Winkelwagen

/ VPS-Infrastructuur

Alles over de zelfontwikkelde VPS-infrastructuur

Register now

/ Up to date

/ Nieuws

Lancering PerformanceVPS

Meer info
Hulp nodig?

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    De captcha op de TransIP-website

    Wij maken gebruik van een captcha voor het inloggen in het TransIP-controlepaneel. Bij het inloggen merk je doorgaans niet dat de captcha aanwezig is. Slechts na drie foute inlogpogingen voert de captcha een visuele controle uit.

    In dit artikel leggen wij uit waarom wij de captcha geimplementeerd hebben en op wat voor wijze je de captcha kunt tegenkomen bij het inloggen op onze website.


    Waarom is de captcha ingevoerd?

    Wij hebben de captcha geplaatst om de accounts en gegevens van onze klanten te beschermen tegen credential stuffing-aanvallen. Voor de implementatie van de captcha werden er namelijk al enige tijd herhaaldelijk door een botnet veel credential stuffing-aanvallen uitgevoerd op het TransIP-controlepaneel.

    Bij credential stuffing-aanvallen, gebruiken aanvallers bots die verschillende willekeurige (meestal gestolen) wachtwoorden en accountnamen invullen met als doel om toegang te krijgen tot accounts; in dit geval de accounts van onze klanten. In dit externe-artikel wordt het concept en de schaal van deze credential stuffing-aanvallen die ook op ons was gericht nader toegelicht.

    Wij hebben hier diverse maatregelen tegen genomen, waardoor het bijvoorbeeld niet mogelijk is voor het aanvallende botnet om zelfs maar een wachtwoord uit te proberen. Dit verminderde echter niet de hoeveelheid aanvallend verkeer op onze website. Om het aanvallende verkeer af te kunnen vangen waren er aanvullende maatregelen nodig.

    De aanvallen werden uitgevoerd door een zeer groot botnet waarbij ieder IP-adres maar enkele pogingen om in te loggen uitvoert. Hierdoor was het bijvoorbeeld niet mogelijk om eenvoudig de aanvallende IP-adressen te filteren met bijvoorbeeld reguliere bruteforce-beveiliging.

    Om deze aanvallen af te kunnen vangen, hebben wij er daarom voor gekozen om een captcha te introduceren. In de tussentijd onderzoeken wij echter nog andere mogelijkheden om het aanvallend verkeer af te vangen waar je het bij het bezoek van onze website niets van merkt.


    Two-factor (2FA) authentication

    Je vraagt je misschien af als je 2FA gebruikt of dat niet al toereikend is om je account te beveiligen. Voor het beveiligen van je account is dit inderdaad toereikend, maar het heeft helaas geen invloed op de pogingen die door een botnet worden uitgevoerd om in te loggen op willekeurige accounts. De captcha dient er dan ook voor om de pogingen van bots om in TransIP-accounts in te loggen af te vangen.


    Hoe werkt een captcha?

    Een bezoeker van een website die beveiligd is met een Google-captcha (in dit geval transip.nl), krijgt een risicoscore toegewezen. Deze score is gebaseerd op de wijze waarop de website gebruikt wordt (kliks op de site, snelheid van invullen, etc.) en andere factoren zoals het IP-adres van de bezoeker.

    Gebaseerd op de risicoscore wordt automatisch bepaald of de bezoeker legitiem is of niet. Afhankelijk van de risicoscore die de captcha terugkoppelt krijg je een van de volgende twee opties te zien:

    • Bij enige twijfel of de bezoeker legitiem is, zie je een blokje dat je kunt aanvinken:
    • Bij grote twijfel een afbeelding met meerdere vakjes waarbij je de vakjes moet selecteren waarin een aangegeven item te zien is, bijvoorbeeld stoplichten in het voorbeeld hieronder:
      captcha images

     


    Privacy en captcha's

    Captcha's vallen onder functionele cookies en hebben de nodige implicaties op de privacy van bezoekers:

    Het captcha algoritme controleert eerst of er een Google-cookie op de computer staat waar vandaan je de website bezoekt die de captcha gebruikt (in dit geval ons controlepaneel). Hiervoor volstaat bijvoorbeeld de cookie die geplaatst is als je een Gmail-account hebt aangemaakt bij Google.

    Daarna wordt een captcha specifieke cookie geplaatst op je browser. De volgende informatie wordt vervolgens verzameld van je computer:

    • Een volledige screenshot van het scherm van je browser op het moment dat die cookie geplaatst wordt
    • Alle cookies van Google van de laatste 6 maanden.
    • Hoeveel keer je geklikt hebt op het scherm dat met de captcha is beveiligd
    • De CSS-informatie van die pagina
    • De datum
    • De taal van je browser
    • Plugins die op je browser zijn geïnstalleerd
    • Alle javascript objecten

    Helaas heeft veiligheid hier een donkere zijde. Dit is een belangrijke reden waarom wij andere mogelijke oplossingen dan captcha's onderzoeken. Tot die tijd hebben wij ons cookiebeleid aangepast, zie onze website. Zonder de cookies te accepteren is het niet mogelijk in te loggen in het TransIP-controlepaneel.


     

    Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op