Het aantal hacks bij clouddiensten zijn niet meer te tellen. Elke clouddienst ligt wel eens onder vuur en we krijgen vanzelf via de media te horen wanneer het weer mis gaat. Zoals de privéfoto’s van actrices die nu op straat liggen. Maar hoe zit dat met Evernote? Hoe goed is Evernote beveiligd en wat kun jij zelf doen om de beveiliging van jouw notities optimaal te maken? Van een goed wachtwoord naar Twee Factor Authenticatie. Ik leg het je uit.
Goed wachtwoord
Op Lifehacking heb ik er al vaak over geschreven en ik blijf het herhalen tot het bij iedereen doordringt: Het enige goede wachtwoord is een wachtwoord wat je niet kunt onthouden. Ga alsjeblieft een wachtwoordmanager gebruiken en maak sterke wachtwoorden die niet afhankelijk zijn van jouw menselijk geheugen of een handig ezelsbruggetje. Want het gaat een keer niet lukken met dat ezelsbruggetje. Dat is dan je eerste uitzondering. Van velen die volgen. De enige goede manier om online diensten te beveiligen is door sterke wachtwoorden te maken met een wachtwoordmanager. Dat geldt dus ook voor Evernote. Geef je persoonlijke notities de veiligheid die het verdient. Kies een sterk wachtwoord en sla deze op in een wachtwoordmanager. Als je een wachtwoordmanager kiest, kijk dan direct of ze een mobiele en tablet-variant hebben. Dat is wel zo makkelijk in het dagelijks gebruik. Persoonlijk ben ik fan van 1Password op de Mac. Windows gebruikers, check eens Lastpass of Keepass. Niet alle wachtwoordmanagers zijn gratis. Net als slotenmakers en alarminstallaties voor je huis. Het is niet vreemd om voor een dergelijke beveiliging te betalen voor support en ondersteuning bij nieuwe versies.
Zet géén wachtwoorden in Evernote
Wat me direct bij het volgende punt brengt. Ik heb al herhaaldelijk op workshops en presentaties de tip gehoord uit de zaal om Evernote te gebruiken als wachtwoord-manager. Als plaats om je wachtwoorden op te slaan. Niet doen. Gewoon niet doen. Ondanks dat de data bij Evernote versleuteld wordt verzonden en opgeslagen is het niet wijs om je belangrijke wachtwoorden hier in op te slaan. Evernote biedt encryptie van notities aan maar deze staat niet in vergelijking met wachtwoordmanagers. Plus het wordt dan knap lastig om je eigen Evernote account te beveiligen als het wachtwoord in Evernote staat…
[clickToTweet tweet=”Zet geen wachtwoorden in Evernote, gebruik een wachtwoordmanager!” quote=”Zet geen wachtwoorden in Evernote, gebruik een wachtwoordmanager!”]
Pincode op de mobiele app
Als Premium gebruiker kun je je mobiele apps extra beveiligen met een pincode. Het is een extra versperring voor kwaadwillenden maar een echte beveiliging kun je het niet noemen. Ik stel het echter wel in. Als mijn telefoon onbeheerd ligt kan iemand niet zomaar in mijn Evernote account om rond te snuffelen. Een pincode kan vaak al afschrikken.
Lokale notitieboeken
Heb je bepaalde informatie die je wel in Evernote wilt opslaan maar niet per se op al je apparaten nodig hebt? Overweeg dan het gebruik van lokale notitieboeken. Deze sla je wel op in de desktopversie (mobiel is helaas nog niet mogelijk) maar ze worden niet gesynchroniseerd met de Evernote servers. De notities verlaten dus nooit je desktop en zullen niet in de cloud vindbaar zijn tenzij je er voor kiest om de notities te delen met anderen of het notitieboek toch te synchroniseren. Een lokaal notitieboek maak je via Bestand > Nieuw Notitieboek > Lokaal notitieboek. Het is niet mogelijk om een notitieboek te wijzigen van gesynchroniseerd naar lokaal en vice versa.
Twee factor authenticatie
Sinds enige tijd biedt Evernote Twee Factor Authenticatie (TFA) aan. Dit is een manier om je online accounts beter te beveiligen. Naast het wachtwoord bij je account voer je met TFA een extra code in die je genereert via een voor jouw persoonlijk apparaat. TFA is een authenticatie proces waar twee van de drie factoren nodig zijn om je als valide gebruiker te herkennen
- Iets wat weet – Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code.
- Iets wat je hebt – Hierbij kun je denken aan een smartcard, een pas of andere hardware.
- Iets wat je “bent” – Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag. TFA werkt als twee van de drie correct zijn gebruikt.
Een voorbeeld van alledag: Als je gaat pinnen heb je twee zaken nodig: Een pas en je pincode. Je bankpas is iets wat je hebt, je pincode weet je. Met deze combinatie krijg je toegang tot je bankrekening. Als iemand je pas heeft, maar je pincode niet weet, dan houdt het op. Andersom is dat identiek, er staat een lijst online met alle pincodes, maar zonder bankpas kom je niet ver. Bij Evernote geef je na invullen van je loginnaam en wachtwoord een extra code die je via Google Authenticator of via SMS ontvangt. Pas na invoeren van deze extra code krijg je toegang Evernote.
[clickToTweet tweet=”Beveilig Evernote met authenticatie via je smartphone.” quote=”Beveilig Evernote met authenticatie via je smartphone.”]
Hoe werkt deze authenticatie bij Evernote?
Het goede nieuws is dat je TFA redelijk snel kunt instellen en dat het bij elke dienst op vrijwel dezelfde manier werkt. Het slechte nieuws is dat het tot op heden niet verplicht is en je nogal wat stappen moet zetten:
- Download vooraf Google Authenticator voor iOS en/of Android
- Log in bij Evernote.com en ga naar de Account instellingen.
- In de linkernavigatie kies je het onder de kop Veiligheid voor Beveiligingsoverzicht
- Kies bij het item 2-stappenverificatie voor Inschakelen. Je krijgt een korte uitleg over TFA. Klik op Doorgaan.
- Je krijgt nog eens extra uitleg over de verificatiecode en de backupcodes die je ontvangt. Klik na het lezen op Doorgaan.
- Nu krijg je een verificatie van je mailadres. Dit is voor een bevestigingscode om de instellingsprocedure te starten. Check je mailadres en klik op“Verificatiemail sturen”. Klopt je mailadres niet? Klik op Annuleren en wijzig eerst je E-mailadres.
- Vervolgens ontvang je een email met een code. Deze vul je in op de pagina Beveiligingsoverzicht of je klikt op de link in de mail.
- Nu krijg je het verzoek om je telefoonnummer in te vullen. Dit is nodig om je via SMS een toegangscode te sturen als de Google Authenticator niet goed werkt. Ik heb gemerkt dat bij een harde reset van je smartphone, Google Authenticator niet altijd meer goed functioneert. Je kunt dan via SMS nog toegangscodes ontvangen.
- Na het invullen van je telefoonnummer ontvang je een SMS met een zescijferige code. Deze vul je in en klikt op Doorgaan.
- Je kunt nu nog optioneel een extra telefoonnummer invoeren, bijvoorbeeld van je partner. Mocht je eigen telefoon onbruikbaar zijn, dan kun je deze telefoon gebruiken als backup.
- Nu kunnen we Google Authenticator instellen. Kies in het volgende scherm de smaak van je smartphone en open Google Authenticator op je telefoon.
- Klik op het +-teken in Authenticator om een nieuwe beveiliging toe te voegen en vervolgens op “Streepjescode scannen”. Op je desktop kies je voor “Doorgaan” bij het juiste OS. Ik kies in dit voorbeeld voor iOS.
- Je ziet nu een streepjescode in beeld. Krijg deze in beeld via de camera van je telefoon en Google Authenticator zal automatisch scherpstellen en de code verifieren.
- Je ziet nu een code in het scherm van je smartphone. Type deze over in het vak onder de streepjescode op je PC scherm en klik op “Doorgaan”
- Als de code juist is krijg je een vervolgscherm met Backup codes. Deze kun je gebruiken als je niet in staat om een verificatiecode via je telefoon te geven, bijvoorbeeld als je je telefoon kwijt bent. Sla deze backup codes op in een veilige plek. Let op: Sla ze niet op in Evernote. Ze zijn bedoeld om toegang te krijgen tot Evernote. Ik heb ze opgeslagen in mijn wachtwoordmanager 1Password als “geheime notitie”
- Nu vraagt Evernote je om één van de backupcodes in te voeren ter verificatie. Kies een van de codes en kopieer en plak deze in het veld. Klik op “Instellen voltooien”.
- Heb je Evernote in het verleden al eens aan andere apps of websites gekoppeld, dan krijg je daar nu een overzicht van. Deze zullen namelijk een volgende keer eerst om een verificatiecode vragen. Je zult dus opnieuw moeten inloggen in deze apps. Je ziet in het screenshot dat ik aardig wat apps aan Evernote heb gekoppeld. Als dit bij jou ook is, dan zul je zien dat je niet naar de “Klaar” knop kunt scrollen. Een interface foutje van Evernote. Wat ik doe is uitzoomen in mijn scherm tot ik de knop zie.
- Je bent nu weer terug in het scherm Beveiligingsoverzicht, maar nu zie je dat Twee stappen-verificatie is ingeschakeld. Je krijgt nog een e-mail op je geregistreerde adres met de melding dat de extra beveiliging is ingesteld.
- Via de knop “Instellingen beheren” kun je nog wisselen tussen Google Authenticator en codes via SMS, mocht je dat willen. Tevens kun je hier je telefoonnummer wijzigen, een extra telefoonnummer invoeren of je backupcodes bekijken.
In de praktijk
Hoe werkt TFA nu in de praktijk? Ik gebruik de iPhone applicatie als voorbeeld.
- Na het invoeren van mijn logingegevens krijg ik een extra scherm voor de TFA
- Ik switch nu naar Google Authenticator en kopieer de code die ik in het scherm zie. Dit doe je door met je vinger de code in te drukken. Je ziet dan automatisch een melding “gekopieerd” in het scherm verschijnen. Tip: Hou het klokje naast de code in de gaten. Als deze bijna op is en de code verandert van kleur, wacht dan even op een nieuwe code. De code wijzigt namelijk steeds en zo weet je zeker dat je nog een geldige code hebt.
- Switch terug naar Evernote door 2x snel op de homeknop te drukken en in het miniatuurscherm voor Evernote te kiezen en plak de code.
Je ziet dat de Twee Factor Authenticatie een aantal stappen is om in te stellen. Maar met de juiste voorbereiding zoals deze gids kun je je Evernote account binnen 5 minuten sterker beveiligen door bovenstaande stappen door te lopen. Lees ze eerst door voor je er aan begint. Dan weet je wat je te wachten staat. Als je namelijk te lang wacht met codes invoeren etcetera, kan je beveiligingsessie bij Evernote verlopen en kun je opnieuw beginnen.
Denk na voor je iets in Evernote zet
Wat elke hack bij clouddiensten ons weer leert is dat we onszelf bewust moeten zijn wat we delen, met wie en via welke kanalen. Clouddiensten zijn prachtig en ze zorgen voor een manier van samenwerken die we voor kort niet mogelijk hielden. Maar er is een keerzijde en die is met het stelen en verspreiden van de foto’s van actrices weer duidelijk geworden. Denk goed na wat je in een clouddienst zet. Weet welke clouddiensten je gebruikt en via welke apparaten deze beschikbaar zijn. Bekijk of er Twee Factor Authenticatie mogelijk is en zet deze aan. Het is even een klusje maar je bent dan echt beter beveiligd. Maar het beste is nog altijd: Weet wat je opslaat. Als je geen goed gevoel hebt om bijvoorbeeld verzekeringspapieren in Evernote te zetten, doe het dan niet. Twijfel je of je die klantdata in een gedeeld notitieboek moet zetten? Overleg met je medewerkers en maak een gefundeerde beslissing. Het is (nog) niet mogelijk om vanuit Evernote Business de Twee Factor Authenticatie af te dwingen. Ik hoop echter wel dat dit mogelijk gaat worden. Tot die tijd is educatie en show-and-tell de beste methode om het belang van een betere beveiliging te laten zien. Evernote is zelf van mening dat bedrijven die onder regulatie staan (zoals financiële instellingen) geen gebruik moeten maken van Evernote Business. Tenzij je van plan bent om “non-regulated data” op te slaan, dan kan Evernote Business wel van waarde zijn. In dit artikel heb ik zoveel mogelijk uitgelegd hoe je Evernote beter kunt beveiligen. Mijn advies is: Gebruik in elk geval Twee Factor Authenticatie en een pincode op je mobiele apps. En denk na wat je deelt.
(Foto: Wolf Schouten via Twibfy)