Gezin
Zoals jullie op bovenstaande foto kunnen zien bestaat mijn gezin uit een eenvoudige samenstelling.
Marieke en ik kennen elkaar sinds 1998 en zijn in 2015 getrouwd (met onze kinderen)
Simon is geboren in 2008
Charlotte is geboren in 2013
Zoals jullie op bovenstaande foto kunnen zien bestaat mijn gezin uit een eenvoudige samenstelling.
Marieke en ik kennen elkaar sinds 1998 en zijn in 2015 getrouwd (met onze kinderen)
Simon is geboren in 2008
Charlotte is geboren in 2013
Dit is mijn eerste post. Ik ben dit blog begonnen omdat ik een centrale plek wil hebben waar ik al mijn artikelen kan opstellen. Deze artikelen kunnen heel gevarieerd zijn en geven een beeld van mijn persoonlijke interesse.
Hiernaast is het vastleggen van een Blog voor mijn persoonlijk wel heel goed om mijn taalvaardigheden te blijven ontwikkelen. Ik heb last van dyslexie en deze vorm van taalblindheid zorgt ervoor dat ik niet graag teksten schrijf.
Het kost mij meer dan gemiddeld tijd en gecombineerd met een lichte vorm van perfectionisme maakt dit mij ook onzeker als ik teksten moet schrijven. Mocht je dus taalfoutjes tegenkomen in mijn teksten dan hoor ik dit graag zodat ik dit kan verbeteren. In de toekomst kan ik mij goed voorstellen dan mijn Blog volledig gefilmd op ingesproken wordt, maar daar ben ik nu nog niet.
Veel plezier met lezen !
Groeten,
Remco de Kievit
Het is eindelijk zover. Ik ben nu gemigreerd van het “oude” protocol U2F naar FIDO2 in deze website.
Ik moet nog wat kleinigheidjes oplossen maar dan is het mogelijk om hier als gast je aan te melden met een Yubikey.
Eerlijk gezegd was het heel eenvoudig om te activeren….. Wat je enkel hoeft te doen is de juist plugin te installeren in WordPress en wat ik nu heb gedaan is in de backend de Yubikey gekoppeld. Dit werkt trouwens ook met Windows Hello en waarschijnlijk ook met de nieuwe FIDO ondersteuningn in de laatste mac’s.
Even een korte handleiding.
Login op de backend van je WordPress site –
Ga naar Plugins – Nieuwe Plugin
Zoek (in het scherm Plugins zoeken) naar – wp-webauthn –
WP-WebAuthn – WordPress plugin | WordPress.org
Installeren en activeren en je bent klaar.
Binnen een gebruiker vind je nu helemaal onderaan – WebAuthn
Register New Authenticator – hier krijg je de mogelijkheid om verschillende authenicatoren te registreren..
Na een succesvolle presentatie te hebben gehouden bij Avensus over het gebruik van een Yubikey in Microsoft 365, ben ik gevraag voor een podcast.
Naast dat dit natuurlijk super leuk is om te doen help dit ook erg bij de evangelie dat we allemaal naar een veiliger en een beter internet willen.
Luister hier de podcast (57 minuten) opgenomen in samenwerking met
Gemiddelde leestijd: < 1 Minuut
Het gebruik van moderne authenticatie, dat wil zeggen met gebruikersnaam, wachtwoord en een extra apparaat (zoals een telefoon) is anno 2021 redelijk gebruikelijk zo lijkt het. Voor ons IT’ers waarschijnlijk wel maar toch blijkt het voor het grote publiek nog niet de gouden standaard. Wat is nu precies moderne authenticatie? Hoe zien de expert het voor zich, wat zijn de trends en ontwikkelingen en krijgen we echt een leven zonder wachtwoord? Allemaal vragen die we gesteld hebben aan Remco de Kievit en Sjaak Koekkoek. Deze 2 mannen zijn in het dagelijks leven bezig met security vraagstukken, waar moderne authenticatie een grote rol in speelt. Het is weer een leuke en vooral informatieve aflevering geworden. Wil jij je steentje ook bijdragen in deze podcast? Dat kan! Geef feedback bij Apple podcast, abonneer je op deze podcast en deel de aflevering(en) met zoveel mogelijk vrienden, collega’s. |
YubiKey 5 Series:De Multi-Protocol Security SleutelEenvoudige authenticatie voor bestaande enterprise systemen en maakt de weg beschikbaar voor een wachtwoordloze toekomst |
Alleen vertrouwen op gebruikersnaam- en wachtwoordbeveiliging brengt bedrijfsgegevens in gevaarCatastrofale beveiligingsinbreuken halen elke dag de wereldkoppen, en met goede reden. Een enkele inbreuk op de bedrijfsbeveiliging kost gemiddeld $ 3,86 miljoen en 81% van de inbreuken wordt veroorzaakt door gestolen of zwakke wachtwoorden. Als gevolg hiervan kunnen IT-organisaties niet uitsluitend vertrouwen op wachtwoorden om de toegang tot bedrijfsgegevens te beschermen. Het toepassen van sterkere werknemers- en klantauthenticatie is essentieel om risico’s te vermijden en het volgende doelwit te worden. |
De beveiligingssleutels van de YubiKey 5-serie bieden uitgebreide authenticatie-opties
|
Van smartcard naar een toekomst zonder wachtwoordDe YubiKey 5-serie is een op hardware gebaseerde authenticatie-oplossing die superieure bescherming biedt tegen accountovernames en naleving mogelijk maakt. De YubiKey biedt sterke authenticatie met ondersteuning voor meerdere protocollen, waaronder bestaande Smart Card-authenticatie, en WebAuthn/FIDO2 de nieuwe standaard die de vervanging van zwakke authenticatie op basis van wachtwoorden mogelijk maakt. Met de YubiKey wordt de beveiliging verhoogd met sterke, op hardware gebaseerde authenticatie met behulp van cryptografie met openbare sleutels. En de YubiKey is gebruiksvriendelijk, snel en betrouwbaar en heeft op grote schaal bewezen om de IT-kosten aanzienlijk te verlagen en accountovernames te elimineren. |
De YubiKey levert sterke authenticatie op grote schaalDe ondersteuning voor meerdere protocollen van YubiKey stroomlijnt authenticatie voor bestaande systemen en maakt de weg vrij voor een toekomst zonder wachtwoord.Ondersteunde authenticatie- en cryptografische protocollen inclusief FIDO Universal 2de Factor (U2F), WebAuthn/FIDO2, Personal Identity Verification-compatibele (PIV) Smart Card en OpenPGP-smartcard.
|
Voorkom man-in-the-middle-aanvallen en elimineer accountovernamesAlle software die op een computer of telefoon is gedownload, is kwetsbaar voor malware en hackers. De YubiKey is gebaseerd op hardware met het authenticatiegeheim opgeslagen op een aparte beveiligde chip ingebouwd in de YubiKey, zonder verbinding naar het internet, zodat het niet kan worden gekopieerd of gestolen.
|
De YubiKey 5 NFC, YubiKey 5C en YubiKey 5Ci passen gemakkelijk aan een sleutelhanger, terwijl de YubiKey 5 Nano en YubiKey 5C Nano zijn ontworpen om in de USB-poort te blijven. Dit zorgt ervoor dat elke YubiKey gemakkelijk toegankelijk is en hetzelfde niveau van digitale beveiliging biedt.
Eenvoudig te implementerenIT afdelingen kunnen YubiKeys in dagen implementeren, niet in maanden. Een enkele sleutel kan, dankzij de flexibele mogelijkheden voor meerdere protocollen, out-of-the-box werken met honderden systemen, zowel in de cloud als op locatie. Dit elimineert de noodzaak voor dure integraties of afzonderlijke apparaten voor elk systeem.. |
Verlaagt IT-kostenDe YubiKey zorgt voor een drastische verlaging van de nummer één IT-supportkosten – wachtwoordherstel. Die, na zeggen, Microsoft meer dan $ 12 miljoen per maand kost.
Deze grafiek illustreert hoe snel de wachtwoordsupport verminderde na het overschakelen van OTP naar YubiKey. Gebruiksvriendelijk, snel en betrouwbaarGebruikers hoeven niets te installeren en kunnen de YubiKey binnen enkele minuten gebruiken. En de YubiKey is betrouwbaar omdat hij geen batterij of netwerkverbinding nodig heeft, dus hij is altijd aan en toegankelijk. |
YubiKey-mogelijkheden: Deze functies zijn opgenomen in de YubiKey 5 NFC, YubiKey 5C, YubiKey 5 Nano, de YubiKey 5C Nano en de YubiKey 5Ci beveiligingssleutels. Vertrouwde leider in authenticatieYubico is de belangrijkste uitvinder van de WebAuthn/FIDO2- en U2F-authenticatiestandaarden die zijn aangenomen door de FIDO-alliantie en is het eerste bedrijf dat de U2F-beveiligingssleutel en een multiprotocol FIDO2/WebAuthn-authenticator produceert. YubiKeys worden geproduceerd in onze kantoren in de VS en Zweden, met behoud van veiligheid en kwaliteitscontrole over het hele productieproces. |
De meeste mensen zullen mij wel een vakidioot vinden, maar ik praat vaak op verjaardagen over het gebruik van een Yubico security key.
Er zijn dagelijks berichten te lezen waarbij aantoonbaar is dat iemand zijn digitale identiteit is misbruikt en ik zou dit niet graag hebben bij 1 van mijn vrienden. Het stelen van je digitale identiteit kan grote gevolgen hebben. Of dit nu je email box is, je dropbox account, je Facebook account, enz. Zodra een kwaadwillende binnen monitoren ze eerst een aantal weken je activiteit (volledig geautomatiseerd) en wordt er een digitale kaart van je gemaakt. Deze kaart stelt een kwaadwillende instaat om al je contacten te registreren en wat deze online doen. Met andere woorden, is er iemand besmet dan wordt er gegevens opgeslagen van iedereen waar je contacten mee heb of heb gehad.
Dus met het beschermen van mijn vrienden bescherm ik uiteindelijk ook mij zelf.
Natuurlijk krijg ik de vraag, hoe werkt dat dan ?
De werking van de Yubico key is gebaseerd op het FIDO2 protocol. Dit protocol is ontstaan uit een project welke in 2013 is gestart door een aantal grote spelers op het internet, maar met name door Google en Yubico. In die periode was het namelijk voorgekomen dat er een identiteit was misbruikt van 1 van de Google medewerkers. Google wilde dit nooit meer en is toen met Yubico gestart om een passende oplossing te maken. Wat er moest gebeuren is dat er binnen je webbrowser een koppeling moest komen met een extern security provider. Dus eenvoudig beschreven: als je op een webpagina komt welke beschermt is met een security key dan moet er een pop-up komen welke vraagt om de security key (WebAuth). In het totaal zijn er nu 260+ deelnemer van de Fido alliantie. bron: https://en.wikipedia.org/wiki/FIDO_Alliance Dit proces werkt momenteel binnen alle webbrowser, dus niet alleen Google Chrome.
De volgende links brengen je naar een website waar je ik 2FA met Yubico kan instellen:
https://www.facebook.com/security/2fac/settings
https://myaccount.google.com/u/0/signinoptions/two-step-verification
Ik krijg wekelijks de vraag hoe het mogelijk is om wachtwoord loos te leven in de omgeving van Microsoft 365.
Er zijn in dit traject een aantal zaken om rekening mee te houden. Microsoft heeft Windows Hello for Business ontwikkeld. Hiermee is het mogelijk om van je apparaat een soort hardware token te maken. Door gebruik te maken van : vingerafdruk, gezichtsherkenning of een pincode is het mogelijk om een Windows 10 werkplek te ontgrendelen en hierbij horende alle benodigde apps.
Windows Hello for Business verbind dan de medewerker aan het apparaat. Dit werkt niet zo handig wanneer er meerdere medewerkers dienen in te loggen op hetzelfde apparaat. Ook betekend dit dat als het apparaat vervangen dient te worden dit nieuwe apparaat opnieuw verbonden dient te worden aan de medewerker. Gelukkig komt dit laatste niet zo vaak voor want in de praktijk zien we dan dat de medewerker gemiddeld zo’n 30 minuten bezig is om zijn apparaat opnieuw te koppelen.
Nu ben ik natuurlijk voorstander om dit met Yubico op te lossen. Nadeel van het gebruik van Yubico is dat je additionele hardware dient aan te schaffen om toegang te geven tot je computer. Hiernaast is 1 = geen, want het verlies van deze sleutel betekend dat je niet meer kan inloggen. Kijk hier naar welke Verschillende Yubikeys er beschikbaar zijn.
In dit document beschrijf ik hoe je de Yubikey activeer in Microsoft 365. Op het moment van schrijven is deze functie nog in Public Preview bij Microsoft en nog niet General Available. Hierdoor zijn er bepaalde functies nog niet volledig beschikbaar. Naar verwachting wordt tijdens Ignite 2021 bekend gemaakt en is het product dan wel GA.
De volgende stappen dienen door een global admin te worden uitgevoerd binnen M365:
login op: portal.azure.com (wanneer dit de eerste keer is dan wordt dit portaal voor je aangemaakt
Selecteer -> Azure Active Directory -> Security -> Authentication methods
Klik op FIDO2 Security Key (preview)
Selecteer -> Enable – Yes -> Target – All users
Welke YubiKey is er nu geschikt om in te loggen in Microsoft 365 is een beetje afhankelijk van wat je er nog meer me wil doen en op welk type apparaat je dit wil gebruiken.
De volgende sleutels zijn beschikbaar:
YubiKey 5 series:
Zoals je ziet zijn er veel verschillende vormfactoren geschikt voor de verschillende apparaten. De eerste 2 key’s beschikken ook over NFC (dit zie je aan het Wifi teken). De laatste 2 zijn bedoeld om in het apparaat te blijven zitten.
Deze 5 series is geschikt voor veel meer dan enkel toegang tot Microsoft. Zo kan deze ook werken als een Smart card (ideaal voor login in Windows Remote Desktop / Citrix), een One Time Password OTP token geschikt voor websites met een QR code login en ondersteund deze sleutel ook OpenPGP waarmee versleuteld emailen mogelijk te maken is. |
De YubiKey Security Key NFC is een minder flexibele en uitgebreide key dan de YubiKey 5 series maar voldoet voor het inloggen naar Microsoft 365 (ondersteuning U2F en Fido2) |
Ik heb de afgelopen jaren gewerkt met backup oplossingen van Veritas (nu Symantec), Legato, ArcServe, BackupAgent, Veeam, ManageEngine en waarschijnlijk nog een paar… Word je wel steeds kritischer als er een nieuwe vendor langskomt. Ik ben in ieder geval al zijn 20 jaar aan het back-uppen en heb dit gedaan met oplossingen lokaal (naar tape of NAS) op virtuele platformen en in de cloud.
Vaak wordt backup en disaster recovery besproken in 1 onderwerp. Dit is niet terecht want beide functionaliteiten verschillen aanzienlijk van elkaar. Waar een backup bedoeld is om historische data te bewaren (vaak 5 tot 7 jaar) is het bij disaster recovery voornamelijk gericht om de meeste recente data snel terug te halen. Hier zie je dan ook meteen het belangrijkste verschil en de meeste uitdagingen van backup vendoren. Een backup dient te worden ondersteund door een hele goede database waarin je snel versies van bestanden kan terugvinden welke zelfs jaren geleden verwijderd zijn. Bij een disaster wil je graag zo snel mogelijk de meeste recente data terug plaatsen zodat de impact zo laag mogelijk is. In de praktijk zie je vaak dat hier overeen wordt gekeken en dat er eigenlijk maar 1 van de 2 in gebruik is genomen.
Op dit moment zie ik dat veel bedrijven migreren van een op locatie server omgeving naar een cloud server omgeving. De cloud provider biedt vaak een hogere server beschikbaarheid dan welke het bedrijf zelf op locatie kan realiseren. Er zijn allerhande aan redundante componenten opgenomen in de infrastructuur om 99,999% beschikbaarheid te bieden. Steeds meer cloud providers begrijpen ook dat er een backup gemaakt moet worden van de data, toch is het bijna altijd bedoeld voor een disaster recovery scenario. Vaak is er bijvoorbeeld een 30 dagen retentie opgenomen. In veel gevallen kan dit ook voldoende zijn, voornamelijk waarbij het database gedreven applicatie servers zijn, moet dit ook voldoende zijn. Toch leert mijn ervaring dat ook database gedreven applicaties soms afhankelijk zijn van data welke langer geback-upte dienen te worden dan deze 30 dagen.
Een voorbeeld hiervan heb ik uit een praktijk situatie van een klant van mij: er was een onduidelijkheid opgevallen in November in de database welke veroorzaakt was in Januari. In Januari heeft de externe software leverancier een update uitgevoerd in de test omgeving en na goedkeuring deze ook uitgevoerd in de productie omgeving. In November wilde de administratie vast voorbereidingen treffen voor de afronding van het jaar. Tijdens deze voorbereiding kwam de fout in de database naar voren. Natuurlijk is er eerst contact opgezocht met de software leverancier om te zien of dit een bekend probleem was en of dit elders ook voorkwam. Ook is er gekeken of er updates of patches waren uitgevoerd welke dit probleem veroorzaakte. Niks wat te vinden. Wel was het probleem niet te reproduceren in de test omgeving welke sinds januari niet meer geupdate was. Na uitgebreid onderzoek bleek dat de productie database op enig punt keek naar een gebruikers OU in de local user database welke of verwijderd was of niet aangemaakt was in de productie omgeving. Dit probleem had zich al moeten laten zien in Februari maar aangezien deze actie allen werd aangeroepen tijdens een jaar afsluiting werd dit pas in November gezien. Probleem was echter dat deze klant enkel maandelijkse back-ups maakte van de database servers. Het was hierdoor niet mogelijk om de user te herstellen zodat de fout kon worden hersteld. De oplossing bleek uiteindelijk te zitten in het restoren van de database op de test server waar deze user nog wel op bestond, alle maand afsluitingen opnieuw te draaien en vervolgens de database en de user te herstellen naar de productie database. Dit was een in menstraject en hierdoor is de productie van de bedrijf meerdere dagen verstoort geweest.
Het is dan ook gewoon te kort door de bocht om te zeggen dat een 30 dagen retentie altijd volstaat en sinds dien adviseer ik dan ook om dit als disaster recovery aan te houden maar de echte backup nog wel te blijven gebruiken.
Met de komst van virtualisatie zijn we instaat om de verkregen hardware capaciteit van een server of serverpark veel efficiënter te gebruiken. Ook is het mogelijk geworden om de schijfcapaciteit te centraliseren (hetzij fysiek hetzij virtueel) waardoor de backup strategie ook aangepast kan worden. Waar vroeger de impact van de backup groot was op de bestaande productie omgeving zijn we nu instaat om dit supersnel uit te voeren. Toch is het niet altijd mogelijk of verstandig om een backup te maken van enkel de gevirtualiseerde infrastructuur. De meeste backup software is zich tegenwoordig wel bewust van de onderliggende bestandssysteem of de onderliggende database maar een snapshot methode levert vaak niet de juiste informatie om snel een bestand of database object te kunnen herstellen. Om deze functionaliteiten goed te kunnen backuppen is het nogsteeds (20 jaar geleden was dit namelijk ook al zo) om met agents te werken. Agents gedreven backup geeft je een goede indexering van de verschillende versies van bestanden op verschillende tijds momenten. Ook biedt de agent tegenwoordig een data compressie waardoor het dataverkeer tussen server en het de backup opslag vaak al geoptimaliseerd wordt.
Nieuwe is deze backup vendor zeker niet. Sinds 1992 zijn ze alleen maar bezig met het ontwikkelen van de meeste betrouwbare en veelzijdige backup oplossing in de markt. Het product wordt enkel verkocht doormiddel van een partner netwerk in meer dan 50 verschillende landen in de wereld. Wat voornamelijk opvalt is dat ze nooit iets hebben gedaan aan marketing/ naamsbekendheid. De mond op mond reclame en samenwerking met partners heeft ze voldoende geholpen om een succesvolle onderneming te zijn. Nu zie je dit ook wel iets terug in de look and feel van dit product.
Alles ziet er nog uit of dat het ontwikkeld is in 1992. Toch als je onder de motor kijkt zien je dat er veel technisch ontwikkeld wordt. Zo is er ondersteuning voor bijna alle bekende backup targets. Denk hierbij aan HPE StoreOnce – NetApp Snap Store maar ook aan cloud backup targets als Azure en AWS. Wat voornamelijk opvalt is dat er backup gemaakt kan worden van alle windows besturingssystemen welke er tot nu zijn uitgekomen. Er is dan ook support voor de backup van Windows XP en Windows NT tot Windows 10 en Windows Server 2019. Hiernaast worden er bijna alle Linux/ Unix versies ondersteund en zelfs nog alle versies van Netware en Alpha VMS. Deze Duitse software fabrikant heeft een groot deel van zijn ervaring dan ook in de backup van Unix en Novell Netware. Wederom allemaal producten waarbij de technische kennis voornamelijk de bovenhand voort en de verkoop en marketing afdeling een ondergeschikt kindje zijn.
Juist hierom wil deze software fabrikant de support op dit product zo veel mogelijk in eigen hand houden. De partners dienen dan ook te voldoen aan een zeer strikt certificeringsprogramma willen ze zelfstandig support mogen uitvoeren. Hierdoor worden problemen en ervaringen in het product altijd uit eerste hand ontdekt en worden deze direct opgevolgd. Het product voldoet dan niet alleen aan Duitse degelijkheid, maar ook de support op het product is heel direct en altijd direct met kennis van zaken.
Veel van de eerdere genoemde backup fabrikanten hebben een hele goede marketing en verkoop afdeling maar bieden op het gebiedt van support vaak niet de juiste toegevoegde waarde.
Voor nu heb ik voldoende geschreven of mijn eerste ervaring met deze backup vendor. Mijn volgende blog artikel gaat veel meer over de technische oplossing van deze fabrikant. Ben je nu nieuwsgierig geworden na het lezen van dit artikel, download dan de product brochure van de fabrikant en hou andere berichten op mijn blog over backup nauwlettend in de gaten.
[email-download-link namefield=”YES” id=”4″]