Zo is jouw Mijn Antagonist-account weer een stukje veiliger!
P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!