Het wordt vaak over het hoofd gezien, maar de veiligheid van een Mac is belangrijk. Tijd dus dat we ons bezighouden met de beveiliging van je Mac, waarbij onze trucs bijna alle mogelijke problemen kunnen voorkomen.
De privacy bewaken en de gegevens veiligstellen zijn van groot belang voor elke Mac-gebruiker. Toch hebben velen onder ons weinig aandacht hiervoor en doen niets meer dan het minimale minimum om hackers, opportunisten en ja, ook de autoriteiten, zo min mogelijk toegang te geven tot hun privégegevens.
Toch kan je, in Mac OS, zeer eenvoudig je gegevens beschermen. Dit doe je, dankzij een breed scala aan tools, in de Systeemvoorkeuren en in Safari, en soms ook via een paar applicaties van derden.
Er zijn twee plekken waar het gevaar voor je gegevens vooral ontstaat en dat is over een netwerk zoals het internet of door iemand die directe toegang heeft tot je Mac computer. Het gevaar minimaliseren dat van beide kan komen is de belangrijkste stap om je Mac te beschermen.
We beginnen met de basis instellingen van je Mac, instellingen die je echt moet checken om te zorgen voor een waterdichte beveiliging.
Allereerst gaan we naar het paneel Beveiliging en privacy in Systeemvoorkeuren. Hier tref je vier tabbladen waar je de verschillende aspecten van beveiliging kan beheren.
Om de instellingen te wijzigen, moet je op het hangslot onderaan links klikken door je gebruikersnaam en wachtwoord in te voeren. Indien je de beheerder bent, dan zullen je veranderingen voor de hele Mac gelden, anders zijn eventuele wijzigingen alleen geldig voor je eigen gebruikersaccount.
Activeer de Firewall
De firewall activeren is je eerste stap om je Mac veilig te stellen. De firewall kan ongewenste binnenkomende verbindingen over het netwerk blokkeren. Je zou denken dat de firewall standaard in werking is, maar dit is niet het geval (en we hebben eigenlijk geen idee waarom het zo is). Het is gelukkig doodsimpel te activeren en dat doen is ook zeer verstandig.
In Systeemvoorkeuren > Beveiliging en privacy, die we reeds hebben geopend, klik je op Firewall. Klik op het hangslot linksonder om de systeeminstellingen te ontgrendelen (je zal je login wachtwoord moeten invoeren) en klik vervolgens op de knop Schakel firewall in.
Klik daarna op Firewallopties… en vink, in het volgende dialoogvenster, Activeer Stealth-modus. Hierdoor is je computer praktisch onzichtbaar op openbare netwerken, zoals bijvoorbeeld het wifi-netwerk dat je deelt in je stamcafé.
In datzelfde dialoogvenster zie je een lijst met applicaties en diensten die inkomende verbindingen mogen ontvangen. Om nieuwe applicaties toe te voegen klik je op de + teken onder de lijst en navigeer je, in de nieuw geopende venster, naar de gewenste applicatie.
Je moet weten dat de Mac OS ingebouwde firewall, hoewel zeer nuttig, slechts een beperkte bescherming biedt tegen malware. Beperkt, omdat het je alleen kan beschermen tegen inkomend verkeer (inbound traffic). Zijn taak is limiteren welke applicaties en diensten een inkomende verbinding kunnen aannemen.
Uitgaande verbindingen blokkeren
De firwall heeft geen controle over uitgaande verbindingen en dus zouden applicaties en diensten op je computer een verbinding kunnen starten. Voor de duidelijkheid, indien je malware downloadt, kan de firewall van OS X niet voorkomen dat deze malware verbinding maakt met internet.
Er zijn gebruikers die ervoor kiezen om ook uitgaande verbindingen te blokkeren, zodat bepaalde applicaties geen “phone home” (bel naar huis) activiteit kunnen uitvoeren zonder hun toestemming. Hierdoor voorkomen ze ook dat malware, die per ongeluk is geïnstalleerd, gegevens kan lekken zonder dat je het weet.
Zoals gezegd, biedt OS X/Mac OS geen mogelijkheden om uitgaande verbindingen te blokkeren. Dat kan echter wel met applicaties van derden zoals Little Snitch (ongeveer 45 euro) en Hands Off (50 euro) of via een uitgaande firewall die te vinden is in anti malware tools van antivirus fabrikanten zoals Intego, Sophos en Symantec.
Je wachtwoorden beheren
Laten we even teruggaan naar Algemeen (General voor als je de Engelse versie gebruikt), het eerste tabblad links in de dialoogvenster Beveiliging en Privacy.
Hier vinden we drie instellingen die je aandacht verdienen. De eerste is de instelling waarmee je een wachtwoord voor je account kan aanmaken indien je dat nog niet gedaan hebt. Je moet en zal een wachtwoord hebben. Met de tweede instelling kan je aangeven of een wachtwoord nodig zal zijn om je Mac te ontgrendelen wanneer hij gaat slapen of wanneer een schermbeveiliging aan gaat.
Deze instelling is handig als je op kantoor met andere mensen werkt. Je kan bepalen hoe snel het wachtwoord wordt vereist na dat de computerslaapt of vanaf het begin van een schermbeveiliging. De veiligste instelling is “meteen”, maar, zoals het geval is met alles dat te maken heeft met beveiligen, is het beter om de juiste balans te vinden tussen veiligheid en gemak. Kies dus een tijdstip dat je logisch vindt.
Nu we het toch over wachtwoorden hebben, willen we je herinneren dat je goede wachtwoorden niet moet opschrijven en dat ze vaak moeilijk zijn te onthouden. Dit is natuurlijk een probleem, vooral als je niet wilt dat Safari ze zelf onthoudt en automatisch invult.
Dit kan je oplossen door een passwordmanager te installeren zoals 1Password of Dashlane. Deze applicaties kunnen robuuste wachtwoorden aanmaken en bewaren en ze ook synchroniseren over al je apparaten. Ze versleutelen alle gegevens en je moet een hoofdwachtwoord bedenken die je invoert om toegang te krijgen tot deze gegevens.
Automatisch inloggen
De tweede instelling is Schakel automatisch inloggen uit. Helemaal een must als je een mobiele Mac computer gebruikt. Je wilt vast niet dat een dief toegang krijgt tot je gegevens, als je Mac wordt gestolen
Onderaan de pagina Algemeen vind je drie opties die betrekking hebben op welke applicaties kunnen werken op je Mac. De optie “Mac App Store” is de veiligste, maar ook een zeer beperkende optie.
“Elke willekeurige bron” is de minst veilige.
Een goed compromis is de middelste optie waar je kiest voor “Mac App Store en ontwikkelaars waarvan de identiteit bekend is”
”That’s been one of my mantras – focus and simplicity. Simple can be harder than complex: You have to work hard to get your thinking clean to make it simple. But it’s worth it in the end because once you get there, you can move mountains..”
In het tabblad FileVault kun je alle bestanden versleutelen die in je account zitten. Om de bestanden te decoderen moet je het wachtwoord van je account invoeren of de recovery key (herstelsleutel) die je moet aanmaken bij het inschakelen van FileVault.
De meeste gebruikers vinden de tijd die eerst nodig is om de bestanden op de Mac te versleutelen en het ongemak van een wachtwoord te moeten invoeren om een bestand te openen, zwaar opwegen tegen de beveiligingsvoordelen. Maar als je je gegevens de best mogelijke bescherming wilt geven, schakel dan FileVault aan.
Privacy settings
Privacy, de laatste tab rechts biedt een aantal verschillende bedieningselementen en instellingen. Die vind je in het venster aan de linkerkant. Met Locatievoorzieningen bepaal je welke applicaties toegang krijgen tot gegevens over je locatie. Je kan Locatievoorzieningen helemaal uit doen of gebruiken om te voorkomen dat afzonderlijke applicaties toegang krijgen tot je gegevens.
Op dezelfde wijze kan je in Contactgegevens, Agenda’s en Herinneringen aangeven welke applicaties op je Mac toegang mogen hebben tot de informatie die in deze kernsoftware van Mac OS is opgeslagen. Als je Twitter, Facebook en LinkedIn hebt toegevoegd aan het paneel Internet-accounts in de Systeemvoorkeuren, kan je ook vastleggen welke applicaties toegang hebben tot die accounts.
Onder Herinneringen, vind je Toegankelijkheid, misschien wel de allerbelangrijkste sectie. Toegankelijkheid deelt de naam, dit is een beetje verwarrend, met een andere Toegankelijkheid in het beginvenster van de Systeemvoorkeuren, maar heeft daarmee niets mee te maken.
Hier kan je bepalen welke applicaties je Mac enigszins mogen controleren. Zo kun je met de software Deeper en Onyx instellingen veranderen waarvoor je normaal gesproken commando’s in de Terminal zou moeten invoeren. Je moet ze wel hier inschakelen voor je ze kan gebruiken.
Safari
Buiten de Systeemvoorkeuren, heeft ook Safari meerdere instellingen om je privacy te beheren. Om te beginnen heb je Nieuw privévenster in het Archief submenu. Hiermee kan je websites bezoeken zonder dat je bezoek wordt vastgelegd.
Dan is er Wis geschiedenis…, onderaan in het submenu van Geschiedenis. Klik dit regelmatig en je verwijdert de cache gegevens van websites die je bezoekt en je verwijdert ze ook uit het menu van Geschiedenis.
In de voorkeuren van Safari kan je instellen dat websites je bezoek niet moeten bijhouden, kan je controleren welke site cookies op je Mac mogen plaatsen en de beschikbaarheid bepalen van je locatievoorzieningen.
Als je liever hebt dat je gebruikersnaam, wachtwoorden en persoonlijke gegevens die je eerder invoerde op bezochte websites, door de browser worden bewaard, moet je in de secties Formulieren en Wachtwoorden alle vinkjes verwijderen die deze diensten inschakelen.
Controleer of je iets deelt met andere computers
Met je Mac kan je bestanden delen met andere Mac computers. Je kan gegevens delen op veel verschillende manieren en ook je hele scherm delen om werken op afstand te vergemakkelijken. Wanneer je de mogelijkheid van Delen activeert, is het of je een nieuwe deur of of een nieuw venster aan je huis toevoegt.
En ja, die deur of raam zijn veilig omdat er een wachtwoord nodig is om, bijvoorbeeld, het scherm te delen. Maar in die deur of in die venster kan een lek zijn die het delen toch niet zo ondoordringbaar maakt als je zou denken.
Makkelijk gezegd, het is een goed idee als je alle mogelijkheden van Delen uitschakelt die je niet gebruikt en zorgt dat bij de Mac computers in je thuisnetwerk alle delingen ook uitgeschakeld zijn.
Open Systeemvoorkeuren en klik op Delen. Links heb je een lijst en alles dat gevinkt is, onder Actief, wordt gedeeld. Verwijder de vinken van de voorziening die je wilt uitschakelen. Als je twijfels hebt, kijk eerst naar de volgende lijst om zeker te zijn dat het OK is als je een bepaald onderdeel aan of uit doet.
Scherm en bestanden delen
Schermdeling: wordt veel gebruikt in bedrijven, zodat de mensen van de technische ondersteuning op je scherm kunnen kijken en controleren en soms reparaties en/of updates uitvoeren. Ook Windows en Linux computers kunnen het scherm van een Mac controleren via VNC (Virtual Network Computing).
Heb je nooit van VNC gehoord, zit je niet in een bedrijfsomgeving en je hebt nooit je Mac op afstand (remote) benaderd? Schakel Schermdeling uit. Indien Extern beheer aan staat (die ook schermdeling beheert) schakel die ook uit.
Bestandsdeling: door Bestandsdeling te vinken geef je andere computers op het netwerk, ook Linux en Windows computers, toegang tot de bestanden op je computer. Technisch gezien, worden SMB (Server Message Block, de bestandsuitwisseling van Microsoft Windows), AFP (Apple Filing Protocol) en NFS (Network File Service) ingeschakeld.
Bestandsdeling wordt in het bijzonder gebruikt voor Terug naar mijn Mac (Back to My Mac), een service die onderdeel is van iCloud en je toestaat om via een andere Mac toegang te hebben, via internet, tot de bestanden op je eigen Mac (dit heeft absoluut niets mee te maken met de iCloud Drive die een soortgelijke functie biedt).
Als je geen bestanden deelt over het internet en geen gebruik maakt van Terug naar mijn Mac, moet je deze optie niet vinken.
Printerdeling, Extern beheer en meer
Printerdeling: hiermee kan je elke printer die aangesloten is op je Mac, met andere computers delen over het netwerk, ook met pc’s. Laat het uitgeschakeld als je de printer niet deelt of als er geen printer is aangesloten op je Mac.
Extern inloggen (remote login): als deze optie is aangevinkt, kan je verbinding maken met je Mac via SSH/SFTP (Secure Shell/SSH File Transfer Protocol).
Dit wordt meestal door technische mensen gebruikt om commandoregels in de terminal te voeren wanneer ze ver zijn van hun Mac. Als deze handeling je niet aanspreekt of niet van toepassing is voor jou, en dat is zeer waarschijnlijk, moet je deze optie uitschakelen.
Extern beheer: dit wordt veel gebruikt in een bedrijfsomgeving en maakt het voor beheerders mogelijk om toegang te krijgen tot je Mac om, bij voorbeeld, upgrades uit te voeren of correcties. In dit niet het geval voor je Mac, dan moet Extern beheer uitgeschakeld zijn.
”Everyone here has the sense that right now is one of those moments when we are influencing the future.”
Steve Jobs
Externe Apple events, Internetdeling en Bluetooth-deling
Externe Apple events: deze optie is al lang een onderdeel van het systeem en is een van de vele goede ideeën van Apple. Hiermee kan je met een Mac een andere Mac controleren om, bijvoorbeeld, iets af te drukken, maar ook veel meer, bijna van alles eigenlijk, dankzij de associatie met AppleScript. Er is een tijd geweest dat een leuke grap onder Mac fans was om Apple events te gebruiken om een andere Mac te laten praten, via de spraaksynthese.
De gebruiker van die bewuste Mac kon zich doodschrikken, op het moment dat zijn computer tot leven kwam. Als je vandaag de dag deze optie nodig hebt, dan weet je al alles over Apple events. Voor de meeste van ons kan die optie rustig worden uitgeschakeld.
Internetdeling: hiermee laat je een Mac een internetverbinding delen met andere Mac computers. De functie dateert uit de tijd van dial-up (inbel verbinding) internet. Nu dat we over breedband beschikken, wifi-routers en thuisnetwerken is zeer onwaarschijnlijk dat deze optie gebruikt wordt en kan dus gerust uitgeschakeld blijven.
Bluetooth-deling: met deze functie kan je met je Mac-bestanden verzenden en ontvangen van en naar een andere Bluetooth apparaat, zoals een mobiele telefoon, bijvoorbeeld. Helaas kunnen iPhones en iPads deze optie niet gebruiken, maar het werkt wel met een Android telefoon. Je vindt online genoeg informatie hoe je dit kan doen. In alle andere gevallen, moet deze optie uit staan.
Stel een firmware password in
Mac OS schakelt tegenwoordig de FileVault versleuteling standaard aan. Dit betekent dat de opstartschijf volledig is versleuteld en niemand kan er toegang krijgen mits het geopend wordt via het betreffende wachtwoord. Echter, dat kan niet voorkomen dat iemand een USB-stick gebruikt om de Mac te starten en eventueel alle gegevens op de harde schijf te wissen, of Mac OS opnieuw te installeren.
Maar dat kan je oplossen door een firmware wachtwoord aan te maken. Anders dan bij het BIOS-wachtwoord van een pc, bij een Mac wordt er om de firmware wachtwoord alleen gevraagd wanneer iemand je Mac op een niet normale manier probeert op te starten, zoals via een USB-stick of via de herstelconsole. Een firmware wachtwoordprompt krijg je anders praktisch nooit te zien.
De herstelconsole is eigenlijk waar je het wachtwoord activeert voor de firmware. Je start je Mac opnieuw op en houdt Cmd+R ingedrukt (voordat het Apple-logo verschijnt). Zodra je de opstart voortgangsbalk ziet, kan je beide toetsen loslaten.
Als erom wordt gevraagd, selecteer je taal en locatie. Klik vervolgens op het menu item Hulprogramma’s > Firmwarewachtwoordprogramma en volg de instructies. Wees uiterst voorzichtig hier! Als je de firmware wachtwoord vergeet, kan alleen Apple je computer deblokkeren. Dit is waarschijnlijk ook de reden waarom deze functie optioneel is.
”I believe life is an intelligent thing: that things aren't random”
Steve Jobs
Activeer het gastgebruiker account
Als je iets weet van computerbeveiliging, vraag je je misschien af of we gek zijn geworden, gezien dat wij je vragen om het gastgebruiker account te activeren. Zo geef je toch iemand die je Mac wil stelen meer mogelijkheden?
Eigenlijk vragen we om het nooit uit te zetten omdat het een vitaal instrument is in de service Terug naar mijn Mac, onderdeel van iCloud, waarmee je een gestolen Mac kan opsporen. Apple zegt: “Het gastgebruiker account werkt met de iCloud functie Terug naar mijn Mac, waarmee je je Mac kan vinden als je hem kwijt bent. Je kan je Mac lokaliseren als iemand het heeft gevonden, is ingelogd als gastgebruiker en Safari gebruikt om toegang te krijgen tot internet.”
Heb je Terug naar mijn Mac aan staan op iCloud, schakel dan het gastgebruiker account niet uit. Om te controleren, open Systeemvoorkeuren, klik op het iCloud icoon en zorg dat er een vink staat naast Terug naar mijn Mac onderaan de lijst rechts
Schakel de “Security Hole” van FileVault uit
Gebruikers die de computerveiligheid zeer serieus nemen, signaleren dat wanneer je Mac in sluimerstand of slaapstand is (bijvoorbeeld, wanneer je het deksel sluit van een MacBook Pro), ontstaat er een potentieel beveiligingslek omdat het wachtwoord dat nodig is om FileVault te decoderen opgeslagen is in het geheugen.
In theorie zou iemand de computer kunnen wakker maken en, op een of andere manier, precies weten we niet hoe, deze wachtwoord ophalen en daardoor zich toegang verschaffen tot de inhoud van je interne schijf zonder login password nodig te hebben.
Degenen die daaruit zouden kunnen profiteren zijn alleen overheidsinstanties die buitengewoon slimme mensen kunnen inzetten en onbeperkte budgets hebben. Dit zou voor een inbreker die je Mac heeft gestolen of voor een nieuwsgierige collega veel te moeilijk en kostbaar zijn.
Maar als je echt paranoïde bent over de beveiliging van je Mac, heb je hier een manier om te voorkomen dat de FileVault sleutel bewaard wordt in het geheugen. Als je dit doet, het enige werkelijke verschil is dat, in het dagelijkse gebruik van je Mac, je soms je login password twee keer zal moeten invoeren als je je Mac wakker maakt. Bovendien zal je Mac iets langer over doen om uit de slaapstand te komen.
Er zijn twee dingen die we moeten doen. Eerst moeten we de Mac in sluimerstand (standby) zetten, zoals wanneer je het deksel van je MacBook Pro sluit. In de sluimerstand wordt alles wat in het geheugen zit, op de disk bewaard, de computer gaat in een diepe slaapmodus en gebruikt maar heel weinig energie.
Daarna moeten we de computer vertellen om de FileVault sleutel niet in het geheugen te bewaren bij een sluimerstand.
Beide stappen kunnen met de Terminal (te vinden in de map Hulpprogramma’s in de Applicaties map) worden uitgevoerd. Je opent de Terminal en plakt het volgende:
sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
Om deze functie uit te schakelen en de beveiligingslek te herstellen, open je de Terminal weer en typt het volgende:
sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3
Dan herstart je de computer.
Controleer op persistente applicaties
Sommige applicaties op je Mac zijn ontworpen om telkens onzichtbaar mee te starten als je de computer opstart en om onzichtbaar te blijven tijdens het computergebruik. Ze worden persistente applicaties genoemd. Een voorbeeld zijn de applicaties van Google en Microsoft die controleren op de aanwezigheid van updates en zorgen dat Google Chrome en Microsoft Office altijd up-to-date zijn. Adobe installeert ook een aantal ‘persistente applicaties’ als onderdeel van hun Creative Cloud-pakketten.
Maar ook malware gebruikt persistente applicaties om frauduleuze activiteiten uit te voeren zonder dat je het weet. En, om het nog erger te maken, zijn er veel locaties in het bestandsysteem waar malware zich kan verstoppen om dan te starten bij elke opstart van de computer. We zouden moeten vertellen welke en alle locaties die in de gaten moeten worden gehouden, maar dit is een enorm, bijna onmogelijk, karwei.
Gelukkig zijn er twee gratis applicaties die het zwaar werk voor je kunnen doen. KnockKnock scant deze locaties en vertelt je wat er is. KnockKnock is geen malware scanner en zal je dus niet vertellen of datgene wat hij vindt gevaarlijk is of niet.
De bovengenoemde applicaties van Google, Microsoft en Adobe zijn bijvoorbeeld makkelijk te zien (toch moeten we je waarschuwen dat het mogelijk is dat malware zich vermomd als een applicatie van een van deze bedrijven).
De tweede applicatie, BlockBlock, is van dezelfde slimme mensen die KnockKnock maken. Het werkt op de achtergrond van je Mac via een icoon in de menubalk en controleert alle locaties waar persistente applicaties zich installeren.
Wanneer een applicatie probeert zich te installeren, verschijnt er een popup venster die je waarschuwt en het is aan jou te beslissen of je het toelaat of verbiedt. Nogmaals, BlockBlock is geen anti malware tool en weet dus niet wat legitiem is en wat niet. Dat is voor jou om uit te zoeken. Maar zowel KnockKnock als BlockBlock zijn behoorlijk doeltreffend om tegen malware te beveiligen.
Scan op malware
Het is waar dat er vandaag de dag meer malware is, die gericht is op de Mac, maar we zitten nog ver van de malware tsunami die Windows gebruikers dagelijks kunnen verwachten. Dit geldt ook voor de malware aanval die de NHS (National Health Service) verlamde, het was enkel op Windows pc’s gericht.
Daarom, en gezien dat Mac OS al van een krachtig, onzichtbaar anti malware tool beschikt, Xprotect, concluderen we dat anti malware software nog steeds nodig is voor de Mac.
Twijfel je en wil je helemaal zeker zijn, lanceer af en toe een applicatie als een Virus Scanner die simpelweg al je bestanden zal scannen op zoek naar malware.
In tegenstelling tot anti malware applicaties voor Windows, installeert Bitdefender Virus Scanner geen software die het systeem kan vertragen. Bovendien is deze software en erg makkelijk te gebruiken. Weet dat het ook Windows malware zal vinden en melden.
ls wij bijvoorbeeld onze systeem scannen, vindt het programma meestal een handvol email spam berichten met bijlagen waar Windows malware is verborgen. Het klinkt alarmerend, maar is eigenlijk onschadelijk en, over het algemeen, is het makkelijk om Windows malware te identificeren omdat de naam bijna altijd met “Win32” of “Win64” begint. Dit is onschadelijk voor Mac computers, maar de Bitdefender Virus Scanner zal het toch verwijderen.
Onze advies is om, naast de Bitdefender Virus Scanner, ook Malwarebytes Antimalware af en toe te gebruiken. Dit programma is vooral gericht op het opsporen en verwijderen van adware, verborgen code dus, binnen bepaalde applicaties. Dit zorgt, aan de hand van je surfervaring, voor advertenties die op je bureaublad verschijnen of in je browser. Af en toe Malwarebytes Antimalware lanceren om je systeem te scannen kan de moeite waard zijn.
”We're just enthusiastic about what we do”
Steve Jobs
Activeer overal de twee-factor-authenticatie
Met de twee-factor-authenticatie (TFA, two-factor-authentication), wanneer je inlogt op diensten of websites, heb je meer nodig dan alleen een gebruikersnaam en een wachtwoord. Je hebt ook een numerieke code nodig. Zo’n code wordt via een sms bericht verzonden, maar kan ook gegenereerd worden door een applicatie op je mobiele telefoon (er zin verschillende applicaties voor de iPhone die dat doen, maar onze voorkeur gaat naar Authy).
In een ander artikel hebben we al uitgelegd hoe je twee-factor-authenticatie instelt voor je Apple ID. We raden je ten strengste aan om het in te stellen omdat het een onoverkomelijke muur vormt tegen hackers die je account proberen binnen te dringen. Als je het nog niet gedaan hebt, stop meteen even met het lezen van dit artikel en stel de twee-factor-authenticatie in. We wachten wel tot je klaar bent.
Hebt je het gedaan? Geweldig. Maar nu moet je het ook gaan instellen voor alle websites en diensten waar je nu inlogt met gebruikersnaam en wachtwoord. Als je bijvoorbeeld een Google-service gebruikt zoals Gmail, kun je ook daar de twee-factor-authenticatie instellen. En ook voor Microsoft-diensten en websites en voor Dropbox, bijvoorbeeld.
De twee-factor-authenticatie is nog niet voor alle websites beschikbaar. Opvallende afwezige zijn Amazon en eBay, maar dit is toch reeds op verrassend veel websites mogelijk. Er zijn websites, zoals https://twofactorauth.org, waar bijgewerkte lijsten te zien zijn van wie een twee-factor-authenticatie toepast. Helaas, zijn deze lijsten vaak Amerika gericht.
De twee-factor-authenticatie opzetten is redelijk makkelijk. Bij een login, sturen sommige diensten en websites per sms een nummer die je moet invoeren wanneer er om gevraagd wordt. Hiervoor heb je natuurlijk een mobiel telefoonnummer nodig.
Voor sites en diensten die een authenticatieprogramma gebruiken, zoals de reeds genoemde Authy, zal je de betreffende app op je mobiele telefoon of tablet moeten gebruiken. Je start de applicatie, kiest om een code toe te voegen en mikt gewoon met de ingebouwde camera naar een barcode die de website vertoont wanneer je twee-factor-authenticatie hebt. Het is allemaal vrij eenvoudig.
Mocht je toestel geen ingebouwde camera hebben, dan kan je de authenticatie code handmatig invoeren. De numerieke code verschijnt dan meestal onder de streepjescode.
Als je eenmaal de twee-factor-authenticatie hebt ingesteld en je logt daarna weer in, zal je de applicatie moeten openen en de vertoonde code intypen zodra het weergegeven wordt (meestal nadat je je wachtwoord hebt ingevoerd) of, afhankelijk van je situatie, wachten op een sms bericht met de code die je dan moet invoeren.
Gebruik een VPN-service
Ga er niet van uit dat je Mac veilig is wanneer je een gedeeld netwerk gebruikt, of het nu in een café zit of op kantoor. Kwaadaardige mensen kunnen helaas vrij makkelijk een kijkje nemen in de gegevens die je verzendt naar en van websites.
Daarom kiezen veel mensen voor een VPN-service (Virtual Private Network). Dit versleutelt al je gegevens en vervangt je IP-adres met het adres van een server die bediend wordt door de leveranciers van de VPN-dienst.
De gebruiker kan gerust voluit browsen en downloaden, want iedereen die zich op hetzelfde gedeelde wifi-netwerk bevindt wordt het onmogelijk gemaakt om te snuffelen in de gegevens op je Mac.
Doordat een VPN-dienst je gegevens versleutelt, kan je ook thuis je onttrekken aan de internetcensuur die door regeringen en internetproviders wordt opgelegd.
Er zijn veel bedrijven die VPN-diensten aanbieden, met abonnementskosten van ongeveer 4 tot 10 euro per maand. Als je op Google zoekt, vind je veel van dergelijke bedrijven. Tegenwoordig is er een toenemende trend waarbij steeds meer leveranciers levenslang hun VPN-diensten aanbieden tegen een eenmalige betaling van ongeveer 40 euro. Hier kun je VPN diensten vergelijken
Standaard, leveren VPN-diensten een applicatie die je moet starten om een VPN-verbinding tot stand te brengen, hoewel Mac OS een ingebouwde VPN-tool heeft die je ook zou kunnen gebruiken. Open Systeemvoorkeuren, klik het Netwerk icoon en klik daarna de + (plus) knop, onderaan de verbindingenlijst.
In de dialoogvenster die dan verschijnt kies je VPN (in het popup menu van Interface), en selecteer je het VPN type (meestal L2TP). Je klikt dan Maak aan en vult de configuratie met de server/logingegevens die door de VPN-dienst zijn verstrekt.
Gebruik, waar mogelijk, versleutelde webpagina’s
Het eeuwenoude DNS (Domain Name System ) converteert adressen zoals www.apple.com, die mensen makkelijker kunnen lezen en onthouden in numerieke internetadressen zoals 151.101.0.230, die computers beter begrijpen.
Alle computers die verbonden zijn met internet raadplegen DNS-servers. Dit gaat via je internet leverancier en is een onderdeel van het hele pakket. Maar, net als zoveel online, is DNS niet helemaal veilig en dat kan wel een probleem zijn.
DNS dateert uit een ander tijdperk en mensen dachten er toen niet zo subtiel over. Feit is dat alle verzoeken voor websites die je via DNS maakt, door anderen kunnen worden doordrongen, op het moment dat deze gegevens in transit zijn.
Versleutel je DNS aanvragen
Dit kan worden opgelost via het project en de applicatie DNSCrypt, die simpelweg alle DNS-aanvragen codeert, zowel naar als van de DNS-server.
Op de startpagina van dit project kan je de applicatie downloaden en de installatie is eenvoudig. Open, zodra de applicatie geïnstalleerd is, je Systeemvoorkeuren en klik op het DNSCrypt icoon onderaan. Selecteer vervolgens het tabblad Algemeen en zet een vink bij Enable DNSCrypt en bij Automatically Disable if Blocked. Als voorbeeld, kijk naar de schermafbeelding.
Wanneer DNSCrypt in gebruik is, zie je geen verschil in je dagelijkse internet taken, zoals web browsen, maar het voegt een menubalk icoon toe zodat je het niet vergeet (met control+klik kun je de icoon verbergen tot je opnieuw de computer opstart. Het gebruik van DNSCrypt maakt je webpagina’s direct veiliger.
Gebruikt bij voorkeur altijd httpS
De meeste gegevens worden op internet op een simpele manier doorgestuurd. Hierdoor zou iedereen ze kunnen afluisteren, in elk stadium van doorvoer. Veilige verbindingen zijn een uitzondering en worden meestal gebruikt door banken, webmail diensten en online winkels. Ze gebruiken veilige http en dat kan je zien wanneer het adres van een website met https:// begint (http wordt dus https).
Zou het dan niet verstandig zijn om elke website https te maken? Een website maken die zo beveiligd is, is een beetje ingewikkeld en duurder dan een basis website, maar langzaamaan vindt er en ontwenteling plaats en steeds meer websites maken de overstap.
Je kan proberen om, op de goede plek, een S aan het webadres toe te voegen, zodat http://voorbeeld.com in https://voorbeeld.com veranderd. Google heeft, bijvoorbeeld, een https:// versie van zijn startpagina. Het is makkelijker als je een browser gebruikt zoals Chrome en Firefox, maar niet Safari. Bij Chrome en Firefox kan je de HTTPS Everywhere extensie installeren die, simpel en onzichtbaar, een database raadpleegt van websites die een optionele https:// ingang hebben en je daarnaartoe doorschakelt als je daarvoor hebt gekozen.
De HTTPS Everywhere extensie kan helaas niet op Safari op een volledig veilige manier worden geïmplementeerd, vanwege de manier dat de extensie werkt. Voor de browser van Apple kan je de extensie SSL Always gebruiken, die veel overeenkomsten heeft met HTTPS Everywhere.
Het enig verschil is dat, wanneer je een site bezoekt, de data overdracht wordt in het allerbegin niet gecodeerd en dit kan hackers en/of nieuwsgierige mensen aanspreken. Toch, als veilig http eenmaal ingeschakeld is (het gevoel is dat alles vrij snel gebeurt), dan is het geheel natuurlijk versleuteld.
Verdien geld door bugs te vinden
Het is misschien niet je eerste prioriteit, maar je kan geld verdienen door een bijdrage te leveren aan de veiligheid van je Mac. Wat je wel moet weten is dat, als je een eerder onbekend lek zou vinden in een van Apple-systemen, je tot 200.000 euro zou kunnen verdienen.
Augustus vorig jaar werd, tijdens een vergadering van Black Hat, het “Bug Bounty” programma aangekondigd.
Ivan Krstic, hoofd beveiligingstechniek en architectuur bij Apple, zegt veel hulp te hebben gehad van onderzoekers om iOS veilig te stellen.
“Maar we horen steeds vaker dat het met de dag moeilijker wordt om soms zeer kritieke beveiligingslekken te vinden. Dus heeft Apple een soortgelijk programma ingesteld om onderzoekers te belonen die echt kritieke beveiligingslekken aan Apple doorgeven”
De hoogste beloning, als je lekken vindt in de veilige opstartcomponent van Apple, kan oplopen tot 200.000 euro. De beloning daalt, voor minder kritische gebreken en in stappen, tot een minimumbedrag van 25.000 euro. Je kan daarover lezen op Wired.
Amateurs zullen waarschijnlijk niet de allereerste zijn die aanzienlijke softwarefouten ontdekken, maar we geloven dat de meeste Mac-gebruikers blij zijn met de wetenschap dat Apple een stimuleringsprogramma heeft zodat intensiever gezocht wordt naar mogelijke lekken.
Als je beveiligingsonderzoekers stimuleert om een mogelijk lek aan Apple bekend te maken in plaats van het door te geven aan hackers (die misschien hiervoor meer zouden betalen), worden Apple-producten vanzelfsprekend veiliger voor alle gebruikers.