Als je bestanden overdraagt via FTP, is er iets dat je moet weten: standaard FTP stuurt je gebruikersnaam, wachtwoord en elk bestand volledig onversleuteld. Iedereen op hetzelfde netwerk kan alles zien met simpele packet-sniffingtools. Dit is geen theoretisch risico. Kwetsbaarheden in bestandsoverdrachten hebben enkele van de grootste datalekken van de afgelopen jaren veroorzaakt.
Het goede nieuws: je overdrachten beveiligen is niet ingewikkeld. Je hoeft alleen het juiste protocol te gebruiken en een paar werkwijzen te volgen.
Waarom gewoon FTP een probleem is
FTP werd ontworpen in 1971, lang voordat internetbeveiliging een zorg was. Het verzendt alles als platte tekst, inclusief inloggegevens. Op een openbaar Wi-Fi-netwerk, een gecompromitteerde router, of zelfs een bedrijfsnetwerk met een kwaadwillende, zijn je bestanden en wachtwoorden volledig blootgesteld.
Dit gaat niet alleen over persoonlijke bestanden. In 2023 trof een kwetsbaarheid in het MOVEit-bestandsoverdrachtsplatform meer dan 3.000 organisaties en naar schatting 100 miljoen gebruikers. In 2024 werd het SFTP-platform van financieel dienstverlener Finastra gecompromitteerd, waardoor mogelijk gegevens van banken wereldwijd werden blootgesteld. In 2025 werden kritieke kwetsbaarheden in Wing FTP Server en CrushFTP actief misbruikt.
Het patroon is duidelijk: bestandsoverdracht is een waardevol doelwit, en het gebruik van onversleutelde protocollen maakt misbruik triviaal eenvoudig.
SFTP vs FTPS vs FTP: welke te gebruiken
SFTP (SSH File Transfer Protocol) is de sterkste keuze voor de meeste gebruikers. Het versleutelt alles via een enkele SSH-verbinding op poort 22. Het ondersteunt sleutelgebaseerde authenticatie (geen wachtwoorden over de lijn), en de architectuur met een enkele poort maakt firewallconfiguratie eenvoudig. Als je de keuze hebt, gebruik SFTP.
FTPS (FTP over TLS) voegt SSL/TLS-versleuteling toe aan het oorspronkelijke FTP-protocol. Het is veilig wanneer het correct geconfigureerd is, maar het erft de dubbele-kanaalarchitectuur van FTP (aparte controle- en dataverbindingen), wat firewallregels en NAT-traversal bemoeilijkt. Het vereist ook SSL-certificaatbeheer. Gebruik FTPS wanneer je server geen SFTP biedt.
Gewoon FTP mag alleen worden gebruikt op geisoleerde interne netwerken waar het verkeer nooit het internet raakt. Zelfs dan is het de moeite waard om te overwegen of SFTP niet net zo eenvoudig op te zetten zou zijn.
Gebruik SSH-sleutelauthenticatie
Wachtwoorden kunnen geraden, gephisht of onderschept worden. SSH-sleutels zijn cryptografisch sterk en praktisch onmogelijk te brute-forcen. Een 4096-bit RSA-sleutel of een Ed25519-sleutel biedt beveiliging die geen enkel wachtwoord kan evenaren.
Om een sleutel te genereren op je Mac, open Terminal en voer uit:
ssh-keygen -t ed25519 -C "your-email@example.com"
Dit maakt een sleutelpaar aan in ~/.ssh/. Voeg de openbare sleutel toe aan de authorized keys van je server. Configureer vervolgens je FTP-client (of FTPull/FTPush) om de prive-sleutel te gebruiken in plaats van een wachtwoord.
Om de wachtwoordzin van de sleutel op te slaan in macOS-sleutelhanger zodat je het niet elke keer hoeft in te typen:
ssh-add --apple-use-keychain ~/.ssh/id_ed25519
Referentieopslag op Mac
Waar je FTP-inloggegevens worden opgeslagen is belangrijk. Sommige apps slaan wachtwoorden op in platte-tekstconfiguratiebestanden of preference plists op schijf. Als malware of een onbevoegde gebruiker toegang krijgt tot je Mac, zijn die inloggegevens onmiddellijk gecompromitteerd.
De veilige aanpak is het gebruik van macOS-sleutelhanger, die inloggegevens versleutelt en beschermt met het inlogwachtwoord van je Mac. FTPSuite slaat alle verbindingsgegevens op in de sleutelhanger in plaats van in app-specifieke bestanden. Dit maakt gebruik van Apple's ingebouwde versleuteling en toegangscontroles.
Wees je ervan bewust dat Mac-infostealers (zoals Atomic Stealer en Banshee) specifiek gericht zijn op sleutelhangergegevens. Om jezelf te beschermen: houd macOS bijgewerkt, schakel FileVault-schijfversleuteling in, gebruik een sterk inlogwachtwoord en wees voorzichtig met downloads van onbekende bronnen.
Checklist met best practices
- Gebruik nooit gewoon FTP voor gevoelige zaken of via internet.
- Geef de voorkeur aan SFTP boven FTPS wanneer beide beschikbaar zijn.
- Gebruik SSH-sleutelauthenticatie in plaats van wachtwoorden wanneer mogelijk.
- Als je wachtwoorden gebruikt, maak ze lang (16+ tekens), uniek en sla ze op in een wachtwoordmanager of sleutelhanger.
- Gebruik alleen TLS 1.2 of 1.3 voor FTPS-verbindingen. Schakel oudere SSL/TLS-versies uit.
- Verifieer servercertificaten voor FTPS. Sla certificaatvalidatie niet over.
- Beperk servertoegang op IP-adres wanneer mogelijk.
- Monitor overdrachtslogboeken op ongebruikelijke inlogtijden, mislukte authenticatiepogingen of onverwachte IP-adressen.
- Houd software bijgewerkt. Zero-day-kwetsbaarheden in FTP-servers worden snel misbruikt.
- Schakel FileVault in op je Mac om de hele schijf te versleutelen en gedownloade bestanden in rust te beschermen.
Hoe FTPSuite beveiliging aanpakt
FTPSuite (FTPull en FTPush) is ontworpen met deze werkwijzen in gedachten:
- Ondersteunt FTP, SFTP en FTPS (Explicit en Implicit).
- Slaat alle inloggegevens op in macOS-sleutelhanger.
- Ondersteunt SSH-sleutelauthenticatie voor SFTP-verbindingen.
- Draait als een native macOS-app zonder externe afhankelijkheden of achtergronddaemons.
De beveiliging van je bestandsoverdrachten hangt af van het protocol dat je kiest en hoe je referenties beheert. De tools bestaan. Gebruik ze.