'Apple iCloud Keychain krijgt ondersteuning voor tweetrapsauthenticatie'

Apple zou wachtwoordbeheerder iCloud Keychain een grote update willen geven, waarmee het onder meer ondersteuning voor wachtwoorden via tweetrapsauthenticatie toevoegt en gebruikers waarschuwt als zij hetzelfde wachtwoord voor meerdere diensten gebruiken.

De updates zitten in iCloud Keychain voor iOS 14, meldt 9to5Mac op basis van een vroege build die het in handen kreeg van Apples komende mobiele besturingssysteem. Door integratie met methodes voor tweetrapsauthenticatie hoeven gebruikers niet langer te leunen op sms voor codes. Sms is een bewezen onveilige tweede factor bij tweetrapsauthenticatie.

Bovendien zou de software gebruikers gaan waarschuwen als zij hetzelfde wachtwoord voor meerdere diensten gebruiken. Dat doet iCloud Keychain momenteel niet. Met de nieuwe functies zou de wachtwoordbeheerder van Apple meer in de buurt komen van betaalde diensten als 1Password, LastPass en Keepass.

Apple heeft niet gereageerd op het gerucht. De site 9to5Mac bracht afgelopen weken al vaker informatie naar buiten op basis van een vroege build van iOS 14. Zo moet de Apple Watch bloedzuurstof gaan meten, bevat het OS iconen van een over-ear-koptelefoon en stonden er aanwijzingen in voor een nieuwe afstandsbediening voor Apple TV.

Door Arnoud Wokke

Redacteur Tweakers

01-04-2020 • 20:41

55

Reacties (55)

55
50
29
7
0
14
Wijzig sortering
Bovendien zou de software gebruikers gaan waarschuwen als zij hetzelfde wachtwoord voor meerdere diensten gebruiken. Dat doet iCloud Keychain momenteel niet.
Dit doet de sleutelhanger nu al weldegelijk. Op de iPhone onder wachtwoorden staat er een uitroepteken bij de logins alwaar eenzelfde wachtwoord gebruikt wordt.
[...]

Door integratie met methodes voor tweetrapsauthenticatie hoeven gebruikers niet langer te leunen op sms voor codes. Sms is een bewezen onveilige tweede factor bij tweetrapsauthenticatie.
Dit is ook onzin want gebruikers maken nu gewoon gebruik van Authy of Google Authenticator of een andere soortgelijke app.
Nou voor Apple is dat nieuw. Die doen nog steeds SMS naast een Apple apparaat voor de optionele 2fa codes. Voor zover ik weet is de SMS mogelijkheid ook niet uit te schakelen. Misschien moeten ze daar eerst eens naar kijken. Ze lopen op dat vlak hopeloos achter op Google en Microsoft. Ondanks de focus op security. Ze waren ook jaaren na Google en Microsoft met überhaupt 2fa ondersteunen.
Nou voor Apple is dat nieuw. Die doen nog steeds SMS naast een Apple apparaat voor de optionele 2fa codes. Voor zover ik weet is de SMS mogelijkheid ook niet uit te schakelen. Misschien moeten ze daar eerst eens naar kijken.
Is dat zo? Volgens mij kan ik alleen via een ander apparaat waarop mijn is is ingelogd een code ontvangen.
Ze waren ook jaaren na Google en Microsoft met überhaupt 2fa ondersteunen.
Heb je daar een bron van?

[Reactie gewijzigd door Naafkap op 22 juli 2024 14:49]

Ze lopen op dat vlak hopeloos achter op Google en Microsoft. Ondanks de focus op security. Ze waren ook jaaren na Google en Microsoft met überhaupt 2fa ondersteunen.

- https://en.wikipedia.org/wiki/Google_Authenticator
- https://www.schneier.com/...6/08/nist_is_no_long.html
- https://9to5mac.com/2016/...os-9-and-os-x-el-capitan/

Google is hier degene die in 2010 begon met 2FA, en pas vanaf 2013 is Apple begonnen... @Fapkonijntje kan wel vaker dingen roepen (ik weet écht niet of dat waar is, laat staan het onderwerp "Apple" :) ), hij/zij heeft hier wél degelijk een punt.

Helaas overschatten wij ons eigen geheugen wel eens.. https://dekennisvannu.nl/site/artikel/Dwalend-geheugen/5441

Bedankt @SoloH , 2009 gecorrigeerd naar 2010 (my bad)

[Reactie gewijzigd door Janbraam op 22 juli 2024 14:49]

2010 en niet 2009.

Maar goh laten we vooral niet een potje ver pissen, want dan moeten we alle features op een rij gaan zetten.
Tja, toon mij een telefoon die ook 6 jaar aan updates ontvangt en een hoge kwaliteit levert en ik ben om. Hiervoor had je de Pixel die dat probeerde te evenaren maar daar kan je niet meer op aan. Ook Oneplus is altijd weer een risico aankoop qua support. Hetzelfde met laptops, hoewel Windows 10 wat mij betreft eindelijk op gelijke voet staat met MacOS, heb je gewoon geen laptops die op alle fronten zo goed scoren als een macbook pro.
De prijs/kwaliteit staat totaal niet in verhouding. Je kunt wel roepen dat je twee keer zolang updates krijgt, maar als je daar drie keer zoveel voor betaald hebt is dat weer niet zo'n goed argument. Nog los van het feit dat de updates geen garantie zijn voor de veiligheid.

Maar als je dan toch wil overstappen dan kan ik je Nokia aanraden. Ik heb de eerste 7 Plus (begin 2018) en krijg elke maand keurig beveiligingsupdates en zit inmiddels op Android 10.
Dus het kan prima om voor een redelijke prijs (ik geloof dat het € 399,- was) een goede telefoon te kopen met lange ondersteuning.
Volgens mij staan iphones altijd nog bovenaan qua prijs en updatebeleid. Leuk dat je de 7 plus voor 399 kon krijgen maar die is natuurlijk niet te vergelijken. Daarbij gaat het mij niet eens om de prijs maar dat het hele idee dat je om de 2 jaar weer een telefoon moet halen gewoon onethisch. Bloed in je broekzak, dat is het in feite.
Een accu gaat per definitie altijd achteruit een accu die eeuwig mee gaat bestaat niet!
Dat jij er niks van merk komt omdat aantal laad cyclus die ze aan geven nog niet heb bereikt hebt daarna gaat accu prestatie achteruit en kan dan in ene heel snel gaan tegen die tijd heb jij al een nieuwe gekocht!
hier een uitleg waarom batterij na verloop van tijd slechter word :
https://nl.pcmag.com/wete...n-langzaam-slechter-wordt
Kijk eens in de spiegel met je jijbakken voordat je jezelf als rationeel baken probeert neer te zetten. Tot vorig jaar kon je qua OS updates nog meedoen met een iphone 5s (release 2013!). Nokia HMD moet het eerst nog maar eens zo lang zien vol te houden als merk (hint: dat gaat ze niet lukken)

En die smoesjes van Apple zijn leuk en aardig maar daar zijn ze dus ook gewoon op terug gekomen. Daarbij is dat maar een klein ding wanneer je realiseert dat je met een telefoon gewoon 6 jaar OS updates kan krijgen. Ze hadden er echter ook voor kunnen kiezen om net als elke Android telefoon 2 jaar support te geven en je persoonlijke data als winstmodel te laten gebruiken voor Google. Maar helaas neem je dat niet in je 'argument' mee. :+
Je kan de boel goed omdraaien. Volgens mij ben jij diegene die de boel komt bashen als een evangelist. Het feit dat je in dit draadje over Apple komt zegt genoeg.
Feit blijft dat Apple niet veilig is.
Je kunt én op je apparaat dat vetrouwd en ingelogd is de 2fa melding ontvangen en via SMS. SMS is voor zover ik in icloud kan zien niet uit te schakelen.
Klopt. Sms is een terugval als je geen andere apparaten in de buurt hebt waar je de 2FA code op kan ontvangen.
Als Apple zelf zegt dat SMS onveilig is wil ik dat dus uit kunnen zetten en dat kan op mijn icloud account niet. Dus wederom kletst Apple maar wat en is de praktijk weer een tegenvaller. Als ze nou net als MS, Facebook, Google, Twitter en eigenlijk bijna alle andere 2fa implementaties TOTP ondersteunen zodat ik de codes in de Google of Microsoft authenticator kan hangen of zelfs in authy dan scheelt dat aanzienlijk en kan het onveilige SMS uit.

Nu kan iedereen nog gewoon SMS forceren en de codes onderscheppen, alleenmaar omdat Apple iedereen op hun eigen platform moest hebben. Ik heb een tijdje geen apple apparaten gehad en wel icloud en dit was een heel storend aspect.
Ik heb een tijdje geen apple apparaten gehad en wel icloud en dit was een heel storend aspect.
Maar waarom zouden ze dat doen? Ze willen helemaal niet dat jij iCloud gebruikt. iCloud is een dienst die je geleverd krijgt voor bij een iPhone of Macbook. Niet iets wat je ff afneemt als je geen van dat hebt.


Daarnaast MS heeft voor zakelijke accounts ook niet de mogelijkheid om TOTP tokens als default te gebruiken. Ik krijg van mijn werk elke dag een SMS'je om bij outlook in te loggen, terwijl ik er ook gewoon een authenticator app (nota bene die van MS zelf) naast heb staan, met dat werk account gekoppeld.
Zakelijk kan ik gewoon bij Microsoft totp gebruiken. Zowel via de MS app als via andere mogelijkheden. Misschien heeft je werkgever het voor je uitgezet. Dat is dan hun fout. MS is hier niet de beperkende factor.

Als je tijdelijk even geen toegang hebt tot je iphone vanwege een reparatie zoals in mijn geval en je toch bij icloud wilt. Dat was in ieder geval mijn situatie.
Maar als je tijdelijk geen toegang hebt tot de iPhone (voor reparatie of wat dan ook) heb je altijd nog sms of de herstelcode. De herstelcode heb je op papier.


Dat gezegd hebbende begrijp ik vanuit de service kant wel dat sms nog wel degelijk aan staat.
Kan ook via sms, hoe anders wil je bijvoorbeeld inloggen bij Apple Music op Android als je geen Apple hardware hebt? Voor zover ik weet werkt 2fa via een ander apparaat alleen via Apple apparaten.
Dit levert trouwens wel problemen op, zo heb ik al bij verschillende mensen moeten helpen om in te loggen omdat ze nooit die sms kregen, ondanks dat de sms zou zijn gestuurd volgens de app.
Het is geen onwaarheid. Apple's 2fa werkt via sms/telefoongesprek of via andere Apple apparaten.
https://support.apple.com/lv-lv/HT204974
SMS optioneel. Een 2e Device is ook prima als 2FA.
Ik kan SMS/telefoon voor zover ik kan zien in mijn icloud account niet uitschakelen. Optioneel is het dus zeker niet. Ja, het kan via een apple apparaat, maar ook altijd via sms/telefoon.

[Reactie gewijzigd door fapkonijntje op 22 juli 2024 14:49]

Excuus; ja, het is in die zin optioneel als je meerdere Apple devices hebt. Ik hoef alleen maar op m'n Macbook, iPad of iPhone de code te verifiëren.
Het is optioneel in de zin van - je hoeft het niet te gebruiken
Bij een 2fa code komt die op de apple devices terecht
Pas als dat niet werkt / beschikbaar is, wordt het een sms
Ik heb het tot nu toe altijd zelf moeten aanvragen, bij invoeren van de code staat er 'andere manier ontvangen' als optie
Dat klopt! Maar als je even verder had gelezen, dan had je gemerkt dat het ging om het feit dat überhaupt die optie beschikbaar is een probleem is.

Stel ik heb jouw icloud gebruikersnaam+wachtwoord ergens opgevist. Gezien de iCloud lekjes van vroeger, geen ondenkbaar scenario voor velen. Dan kan ik proberen in te loggen met jouw gegevens. Als je die 2fa code nou op je iphone krijgt, dan kan ik er inderdaad helemaal niets met alleen gebruikersnaam en wachtwoord en kom ik niet binnen.

Maar nu staat SMS als optie gewoon beschikbaar en daar ontstaat voor mij het probleem. Ik kan zelf een optie aangeven bij het inloggen met jouw account dat ik de code via SMS wil ontvangen op jouw nummer. Die optionele SMS kun jij niet uitzetten. Aangezien SMS afvangen héél simpel is als ik een beetje in de buurt ben, kan ik dus jouw code simpelweg afvangen en alsnog inloggen. SMS is tenslotte niet versleuteld en het onderscheppen van bel/smsverkeer is écht heel simpel.

Ik geef toe, een situatie die alleen echt voorkomt bij gerichte aanvallen. Maar ook dat is een risicosituatie voor mensen die die doelwit voor gerichte aanvallen zijn. Er zijn genoeg beroemdheden en overheidsfunctionarissen die iphones gebruiken, dus daar heb je je doelwitten al.

Bedrijven die dus 2FA aanbieden en beveiliging in het echt en niet alleen in de marketing serieus nemen, geven je dus de optie om SMS en bellen uit te schakelen en een andere manier van code ontvangen te gebruiken. Een recovery key, een hardwaresleutel of een andere TOTP oplossing. Microsoft doet dat bijvoorbeeld wel netter. Google deels ook. Maar dat zijn bedrijven die veel actiever zijn op de zakelijke markt, dus eerder die eis tegenkomen.

Nou is dit op zich iets dat al bleek uit het draadje waar je op reageert, dus je had het al kunnen weten.
Aangezien SMS afvangen héél simpel is als ik een beetje in de buurt ben, kan ik dus jouw code simpelweg afvangen en alsnog inloggen.
Je hele verhaal hangt van 'toevalligheden' aan elkaar

* wachtwoord gelekt
* geen ander device in de buurt om te blokkeren ( je krijgt EERST een toestemming OF het andere device überhaupt MAG inloggen )
* en dan nog eens IN DE BUURT zijn om de SMS af te vangen.

Als je al aan die voorwaarden zou voldoen ( de top 1% users misschien ) dan zijn er betere ( en makkelijkere ) manieren om op/in een account te komen
Op mobile devices van Apple worden in iCloud de zg dubbele wachtwoorden met een driehoek met daarbinnen een uitroepteken. In MacOS Safari wordt dit identiek weergegeven. Beide OS beiden bij het geaccentueerde wachtwoord de mogelijkheid om dit wachtwoord direct op de betreffende website te wijzigen
M'n Imac laat ook al in Keychain zien welke PW dubbel worden gebruikt, das niet nieuw.

Van een ander artikel heb ik begrepen dat (IOS) keychain ook "1password" functionaliteit erbij zou krijgen.
Voor macOS gebruikers (en Linux/Windows trouwens ook) die graag makkelijk credentials in hun keychain willen stoppen of eruit halen vanuit de terminal (bijvoorbeeld tokens die je gebruikt in bash scripts) kan ik Keyring aanraden: https://pypi.org/project/keyring/. Dit Python tooltje gebruikt de native secrets store van je OS (Keychain op macOS dus) en je kan met een simpel commando (keyring get <service> <username>) je secret ophalen en in een environment variabele zetten (bijvoorbeeld met een .envrc script).

Hierdoor hoef je nooit meer een wachtwoord of token in een script op te slaan en voorkom je dat je dit per ongeluk commit en naar bv. Github pushed, of dat ie langer dan nodig in plain text formaat op je systeem exposed staat.

macOS heeft hier zelf ook een cli tool voor genaamd 'security'. Maar de syntax hiervan is alles behalve makkelijk te onthouden, en als je met je team verschillende systemen hebt is hetzelfde commando in je scripts of documentatie wel zo makkelijk.
Kan je dan niet net zo goed een functie aanmaken in je profiel? Eg: wachtwoord <account>, wat dan op de achtergrond met de juiste syntax het security commando aanroept :) Heb je een one-liner nodig en verder geen scripts.
Voor eigen gebruik zeker. Maar zodra je het moet gaan uitleggen aan teamleden met verschillende disciplines, zodat je wel de zelfde werkwijze kunt hanteren en documenteren, dan is een standaard installeerbaar programma al snel weer minder werk.
want een alias op git plaatsen is meer werk?

een 3rd party lib gebruiken voor iets wat standaard aanwezig is en ook nog eens op die locatie is echt niet heel slim. Dat klinkt als iets wat nog wel eens fout kan gaan.

Als wat voor secret zet het de boel neer dan?
Jammer dat Sleutelhanger niet wat uitgebreider is en dat het uitbreiden van de functionaliteit zo langzaam gaat, maar er komt wel degelijk steeds meer bij. Het heeft bijvoorbeeld ook versleutelde notities, zag ik toevallig vandaag, in 10.14.
Versleutelde notities zitten er al 20 jaar in...
De keychain is bedoeld als programmatische opslag voor software, niet zo zeer als eindgebruikersproduct of 'wachtwoord manager'. Het is wel als backend voor dat doel geschikt, en dat is dan ook waar opgeslagen wachtwoorden van bijv. Safari en Mail in opgeslagen worden.

Het wordt veel gebruikt als PKI opslag (dus CAs, trust settings), keypair opslag, en session/oauth secrets. Relatief weinig password management ;-)

[Reactie gewijzigd door johnkeates op 22 juli 2024 14:49]

Keychain wordt ook overal gebruikt waar je wat versleuteld op wil slaan als applicatieontwikkelaar, bijvoorbeeld een token in een applicaties. Maar je kunt ook weer secrets delen door iCloud. Dat is best wel krachtig.
Bestaat al een aantal versies, die notities.
Ideaal op m’n Apple apparaten maar ik zou een versie voor Windows helemaal handig vinden. Is daar ook iets over bekend?
Windows heeft hiervoor credential manager (te vinden onder het oude configuratie scherm). Deze doet ook nog geen MFA. Ik verwacht hier ook geen veranderingen in gezien Microsoft liever wilt dat je een Microsoft of Office 365 account aanmaakt en daarmee synced.
Windows heeft hiervoor credential manager (te vinden onder het oude configuratie scherm). Deze doet ook nog geen MFA. Ik verwacht hier ook geen veranderingen in gezien Microsoft liever wilt dat je een Microsoft of Office 365 account aanmaakt en daarmee synced.
@Vizzie wil de opgeslagen passwords/credentials in sync hebben p zijn windows-pc's

Dat lijkt me ook prettig, nu kloot ik aan met de keychain op IOS en Keepass / sync naar externe server
Ja dit dus. Gewoon een Windows cliënt voor Keychain die synchroniseert met mijn Apple spullen.
In dit artikel staat dat KeePass een betaalde dienst is. Dit is echter een gratis, open source programma.

Persoonlijk tot op heden de meest overzichtelijke wachtwoord manager die ik tegen ben gekomen.

Weet iemand of entries van KeePass ook geëxporteerd kunnen worden naar Keychain?
Als we het over Open Source hebben wil ook Bitwarden even stiekem pluggen.
Overzichtelijk én zit heel erg goed in elkaar.
Dat doet Keychain wel hoor. Uitroeptekentje bij je wachtwoord en je ziet dat je het wachtwoord op <x> aantal sites al gebruikt hebt en je kunt dit direct wijzigen via de knop “Wijzig wachtwoord op website...” en een tekstje eronder op bijv welke site die nog meer gebruikt wordt. Ideaal.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 14:49]

Wat ik heel erg mis in Keychain is dat wanneer ik een custom wachtwoord aanmaak, deze niet gesynchroniseerd wordt met alle andere iCloud devices. Keychain synct alleen wachtwoorden die je automatisch via je browser of app aanmaakt. Iemand enig idee waarom dit is? Dit lijkt me toch een voor de hand liggende functionaliteit waarvan ik hoop dat die ook in de aankomende update zit.
Bij mij synct hij gewoon beide. Vreemd dat dit bij jou niet werkt.
Vond het al vreemd dat het nog niet bestond.
Zelf gebruik ik 1 password tot nu toe de fijnste waarmee ik werk en is te gebruiken op alle platformen.

Zelf gebruik ik chrome en dan werkt apple keychain weer niet mee (op een windows)
Desalniettemin probeer ik voor 2FA Authy te gebruiken zodat als je in je keymanager kunnen ze niet ook gelijk de 2FA code hebben maar nog een extra security moeten hacken.
Ik hoop dan ook op een dedicated app voor iOS. Als je nog een niet-Apple product gebruikt, zoals je werk pc dan is het best vervelend om via de settings je wachtwoord te achterhalen.

Ik weet niet hoe het overigens precies zit met het aandragen van sterke wachtwoorden... maar sommige sites/apps kunnen daar dus niet mee overweg. Of het verschijnt helemaal niet, of je kunt wel een sterk wachtwoord invoeren maar dan wordt het niet opgeslagen. En je kunt het vooraf ook niet kopiëren.

Daarnaast zou ik een authenticator fantastisch vinden, zeker als die push zou ondersteunen, zoals Apple's eigen 2FA codes. Elke keer Authy opstarten is toch best lastig.

Ook zou een export van Keychain op de Mac handig zijn. Met ondertussen 400 opgeslagen wachtwoorden mag er wel eens opgeschoond worden. Dat is zo handig nog niet in Keychain.
Zou fijn zijn als ze dan ook een password manager voor Chrome uitbrengen. Nu heb ik mijn wachtwoorden in zowel Chrome als iCloud, een additionele password manager vind ik teveel gedoe.

Op dit item kan niet meer gereageerd worden.