Europese Commissie komt met minimumeisen voor veiligheid slimme apparaten

De Europese Commissie komt met een voorstel voor strengere regels voor apparaten die met het internet zijn verbonden. Er komen minimumeisen voor iot-producten die vanaf medio 2024 bindend moeten worden.

De nieuwe regels moeten ervoor gaan zorgen dat alle draadloze apparaten die in verbinding staan met het internet straks aan bepaalde eisen voldoen. Onder dergelijke apparaten vallen bijvoorbeeld routers, slimme deurbellen en thermostaten. De maatregelen zijn nog niet officieel. Het voorstel moet nog worden goedgekeurd door de Raad van Ministers en het Europees Parlement.

Een belangrijke nieuwe veiligheidsregel voor dit soort apparaten is dat er straks geen standaard wachtwoord meer gebruikt mag worden voor het instellen van het apparaat. De gebruiker moet straks bij ingebruikname van een iot-apparaat eerst zelf een sterk wachtwoord instellen tijdens het installatieproces.

Ook moeten fabrikanten deze apparaten van softwareupdates voorzien en ze testen op beveiligingslekken. Verder moeten bedrijven zorgvuldiger omgaan met de persoonsgegevens die worden opgeslagen en moet de consument de opgeslagen data makkelijker kunnen beheren of verwijderen. Als het voorstel wordt goedgekeurd, mogen apparaten die niet aan de minimumeisen voldoen vanaf 2024 niet meer worden verkocht in Europa.

IT-banen

Reacties (99)

Nimja 29 oktober 2021 16:35

Een goed idee maar bijna onmogelijk toe te passen. En blijkbaar zijn speelgoedmakers zich zorgen aan het maken over hoe het gedefinieerd is. Valt een speelgoed auto eronder?

https://ec.europa.eu/info...adio-equipment/F240088_en

wildhagen

Politiek en recht

@Nimja • 29 oktober 2021 17:10

Een speelgoed-auto die verbinding maakt met internet lijkt me gewoon hier onder te vallen. En terecht. Dat speelgoed-autotje kan namelijk wél deel uit gaan maken van een botnet als de software onveilig is en niet wordt gepatchd. Daar kunnen anderen slachtoffer van worden, denk aan DDoS-attacks, ransomware-aanvallen, hack-aanvallen etc.

Een speelgoed-auto die geen verbinding maakt met internet valt hier uiteraard niet onder.

Sowieso, waarom moet een speelgoed-auto verbinding met Internet hebben? Wat is de toegevoegde waarde daarvan?

djwice

@wildhagen • 31 oktober 2021 04:33

Sowieso, waarom moet een speelgoed-auto verbinding met Internet hebben? Wat is de toegevoegde waarde daarvan?

om dezelfde reden als je robot stofzuiger.

Zien in de app hoe hard ie gaat. Routes in huis, stukken waar ie niet mag rijden aan geven, filmpjes die de auto maakt bewerken en delen.

En natuurlijk nieuwe geluiden en licht patronen kopen voor je auto. En nieuwe stickers bestellen.

Op afstand je auto laten rijden als je er niet bent

En ...
Sommige dingen kunnen vast offline net zoals bij je robot stofzuiger, maar de leverancier besloot om het profiel en jouw data in hun cloud op te slaan.
Daar is veel meer ruimte

dan in het autootje. En zo kun je de auto al produceren voordat de software en functies klaar zijn. En kun je de auto in andere talen laten spreken (dus andere markt aan spreken) ná productie.

Bovendien zijn app developers veel makkelijker te vinden dat embedded code developers.

[Reactie gewijzigd door djwice op 23 juli 2024 13:30]

Caelestis @wildhagen • 30 oktober 2021 03:51

Sowieso, waarom moet een speelgoed-auto verbinding met Internet hebben? Wat is de toegevoegde waarde daarvan?

Bedienen met een telefoon. Niet dat ik dat ooit zou willen maar 'hi-tech' verkoopt beter want daar is een app voor.

dabronsg @Caelestis • 30 oktober 2021 07:11

Bluetooth?

Caelestis @dabronsg • 30 oktober 2021 07:16

wifi modules zijn goedkoper en vereisen veel minder ontwikkel kosten

Ghostier @Caelestis • 30 oktober 2021 09:55

quote: Caelestis
wifi modules zijn goedkoper en vereisen veel minder ontwikkel kosten

Kosten hebben en zullen nooit een reden zijn om je niet aan regels te hoeven houden. daarboven op zou ik zeggen dat je door de extra kosten met betrekking tot implementatie van wifi met deze voorwaarden best wel eens met wifi duurder uit zou kunnen zijn dan met bluetooth vanaf 2024

quote: jbdeiman
Dan nog heb je een wifi module die verbinding met het internet maakt of een module die via wifi (zonder internet) verbinding maakt. Zelfde technologie andere werk keuze.
Internet is niet hetzelfde als wifi, wifi wordt wel vaak gebruikt om verbinding te maken met het internet, maar dat hoeft dus niet.

Het feit dat je met je wifi module alleen 1 IP toestaat met jouw apparaat verbinding te maken maakt niet dat het niet alsnog in staat is met het internet verbinding te maken als iemand anders in die code aanpassingen maakt. Je hebt dan misschien een andere "werk keuze" gemaakt maar zult alsnog het apparaat zo moeten ontwikkelen dat het voldoet aan de EU regels omdat een slimme hacker deze instellingen ongedaan kan maken. Dus nee alleen een "werk keuze" maken om die wifi module niet in eerste instantie toegang te verlenen is niet voldoende om zo'n apparaat ontoegankelijk te maken voor internet en als zodanig voor de EU regels. Wifi is een vorm van aether communicatie die gewoon ingezet kan worden voor internet toepassingen.

klw @Ghostier • 30 oktober 2021 14:02

"Kosten hebben en zullen nooit een reden zijn om je niet aan regels te hoeven houden."

Ik wilde dat dit inderdaad de praktijk was, maar helaas.
Een voorbeeld is het beleid rond EMC (Electro Magnetische Compatabiliteit.
Diverse fabrikanten leveren apparatuur waarbij EMC maatregelen zoals condensatoren en filters ontbreken. Dit terwijl de print er wel voor ingericht is.
Puur een kostenoverweging.

Koppel daar een overheid aan die niet controleert en handhaaft en je begrijpt waarom ik deze stelling niet onderschrijf.

Caelestis @Ghostier • 30 oktober 2021 19:14

Ik zit het niet te promoten en wil ook niet dat het een ding is. Ik geef gewoon de werkelijkheid aan. Goedkope speelgoed verkoopt beter als je zegt dat er een app voor bestaat. Om dat app koppeling te krijgen is de goedkoopste methode wifi.
Daarmee suggereer ik ook gelijk dat er nagenoeg geen ontwikkel tijd/kosten in zitten dus krijg je het minimale wat nodig is om te werken.
IT veiligheid wordt daarbij compleet overboord gegooid.

jbdeiman @Caelestis • 30 oktober 2021 09:34

Dan nog heb je een wifi module die verbinding met het internet maakt of een module die via wifi (zonder internet) verbinding maakt. Zelfde technologie andere werk keuze.
Internet is niet hetzelfde als wifi, wifi wordt wel vaak gebruikt om verbinding te maken met het internet, maar dat hoeft dus niet.

[Reactie gewijzigd door jbdeiman op 23 juli 2024 13:30]

YangWenli @wildhagen • 30 oktober 2021 10:15

Ach ja ik heb tandenborstels gezien met bluetooth

Zezura @YangWenli • 30 oktober 2021 13:15

En dat is heel erg fijn.. oral-b io 9

djwice

@wildhagen • 31 oktober 2021 04:24

En als de auto aan LoRa hangt of AM-radio uitzend i.p.v. via wifi of 4G? Geldt de wet dan ook? Of als een bepaalde functie werkt via Bluetooth en een app op een mobiele telefoon/tablet etc.

En als die app niet van dezelfde leverancier is?

[Reactie gewijzigd door djwice op 23 juli 2024 13:30]

SillieWous @Nimja • 29 oktober 2021 16:49

Dat is toch heel makkelijk te definiëren, zodra het op enige manier met internet verbindt moet het er aan gaan voldoen. Als die speelgoed auto internet gebruikt is het antwoord dus 'ja'. Een betere vraag zou zijn waarom die überhaupt internet gebruikt.

Ook is het net als andere standaarden redelijk eenvoudig toe te passen (op directe consumenten import na). Als je niet aan de standaarden voldoet en het toch verkoopt riskeer je fixe boetes en mogelijk het opdoeken van je bedrijf en/of naar het gevang gaan.

Frame164 @SillieWous • 29 oktober 2021 19:07

Waarom aan internet? Besturing via smartphone app, videobeelden streamen. Zomaar 2 voorbeelden die ik in 2 seconden kon verzinnen. En ik ben nog geeneens een creatieve productontwikkelaar.

SillieWous @Frame164 • 29 oktober 2021 20:11

Dan hangt hij aan de wifi of via bluetooth. In het eerste geval hangt hij aan het internet, aangezien 'default secure' er van uit moet gaan dat die wifi niet beveiligd is. In het tweede geval is de app hetgeen dat beveiligd moet zijn.

Het criterium 'hangt het aan het internet' is toch super simpel. Heeft het (W)LAN dan hangt het aan het internet, direct of indirect.

Barsonax @Frame164 • 29 oktober 2021 21:27

Daar is geen internet voor nodig. Kan ook gewoon met bluetooth.

Sterker nog dat lijkt mij eigenlijk niet eens de meest efficiënte oplossing. Niet voor niets heeft DJI bijv ocusync ontwikkeld.

[Reactie gewijzigd door Barsonax op 23 juli 2024 13:30]

wica @Nimja • 29 oktober 2021 16:50

Als ik de brief 1) van de minister goed begrijp, doet het Agentschap Telecom hier op dit moment onderzoek naar.

Met de opmars van IoT is het van belang om inzicht te krijgen in het digitale
veiligheidsniveau van producten die op de markt zijn. In dat kader heeft AT
onderzoek uit laten voeren naar de digitale veiligheid van 22 apparaten in de
categorieën slim speelgoed, IP-camera’s, routers, slimme sloten, babymonitors en
slimme thermostaten.

Ik ben zeer benieuwd naar de uitkomst.

Een goed idee maar bijna onmogelijk toe te passen.

Het idee is, dat producten een cybersecurity certificaat moeten hebben, om op de markt te komen. Dus denk best toepasbaar.

Maar waar ik vandaag naar opzoek was en eigenlijk nog niet gevonden heb. Is wat de eisen gaan worden. En in het bijzonder wat dit zou gaan betekenen voor opensource projecten.
Ofwel, kan je als fabrikant, die gebruik maakt van linux een cybersecurity certificaat behalen of gaat dit certificaat er indirect voor zorgen. Dat alleen commerciële partijen het kunnen bekostigen om zo'n certificaat te behalen.

Overigens, wat een horror dat ze het woordje cyber gebruiken *brrr*

1) https://www.rijksoverheid...-veilige-hard-en-software

WillySis @wica • 29 oktober 2021 18:08

Veel certificaten en keurmerken mogen door de fabrikanten of importeurs zelf worden afgegeven. Het is best mogelijk dat dat hier ook het geval zal zijn. Niet voldoen aan een certificaat kan ook gevolgen hebben voor de toekomst. Bij een aantal certificaten en keurmerken kan het recht om die zelf uit te geven worden ingetrokken. Bovendien kan men soms vervolgd worden voor "valsheid van geschrifte".

Fabrikanten die producten op de markt brengen die gebaseerd zijn op open-source, zullen zelf verantwoordelijk zijn voor de uiteindelijke veiligheid van het product. Wie een product (hardware) op de markt brengt is eigenlijk per definitie een commerciële partij. Open source wordt over het algemeen niet op de markt gebracht, maar "beschikbaar gesteld". Vaak zelfs gratis. Dit is net iets anders dan op de markt brengen en ik denk ook niet dat de wet daar invloed op gaat hebben.

The_Woesh @WillySis • 29 oktober 2021 18:50

Maar wat als je het apparaat dom op de markt brengt maar de gebruiker zelf de software erop zet.
Denk bv aan een domotica systeem op basis van een raspberry pi.

Niet dat ik denk dat het nu een probleem is, maar misschien kan je zo wel de regels omzeilen.

WillySis @The_Woesh • 29 oktober 2021 19:23

Dat lijkt mij geen probleem. Een Pi is gewoon een computer die je zelf van een OS voorziet. Op het moment dat een Pi verkocht wordt kan het niets via internet en valt dus niet onder de wet. Een commercieel OS valt wel onder de wet, maar die voldoen nu al aan de wet. Een open-source OS kan je zelf ergens downloaden. Het wordt niet verkocht. Je bent dan ook zelf verantwoordelijk voor de veiligheid.

Wanneer je bestaande producten (bijv. routers) van alternatieve software voorziet houdt de verantwoordelijkheid van de producent ook op. Het is immers niet meer hetzelfde product.

Ik mag ook graag met arduino's en pi's knutselen, maar wat ik daar mee doe is gewoon mijn verantwoordelijkheid. Ik koppel ze zelden aan het internet. Als ik dat doe is het meestal maar voor korte perioden.

secretqwerty10 @Nimja • 29 oktober 2021 16:48

waarom moet speelgoed dan ook met het internet verbonden zijn? al helemaal zo'n autootje? laat dat gewoon zo'n "dom" apparaat blijven. is veel simpeler en goedkoper

Anoniem: 1578568 @Nimja • 29 oktober 2021 17:06

Als de speelgoedauto bijvoorbeeld internetconnectiviteit en een microfoon heeft, of zelfs een camera, lijkt het me belangrijk dat deze óók onder de regels valt. Of denk je dat speelgoed geen privacy kan schenden? Straks zit iemand via de slimme badeend in de badkamer naar je kind te koekeloeren, daaag

Iblies @Nimja • 29 oktober 2021 21:21

Dat is niet heel moeilijk,

al dat grut beveiligings apparatuur komt uit China en de software die er op zit komt grotendeels van het bedrijf Tuya;
https://www.tuya.com/

Google ook op tuya template.
Dit bedrijfje is gespecialiseerd in de software, maar ontwerpt ook de hardware.

Hier heeft de chinese overheid aandelen in, voor zover ze verder al geen invloed hebben 😄

Gezien hoe oa de VS zowel producenten van hardware en software onder druk zet voor een achterdeurtje, ga er maar van uit dat dat hier ook gebeurt.

Die positie wil China zeker niet kwijt en van buiten zal het dan allemaal prima kloppen, als het een keer mis gaat zal het een hack worden genoemd.

Hans C @Nimja • 30 oktober 2021 00:37

Misschien zorgt het er ook voor dat fabrikanten, onder meer die van speelgoed auto's, zich gaan afvragen waarom hun apparaat aan het internet moeten hangen. Waarom een account nodig is om onsite activiteiten te kunnen doen. Dat het een optie wordt, in plaats van een must.

Tintel

Politiek en recht

@Nimja • 1 november 2021 11:54

Nou, de gedachte erachter is goed (dat niet alles 'open' staat) maar een constructie waarbij een password wordt gegenereerd is veel beter want wie zegt dat de gebruiker niet alsnog 'password' kiest? Dat is natuurlijk dom maar deze maatregelen/regels wordt bedacht om domme gebruikers te beschermen tegen kwaadwillenden.

blinchik 29 oktober 2021 16:37

Ik ben zeker voor veiligere toestellen om bv. botnets te vermijden, maar vraag me wel af wat er gebeurt na de garantieperiode. De fabrikant zal dan uiteraard geen software-updates meer moeten voorzien. Of wat als de fabrikant na 6 maand failliet gaat? Wat gebeurt er dan? De consument zal de toestellen niet uitschakelen, zelfs als ze vulnerable zijn, want ze werken gewoon nog.

Sicos @blinchik • 29 oktober 2021 16:40

Gewoon verplichten dat ze fysieke knopje maken waarmee je zoiets als microfoons, camera's en wifi kan uitschakelen. Dat werkt altijd nog beter dan software matig... en ja mensen kunnen die knopjes vergeten maar het is beter dan software die niet meer wordt geupdate.

Is wel even off topic maar ik koop ook alleen maar apparaten die ik fysiek kan uitschakelen i.p.v. iets dat alleen maar standby heeft.

[Reactie gewijzigd door Sicos op 23 juli 2024 13:30]

SirBlade @Sicos • 29 oktober 2021 17:08

Hoe zie je dat voor je bij een draadloze beveiligingscamera?

dimdek @SirBlade • 29 oktober 2021 17:28

Voor mijn camera's wordt de toegang tot internet permanent geblokkeerd. Ik laat ze streamen naar een nas die te updaten is en contact met internet verzorgd. Dat kun je voor veel iot apparaten ook doen met bijvoorbeeld Home Assistant of Domoticz. Het is jammer dat internet blokketen altijd wordt geschaard onder 'parental control'. Mensen zouden het veel vaker moeten gebruiken voor oudere apparaten of apparanten waarvan je geen idee hebt wat ze uitvoeren. Ik kan me het Tweakers nieuwsbericht over de AEG omvormers bijvoorbeeld nog goed herinneren.

SirBlade @dimdek • 29 oktober 2021 17:48

Dat is heel wat anders. @Sicos heeft het over fysieke schakelaars om bepaalde functionaliteit uit te zetten.

TrekVogel @dimdek • 30 oktober 2021 10:28

Dit doe ik dus ook. Er is geen enkele reden waarom de wifi switch van de buitenlamp toegang moet hebben tot internet. Al dat soort spul zit op een apart vlan. Kan alleen communiceren met Home Assistant en de lokale NTP server. Mag verder niet zelf met LAN communiceren, alleen als er vanuit de LAN kant een vraag komt voor bijvoorbeeld een update.

Kaoh

@Sicos • 29 oktober 2021 16:43

Want het gaat natuurlijk alleen maar over de privacy van de fysieke wereld. Gelukkig hebben ze zelfs bij de EU een iets beter begrip van de uitdaging.

Aikon @Sicos • 29 oktober 2021 17:30

Die aan/uit knop is ook een verplichting vanuit de EU trouwens

Zijn kleine dingen, maar goed dat de EU dat soort zaken toch verplicht.

bzzzt @blinchik • 29 oktober 2021 18:03

Of wat als de fabrikant na 6 maand failliet gaat? Wat gebeurt er dan? De consument zal de toestellen niet uitschakelen, zelfs als ze vulnerable zijn, want ze werken gewoon nog.

Als de fabrikant verantwoordelijk gehouden wordt is het een oplossing dat de hardware na verlopen van de support periode zichzelf uitschakelt. (eventueel voorafgegaan door gebruikersvriendelijke meldingen)
Dat geeft wel in eerste instantie meer e-waste, maar uiteindelijk moeten fabrikanten dan ook zinvol op supportduur concurreren en kiest de consument misschien wat bewuster voor iets duurdere hardware die langer meegaat.

[Reactie gewijzigd door bzzzt op 23 juli 2024 13:30]

divvid @bzzzt • 29 oktober 2021 19:19

Hoe denk je dat een consument gaat reageren? Zo heb ik een sonos bar van inmiddels 10 jaar oud. Dat ding doet wat het moet doen. Stel dat Sonos ineens dat ding van afstand onbruikbaar maakt, dan is de wereld te klein hier in huis. Ik mag er vanuit gaan dat als de fabrikant nog bestaat hij de boel veilig houdt. ( en nee sonos is hier géén goed voorbeeld weet ik ook wel)

[Reactie gewijzigd door divvid op 23 juli 2024 13:30]

bzzzt @divvid • 30 oktober 2021 08:44

Je kan ook geen oneindige support afdwingen. Ga er van uit dat zo’n support termijn dan duidelijk gecommuniceerd moet worden, bv op de verpakking.

NanoSector @bzzzt • 30 oktober 2021 10:46

Wat je wel kan doen is een product maken wat niet per definitie afhankelijk is van de ondersteuning van de fabrikant, bijvoorbeeld door open standaarden te gebruiken (en dus het apparaat niet permanent te binden aan de apps van de fabrikant), of het apparaat beschikbaar te stellen voor alternatieve firmware.

Dan heb je nog steeds het probleem van oude firmware met lekken, maar dan kan de functionaliteit in ieder geval blijven werken ongeacht of de fabrikant zijn apps op orde houdt. Koppel dit met een protocol waar je geen directe internetverbinding hebt als Zigbee of Bluetooth en de lekken hebben al minder impact.

Maar dit is marketingtechnisch natuurlijk weer niet interessant voor bedrijven en brengt voor de consument problemen met zich mee (want je moet een hub oid hebben en maar weten welke apps er mee gaan werken, dat is lastig).
En natuurlijk de befaamde XKCD standards; laten we een open standaard maken om N standaarden te vervangen! -> toen waren er N+1 standaarden.

Het is lastig en ik hoop dat er een fatsoenlijke oplossing komt; desnoods het afdwingen dat alles over een direct internetloos transportmiddel gaat.

bzzzt @NanoSector • 30 oktober 2021 13:54

Het grote probleem met “oss support” is dat je 0 garanties krijgt als klant. Nu is dat voor sommige end of life producten een uitkomst voor de techneuten die een firmware kunnen flashen maar voor het gros van de consumenten lost dat weinig op.

TrekVogel @bzzzt • 30 oktober 2021 10:30

Dat is heel fijn maar vrijwel alle consumenten krijgen gewoon een modem/router/ap van hun ISP. Die kopen echt niet in op duurzaamheid.

bzzzt @TrekVogel • 30 oktober 2021 13:52

Prima toch, dan kan de isp zich daar druk over maken. Lijkt me dat die niet om de 2 jaar een nieuw modem willen opsturen…

2TheMaks 29 oktober 2021 17:41

Grootste beveiligingsrisico blijft de gebruiker. 'Slimme' apparaten worden niet door erkende installateurs die (hopelijk) weten wat ze doen geïnstalleerd, maar door iedereen die een stekker in het stopcontact kan doen en een app op zijn/haar telefoon kan installeren.

Enige remedie is dus inderdaad dat het 'slimme' apparaat niet werkt wanneer er te lang geen updates geïnstalleerd zijn of er geen sterk wachtwoord gekozen is. Ofwel: het word een taak van het 'slimme' apparaat om de gebruiker tegen zichzelf te beschermen.

SirBlade @2TheMaks • 29 oktober 2021 19:35

Ik heb niet zo veel vertrouwen in installateur wat dat betreft. De meest rampzalige software/appliances die wij op het netwerk hebben zijn dingen die via installateurs binnenkomen. Beveiligingcamera's en alarmsystemen, meuk om de liften en klimaatsystemen mee te bedienen en te monitoren. Het moet 10-20 jaar meegaan maar de appliance is een windows8 pc in een mooi doosje met een fancy shell.

Spelvoutig @SirBlade • 29 oktober 2021 23:51

Helemaal mee eens. In veel gevallen heeft de monteur een cursus gehad om het programma (eenmalig) in te richten en daarmee houdt het vaak wel op.

Als het eenmaal draait, is het klaar. Er worden vaak geen updates meer gedaan totdat het ineens niet meer werkt.

[Reactie gewijzigd door Spelvoutig op 23 juli 2024 13:30]

Frame164 @2TheMaks • 29 oktober 2021 19:14

Daarom moet je het dus aan de productkant oplossen. Die gebruiker kan je niet veranderen.

2TheMaks @Frame164 • 29 oktober 2021 22:01

Tja, het blijft toch het aloude verhaal van de zwakste schakel. Wanneer de zwakste schakel niet aan de product-kant ligt valt er daar weinig op te lossen. Behalve dan dat het apparaat zo 'slim' is dat het een gebruiker met een zeeeer matige cyber-hygiene kan herkennen, en om die reden de ingebouwde 'kill-switch' activeert.

Pinkys Brain @2TheMaks • 30 oktober 2021 22:47

Als een iot een gat slaat in NAT moet de EU eisen dat auto-update standaard aanstaat.

Dan moet de gewone gebruiker willens en wetens de updates uitzetten. Exploit chains zijn van minder belang dan de eerste stap door de NAT.

Misschien ook eisen dat het update mechanisme autonoom is en volgens MISRA voorschriften gemaakt.

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 13:30]

batjes 29 oktober 2021 18:33

De gebruiker moet straks bij ingebruikname van een iot-apparaat eerst zelf een sterk wachtwoord instellen tijdens het installatieproces.

Zucht, waarom nou weer. Strenge eisen voor wachtwoorden werken averechts. Dan gaan mensen ze weer opschrijven.

devices @batjes • 29 oktober 2021 19:23

Lijkt mij beter dan een standaard wachtwoord. Welke is makkelijker te raden via brute force, zoals bijvoorbeeld het Mirai botnet?

batjes @devices • 29 oktober 2021 20:37

Het zou helpen als we mensen digitaal een beetje basis opvoeding geven.

Praktisch iedereen kan een paar randomesque zinnetjes verzinnen. Die single sign ons hebben zo hun voordelen. Beetje 2 factor erbij.

Het probleem is het aantal logins en overal andere eisen wachtwoorden. Nu is het niet denderend slim om overal hetzelfde wachtwoord te gebruiken. Maar een handje vol een beetje rouleren of in een paar varianten is doorgaans ook niet zo ernstig als het niet om 100den accounts gaat.

Een wachtwoordbeleid is niet makkelijk en heel afhankelijk van de situatie. Maar over het algemeen werken al die strenge wachtwoordeisen in de praktijk gewoon averechts. Het is echt niet ongewoon dat je bij organisaties wachtwoorden op post-it's naast het scherm hebt. Mensen ze gewoon opschrijven in een wachtwoordloos office-document of in papieren notitieboekjes die gewoon naast de PC liggen. En de toegang gewoon Populairiets2021!!!! is afhankelijk van hoe vaak ze hun wachtwoord elk jaar moeten wijzigen.

Ik kijk in mijn werk altijd weg als iemand een ww ergens invoert. Van het toetsenbord/scherm, ook als ik bij iemand meekijk.... Ik kan afhankelijk van hoe strict een ww beleid is, al heel goed inschatten wat voor een wachtwoorden ergens gebruikt worden, hoe stricter het beleid, hoe makkelijker ze te raden zijn. Als ik dat al kan, kan een beetje security-expert of hacker dat met 2 handen op de rug.

Juist de wat standaardesque wachtwoorden raad je nooit tenzij je de IT organisatie of persoon erachter inhoudelijk kent. Verreist gerichte aanvallen, gebeuren niet zo heel veel in het dagelijks leven.

edit:
Wou dit nog wel toevoegen. Het is beter om te zorgen dat je security zo min mogelijk afhankelijk is van wachtwoorden. Dit te minimaliseren zodat je in het ergste geval maar een handje vol verschillende wachtwoorden hoeft te onthouden, wat voor het gross van de bevolking prima te overzien is.

[Reactie gewijzigd door batjes op 23 juli 2024 13:30]

Het.Draakje @batjes • 30 oktober 2021 05:55

Dat random zinnetje werkt voor geen meter. Een goed wachtwoord maakt gebruik van hoofdletters, kleine letters, cijfers en tekens als !@+-#$%_^&*()~. Ik ken geen enkele taal waarbij een woord begint met % of _.

Een kleinere selectie van tekens waaruit het wachtwoord kan bestaan maakt brute-force makkelijker. En rainbow-tabellen kleiner. Je zou nog kunnen proberen om selectieve letters te vervangen door cijfers en speciale tekens maar voor een hacker is er geen enkel verschil tussen 'word' en 'w0rd'. Daarbuiten moet je dan gaan onthouden welke positie je vervangen hebt en waardoor. Was het een o, een 0 of een *. Kortom, je mag per wachtwoord een half velletje papier met instructie's gaan onthouden.

Voor thuisgebruik kan je volstaan met een password manager. Voor zakelijk gebruik is er eigenlijk maar één oplossing: een hardware token in combinatie met een password manager. PC's unlocken met de hardware token, applicatie's met een password. Bij zakelijk gebruik wil je dat Jantje een transactie invoert en Pietje dat controleert/autoriseert. En wil je uitsluiten dat Jantje kan controleren zelfs als hij het wachtwoord van Pietje raadt (of over de schouder meegelezen heeft).

In alle gevallen moeten we af van het onthouden van een handvol (of meer) wachtwoorden. Één voor je wachtwoordmanager is meer dan genoeg.

SirBlade @Het.Draakje • 30 oktober 2021 10:13

Alleen laat Pietje dat token altijd in zijn laptop zitten want "die security flauwekul zorgt er alleen maar voor dat hij zijn werk moeilijker kan doen". Dus als Pietje gaat lunchen leent Jantje even zijn laptop en token.

Het.Draakje @SirBlade • 30 oktober 2021 11:22

Een hardware token is de meest gebruikersvriendelijke oplossing die er is. Als Jantje en/of Pietje überhaupt geen "security-flauwekul" wil, dan zou die toch echt een andere baan moeten zoeken.

Koppel de token aan toegang tot het bedrijfspand en Pietje laat echt zijn token niet achter als hij even een sigaretje gaat roken.

batjes @Het.Draakje • 30 oktober 2021 13:43

En zo maak je weer een single point of failure. Hardware token kwijtraken en iemand kan het pand betreden EN heeft toegang tot de systemen.

Het.Draakje @batjes • 30 oktober 2021 15:22

Token heeft geen enkele binding of vermelding met het bedrijf Gebruiker.Met.Een.Token. Voor de eerlijke vinder: stuur s.v.p. op naar Token.Uitgeverij BV, Postbus 1234567890 in Lutjebroek of gooi het in een bekende rode brievenbus. (Token.Uitgeverij heeft een overeenkomst dat die tokens door PTT Post doorgestuurd worden).

Volgende dag: Pietje is token kwijt en meldt zich bij de beveiling, want hij kan niet naar binnen: oude token blokkeren, nieuwe token afgeven. Komt het verloren token terug, via Lutjebroek, dan gaat die terug naar 'voorraad'.

Token kan je ook koppelen aan werkroosters. Alleen dagdienst, dan 's avonds geen toegang. Op vakantie of ziekte, automatisch blokkade en bij terugkeer even melding bij beveiliging. Legitimeren en token vrijgeven.

En mocht een hacker het token vinden dan zie ik hem/haar nog niet zo gauw overdag het bedrijfspand binnengaan als hij dat al kan achterhalen, achter een willekeurige pc gaan zitten want er zitten altijd wel mensen in de buurt: wat doe jij achter de pc van Marjolein? Marjolein was toevallig even naar de WC en is eveneens 'not amused'.

Pinkys Brain @SirBlade • 30 oktober 2021 22:38

Weet je dat hij gejat is en verwijder je de rechten, als iemand even over zijn schouder meekijkt terwijl hij zijn wachtwoord intyped ben je verder van huis.

aikebah @Het.Draakje • 30 oktober 2021 17:44

Een goed wachtwoord maakt gebruik van hoofdletters, kleine letters, cijfers en tekens als !@+-#$%_^&*()~.

Kortom: een uitstekend random zinnetje, voldoen aan (bijna) alle karaktereisen. Alleen nog even een cijfer erin verwerken

[Reactie gewijzigd door aikebah op 23 juli 2024 13:30]

Het.Draakje @aikebah • 30 oktober 2021 17:51

Lees nog even mijn bezwaar tegen dat random-zinnetje: er is geen zin te verzinnen met woorden waarin de @, +, ^ of _ voorkomt. Of cijfers. Tenzij je daarna dat zinnetje aanpast waarbij je een o met een 0 of * veranderd. Maar ja, dan moet je weer gaan onthouden welke willekeurige woorden je aangepast hebt.

Je kunt ook geen regel maken zoals bij ieder password is het derde teken een ! (of #).

Dat random gebeuren daar is een password manager juist heel goed in (en mensen heel slecht).

Edit: Yep, je kunt zinnetjes verzinnen. En vervolgens gaan onthouden dat het derde teken een hoofdletter is, tussen het het zevende en achtste woorde teken een leesteken moet etc. En dat voor ieder password weer opnieuw. Kan het: ja. Is het slim als je vijf - zes wachtwoorden hebt: Nee. En meestal heb je al gauw een stuk of 10 - 20 wachtwoorden. Zeker als je zakelijk gebruik meerekent.

[Reactie gewijzigd door Het.Draakje op 23 juli 2024 13:30]

aikebah @Het.Draakje • 30 oktober 2021 17:57

Password manager met echt random passwords werkt veel handiger, maar random zinnetjes zijn er genoeg te verzinnen, met komma, punt, haakje open, haakje sluiten, plus, min, sterretje en en-teken als bruikbaar in een zin te verwerken speciale tekens.

De rare gewoonte om een zin te maken en dan af te korten, Drgoeztmeatk, is inderdaad volledig onbruikbaar.

fordrwd4ever @Het.Draakje • 31 oktober 2021 10:03

En dan zit je met het probleem dat niet alle apparaten dezelfde codeset gebruiken.

Niet alles ondersteunt unicode/utf
Daarom is het niet slim om speciale tekens in wifi wachtwoorden te gebruiken.

Zolang het maar een combinatie van (hoofd)letters en cijfers is ,is dit veilig genoeg.
Zeker met wpa2/aes of wpa3

[Reactie gewijzigd door fordrwd4ever op 23 juli 2024 13:30]

Frame164 @batjes • 29 oktober 2021 19:15

Dat is voor de meeste van dit soort apparaten geen probleem. Je gaat niet ergens inbreken, en het wachtwoord zoeken van een schakelaar of lamp.

wildhagen

Politiek en recht

29 oktober 2021 16:35

Heel erg goed en broodnodig initiatief.

Te vaak komt het nog voor dat IoT-devices na installatie nooit meer updates krijgen of, als ze deze wel krijgen, deze vaak niet meer geinstalleerd worden.

Daardoor blijven dus devices met internet verbonden die soms vol met lekken zitten. Zorgt er dus voor dat veel IoT-devices uiteindelijk eindigen als onderdeel van een botnet, wat dan weer voor hackaanvallen, DDoS-attacks en ransomware-attacks kan worden gebruikt.

Hopelijk komt dit de algemene veiligheid op Internet een beetje ten goede.

bzzzt @wildhagen • 29 oktober 2021 16:57

Ik vraag me af hoe je fabrikanten kan dwingen deugdelijke updates te leveren. Als een leverancier failliet gaat is het toch afgelopen. Mogelijk wordt het door deze regels zelfs gangbaar een 'kill switch' of tijdbom in de software te bouwen om te voorkomen dat onveilige firmware tot na de support periode in gebruik blijft. Lijkt me ivm e-waste ook niet heel wenselijk.

Eigenlijk zou je 'up front' al een planning en investering moeten vereisen in de updates die gedurende de ondersteuningsperiode uitgebracht moeten worden.
En dan heb je nog het probleem met 'game changers' zoals bijvoorbeeld de Intel spectre/meltdown ellende die echt wel forse investeringen in het vergroten van de veiligheid gekost hebben.

Anoniem: 392841 @bzzzt • 29 oktober 2021 18:04

"Mogelijk wordt het door deze regels zelfs gangbaar een 'kill switch' of tijdbom in de software te bouwen om te voorkomen dat onveilige firmware tot na de support periode in gebruik blijft. Lijkt me ivm e-waste ook niet heel wenselijk."

Als ze een kill switch of andere 'tijdbom' in bouwen waardoor spullen of software niet meer zou functioneren hebben ze een heel ander en veel groter probleem als dat ontdekt wordt. Je mag niet bewust spullen onklaar gaan maken. En lijkt me heel erg aannemelijk dat als opeens een grote groep mensen meldt dat opeens hun spullen niet meer werken er iemand de code gaat onderzoeken.

Overigens is er met 2020/770, de Europese richtlijn, al een 'zorgplicht' vanuit fabrikanten en softwareontwikkelars om updates te blijven leveren. (Ook @wildhagen )

Arnoud Engelfriet

Politiek en recht

@bzzzt • 29 oktober 2021 19:16

Faillissement is inderdaad een probleem, maar zó vaak komt dat nou ook weer niet voor. Een bewuste end of life van het product komt veel vaker voor. En ik weet niet wat beter is voor de maatschappij, een botnet van gehackte slimme badeendjes of een stel gebrickte badeendjes.

wica @wildhagen • 29 oktober 2021 16:58

Wordt 1 van deze eisen een verplichte automatische update?
Zoja, mag een update dan functionele wijzigingen door voeren?

Gotiniens

29 oktober 2021 17:12

Jammer dat dingen als Zigbee devices hier niet onder vallen, of zijn die omdat er vaak een hub gebruikt wordt wel internet connected?

HashIT @Gotiniens • 29 oktober 2021 17:22

Zoals ik het lees, zou dat er ook onder kunnen vallen.

1. The essential requirement set out in Article 3(3), point (d), of Directive 2014/53/EU shall apply to any radio equipment that can communicate itself over the internet, whether it communicates directly or via any other equipment (‘internet-connected radio equipment’).

Wat mij tegenvalt is dat bedrade apparatuur niet is meegenomen. Een router zonder wifi valt dus bijvoorbeeld niet onder deze regeling.

dimdek @Gotiniens • 29 oktober 2021 17:29

Via de hub dan. Afhankelijk van hoe je die hebt ingesteld.

TheDudez 29 oktober 2021 17:22

Jammer nergens regels dat het ook lokaal moet te benaderen zijn. Cloud is onnodig en zorg voor problemen als de leverancier er mee kapt.

Erwin1985 29 oktober 2021 16:41

Weer meer regulering. Geen wonder dat Oost-Azie en Noord-Amerika de leiding nemen in technologische vooruitgang.

bzzzt @Erwin1985 • 29 oktober 2021 16:47

Jij ziet je hele huis volproppen met goedkope AliExpress IoT apparaten als vooruitgang?

Juist fabrikanten dwingen tot het bieden van veilige hardware gaat tot innovatie leiden. Ze doen het duidelijk niet uit eigen beweging.

TheDudez @bzzzt • 29 oktober 2021 17:26

Ali express producten kan nog veiliger zijn dan wat alles in de cloud zit. Zeker als je gebruik maakt van zigbee2mqtt. Vind het maar discriminatie dat alles van ali als onveilig wordt beschouwd. Het ligt er aan wat je er mee doet en hoe je er zelf mee omgaat.

Hoevaak lees je wel niet dat er in Nederland weer een lek is? Ofdat de avg weer wordt overtreden? We doen het als europa super slecht!

[Reactie gewijzigd door TheDudez op 23 juli 2024 13:30]

bzzzt @TheDudez • 29 oktober 2021 17:37

Het probleem met dergelijke artikelen is dat de gemiddelde consument geen idee heeft wat het verschil tussen Zigbee en Wifi is en waarom het een wel veilig zou zijn en het ander niet. Categorie mensen die "het werkt toch" genoeg vinden. Ook al staat ondertussen je hele huisnetwerk open voor een ontraceerbaar random bedrijf uit een ver land en ben je onbewust DDoSen aan het helpen of crypto aan het minen.

Als je serieus vindt dat het niet aan de producten ligt maar aan hoe je er zelf mee omgaat vind ik dat mensen een verplichte cursus moeten hebben en alleen maar met een "IoT vaardigheidsbewijs" dingen mogen aanschaffen en aansluiten. (vergelijkbaar dat je een rijbewijs moet hebben om met een auto op stap te gaan).
En dan ook boetes voor mensen die door nalatigheid bv. een spam relay of DDoS mogelijk maken.

Alternatief is gewoon de verwarrende en onveilige producten van de markt weren en zorgen dat de consument geen enorme blunders kan maken door het verkeerd te doen. Ik denk dat ik weet waar veel mensen de voorkeur voor hebben.

AliExpress bedoelde ik meer als voorbeeld, rommel die je bij Action, sommige bouwmarkten en andere niet in IoT gespecialiseerde zaken koopt heeft hetzelfde probleem.

TheDudez @bzzzt • 29 oktober 2021 17:48

Mensen hebben zelf ook een eigen verantwoordelijkheid. Ik had ook geen verstand van een hypotheek. Maarik heb mijzelf er toch in moeten verdiepen. Of je moet er iemand voor inhuren. En dat is met dit soort dingen ook.

bzzzt @TheDudez • 29 oktober 2021 17:59

Probleem is dat je met het afsluiten van een slechte hypotheek hooguit jezelf benadeelt. Een insecure IoT apparaat heb je zelf ook niet door, maar faciliteert wel een bende om DDoSsen uit te voeren.
Dat zal gehandhaafd moeten worden als dat aangepakt moet worden (evt. inclusief boetes voor consumenten).
Lijkt me vele malen zinvoller om dat de verantwoordelijkheid van de fabrikant te maken.

Frame164 @TheDudez • 29 oktober 2021 19:11

Dan is het toch een stuk efficiënter als er centraal bepaalde normen worden opgelegd zodat niet iedereen een expert hoeft in te huren?

Daoka @bzzzt • 30 oktober 2021 07:27

Er is een rede dat ik meestal dingen niet update. Vaak wordt de uiterlijk / functies aangepast of toegevoegd wat ik irritant/minder mooi/minder functioneel vind of dat het gewoon trager is of meer zichtbare bugs heeft. Niet dat ik een slimme huis heb maar als ik iets update ben ik al bang voor de aanpassingen die ik dan weer krijg. Als zoiets zou komen vind ik dat er software gescheiden moet worden tussen fixes en uiterlijk/features. Dan kan ik dus met de oude vertrouwde uiterlijk blijven werken en toch veilig blijven. Want waarom zou ik steeds moeten aanpassen terwijl het oude gewoon goed werkt voor mij? Ik ben gewoon iemand die moeite heeft met veranderingen en veel andere mensen in mijn omgeving hebben dit ook op technologische gebied.

Ook vind ik dat er dan een commissie moet komen die bepaalt of de fabrikant een stuk hardware mag stoppen met ondersteunen. Dan bedoel ik niet specifiek alleen de leeftijd van de apparaat maar vooral ook de werking van het apparaat. Dat de laatste versie firmware gewoon goed en snel is. En niet dat het traag is zodat men meer geneigd is om een nieuwe apparaat te kopen.

Floor @TheDudez • 29 oktober 2021 18:18

Ali express producten kan nog veiliger zijn dan wat alles in de cloud zit.

Kan (!) ja, maar hoeft niet. In China kunnen ze uitstekend goede producten maken maar net zo goed enorme troep of ronduit gevaarlijk. Wij heb in Europa tenminste nog waar regels waaraan wij moeten doen. Het is goed dat er regels komen omtrent IOT en je zal zien dat er buiten Europa landen dezelfde regels gaan opstellen (dus Europa volgen).

Accretion @TheDudez • 29 oktober 2021 21:06

Hoevaak lees je wel niet dat er in Nederland weer een lek is? Ofdat de avg weer wordt overtreden? We doen het als europa super slecht!

Beetje waardeloos argument, doet de rest van je argument teniet.
In China worden lekken gewoon niet gemeld en bestaat er geen AVG (:

Zo'n Arduino bordjes uit China zijn leuk spul, maar ik zou geen poorten open zetten in je router naar de ethernet/wifi varianten.

zx9r_mario @bzzzt • 29 oktober 2021 18:19

Allemaal Tuya meuk zoals van Action, Kruitvat, Denver...

Loller1 @Erwin1985 • 29 oktober 2021 16:47

Dus jij hebt liever dat je lang alle kanten kan worden afgeluisterd door onbeveiligde apparaten? Het is maar net of je koploper wilt zijn op het gebied van beveiligingslekken...

Termin8r @Erwin1985 • 29 oktober 2021 18:31

Kun je me uitleggen waarom het ongebreideld op de markt schuiven van digitaal onveilige shit vooruitgang is?

Marctraider 29 oktober 2021 17:22

Domme apparaten.

Fixed it for you.

Pieter-64 @Marctraider • 29 oktober 2021 17:37

hoezo domme apparaten.
wifi op een beveiligings camera
of de camera aan de kabel.
oude ipads
oude android phones
IOT koelkast, waarom ze er zijn weet ik niet maar blijkbaar is er een markt voor

zo kan je nog heel veel dingen opnoemen die gebrukt worden.
iedere linux computer, iedere windows pc
een auto van tegenwoordig, die hangt ook aan de cloud
ieder tablet wat is uitgebracht, e-readers, nas apparaten enz enz

lang niet alles is dom te maken

veel dingen zouden niet eens dom moeten zijn

Frame164 @Marctraider • 29 oktober 2021 19:12

Jij tikt dit vanaf een typmachine en hebt de brief naar tweakers gestuurd die het heeft gepubliceerd?

beerten 29 oktober 2021 17:28

Oftewel: er komt een markt voor zeg IoT communicatie chipsets voor de EU. Die chips voldoen aan alle eisen en kosten geen drol door de massa. En de problemen zijn verminderd. (Opgelost in de context van beveiliging is natuurlijk onzin)

Dit soort nieuwe regelgeving komt altijd te laat en is achterhaald bij publicatie. Maar biedt kansen om er geld mee te verdienen.

Frame164 @beerten • 29 oktober 2021 19:13

Jij zou regelgeving bedenken voor dingen die er nog niet zijn?

beerten @Frame164 • 29 oktober 2021 21:12

Niet zijn? IoT apparaten zijn er al vele jaren. Passende regelgeving niet. Denk aan een simpel kabel- of glasvezel modem?

Zelfrijdende auto's zijn er nog niet, die gaan er wel komen. 100% autonoom bedoel ik. Aan regelgeving wordt wel al gewerkt.

Op dit item kan niet meer gereageerd worden.

Europese Commissie komt met minimumeisen voor veiligheid slimme apparaten

Lees meer

IT-banen

Reacties (99)

Sorteer op:

Weergave: