Apple ontkent iCloud-hack na 'gegijzelde' iPhones, iPads en MacBooks

Apple ontkent in een verklaring dat zijn iCloud-dienst succesvol is gekraakt. Daarmee reageert het bedrijf op berichten van Apple-gebruikers die kampen met een op afstand gelocked apparaat dat alleen tegen betaling van het slot wordt gehaald. De apparaten waren met iCloud verbonden.

Maandag verschenen er berichten dat onder andere bezitters van iPhones, iPads en MacBooks in Australië hun apparaat niet meer konden gebruiken nadat hackers het hadden 'gegijzeld'. Bij een poging in te loggen op hun apparaat krijgen ze de melding 'Device hacked by Oleg Pliss'. Daarbij moeten ze 50 tot 100 dollar overmaken naar een PayPal-account. Inmiddels zijn er ook meldingen uit de VS, Canada en Nieuw-Zeeland.

Alle getroffen gebruikers waren verbonden met iCloud, waarbij de onbekende aanvallers gebruikgemaakt lijken te hebben van Apples Find My iPhone- en Find My Mac-diensten. In een korte verklaring stelt Apple nadrukkelijk dat iCloud niet is gekraakt door aanvallers. Wel wordt gebruikers aangeraden om het wachtwoord van hun Apple ID te wijzigen. Verder zouden klanten die door de lockmethode zijn getroffen contact moeten opnemen met AppleCare of een officieel verkooppunt.

Getroffen gebruikers die een passcode hebben ingesteld, zouden hun apparatuur weer toegankelijk kunnen krijgen door in te loggen op iCloud en een back-up terug te zetten. Voor andere gebruikers lijkt er echter weinig anders op te zitten dan contact opnemen met Apple.

Vorige week werd een kwetsbaarheid ontdekt in iTunes, zo berichtte Tweakers: wachtwoorden blijken relatief simpel te onderscheppen. Apple hasht de wachtwoorden niet voordat ze naar de server worden verzonden, en de ssl-verbinding is kwetsbaar voor een man in the middle-aanval. Of er bij dit incident ook gebruik is gemaakt van deze methode is nog niet duidelijk.

Reacties (113)

113

107

Wijzig sortering

hEgelia 28 mei 2014 12:15

De eenvoudigste verklaring lijkt mij in deze gevallen waarschijnlijk de juiste — veelvuldig gebruik van dezelfde wachtwoorden. Deze wachtwoorden zijn elders buitgemaakt, vermoedelijk vanwege ondermaatse beveilingsmaatregelen, en worden nu grootscheeps losgelaten op iCloud en waarschijnlijk andere diensten.

Apple's diensten, waaronder iCloud, vereisen je Apple ID. Dit is een combinatie van een mailadres en wachtwoord. Hiermee verkrijg je toegang tot vrijwel alles bij Apple — App Store, iTunes Store, iBooks Store, Apple Store, iCloud, Find my Device, iMessage, FaceTime, iWork en nog andere persoonlijke diensten. Zie ook http://www.apple.com/nl/support/appleid/

Ik vermoed dat Apple zijn beveiliging onder de loep heeft genomen en geconcludeerd heeft dat deze hacks helaas te wijten zijn aan onzorgvuldig gebruik van Apple ID gegevens door anderen. Ik kan het me goed voorstellen dat (talloze) gebruikers hetzelfde mailadres en wachtwoord van hun Apple ID ook gebruiken bij andere diensten en bedrijven. Wanneer zo'n dienst of bedrijf slordig omgaat met deze gegevens, dan kunnen deze worden buitgemaakt en misbruikt worden bij andere diensten, zoals Apple's iCloud.

Jammer vind ik dat deze hack waarschijnlijk kan worden voorkomen door gebruik te maken van tweestaps-verificatie en een wachtwoord of pincode op je iOS toestel zelf. Maar schijnbaar nemen veel mensen die moeite niet, onderschatten ze de risico's, waarna ze de dupe worden van hun eigen gemakzucht en onvoorzienigheid.

beantherio @hEgelia • 28 mei 2014 12:31

Je probeert de schuld wel erg makkelijk af te wentelen op de gebruikers. Je zegt dat je geen aanwijzingen ziet van een probleem aan de kant van Apple, maar ik zie net zo min aanwijzingen dat de oorzaak ligt bij de gebruikers. Apple weet meer maar houdt de kaken stijf op elkaar gezien hun nogal weinig informatieve reactie. Dat wekt weer juist de indruk dat er aan hun kant wel een probleem ligt, al dan niet gerelateerd aan de iTunes-kwetsbaarheid die recent is ontdekt.

Elmo_nl @beantherio • 28 mei 2014 12:57

Apple weet meer maar houdt de kaken stijf op elkaar gezien hun nogal weinig informatieve reactie.

Als dit waar is denk ik dat het ook nog wel eens zou kunnen zijn dat er een malafide app in de App Store terecht is gekomen. En dan met name een app die populair is in de getroffen landen. Als deze app gebruikt wordt en de informatie verstuurd naar persoon x weet deze zeker dat het een IOS gebruiker betreft die voor 99% zeker hetzelfde wachtwoord gebruikt in die app voor al zijn Apple diensten. Maar goed, de tijd zal het leren.

Eager @hEgelia • 28 mei 2014 13:00

Apple is zelf ook nogal onzorgvuldig met de gebruikersgegevens. Als je het antwoord op de geheime vraag niet, maar de laatste vier cijfers van de aan een account gekoppelde creditcard wel weet, verstrekken zij je telefonisch een nieuwe inlog. En die laatste 4 cijfers van de creditcard kun je weer achterhalen bij Amazon, door eerst telefonisch een nieuwe creditcard te koppelen, die fake is maar waarvan het nummer wel valideert. Daarna bel je ze op dat je je inlog kwijt bent, en ze verstekken je een nieuwe inlog na het geven van een afleveradres en de laatste vier cijfers van een creditcard (die je zelf eerder hebt versterkt).
Met de nieuwe inlog die je van Amazon hebt ontvangen krijg je de laatste vier cijfers van de creditcard te zien die de gebruiker zelf heeft toegevoegd, waarmee je bij Apple een nieuwe inlog voor icloud kan krijgen. Als je dan "find my mac/ipad/iphone" aan hebt staan (staat standaard aan) ben je het haasje,
Lees het hele verhaal hier: http://www.wired.com/2012...on-mat-honan-hacking/all/

curumir @Eager • 28 mei 2014 16:14

Dat was in 2012. O.a. in reactie op dat artikel zijn de beveiligingen verscherp.

OkselFris

Apple iPhone 5s
Apple iPad Air
Apple iPhone 5c

@Eager • 28 mei 2014 16:31

Maar dat is niet meer van toepassing. Apple heeft toen als vervolg het beleid aangescherpt en dat zal Amazon ook wel gedaan hebben. Want elk bedrijf zou dit onacceptabel vinden.
Nou is een policy maar een policy dat geldt voor elk bedrijf, het is belangrijk hoe de servicedesk hiermee omspringt en of je ze direct op je blauwe ogen geloven.

bonyuri 28 mei 2014 11:31

Wel apart dat het lijkt alsof het vooral in Australie aan de hand is.
Misschien heeft het dan toch meer te maken met iets anders dan dat iCloud gehacked is.

Misschien zijn het wel allemaal mensen die iets gemeen hebben met elkaar? Allemaal aangemeld op eenzelfde forum waarbij ze hetzelfde e-mail adres en wachtwoord gebruiken als voor iCloud? Misschien van eenzelfde school o.i.d.?

Vraag me wel af of Apple het uberhaupt zou toegeven als iCloud wel gehacked was...

t1mmy @bonyuri • 28 mei 2014 12:20

Vraag me wel af of Apple het uberhaupt zou toegeven als iCloud wel gehacked was...

Gezien dat ze het developer portal meerdere weken dicht hadden gegooid omdat er een lek in zat, ja.

awenmaek 28 mei 2014 13:15

Als je het discussions forum van apple leest over dit onderwerp is heel deze zaak heel vreemd:

- Alle "slachtoffers" zitten in Australië en Nieuw-zeeland of hebben toch één of andere Australische link (op 1 à 2 gevallen na, maar misschien is er een verborgen link)
- Er zijn er enkelen bij die zweren dat ze een voldoende goed paswoord hadden en niet deelden op andere accounts.
- Er is geen directe link met andere accounts (er zijn er bij die geen ebay account hadden, of geen unblock-us,...)
- Er zijn er waar niet alle toestellen geblokkeerd waren. Eén persoon vertelt dat hij 4 toestellen heeft, en dat enkel degenen die in Australië zijn gekocht en geactiveerd waren werden gehacked, en de andere niet (wat vrij vreemd is indien de hacker in de iCloud account kon)

Wat het precies is weet ik niet, maar mijn gevoel gaat uit dat het iets te maken heeft met de beveiligingsfout enkele weken terug (iphone/ipad checked het certificaat van de server niet -> vb. Via DNS poisoning laten wijzen naar een valse server en van daaruit een lock-bericht sturen) ofwel via een api die men op één of andere manier heeft misbruikt (mits men dan aan een lijst is geraakt van icloud accounts).

Chip5y @awenmaek • 28 mei 2014 16:46

Keylogging is ook een mogelijkheid, in dat geval zou punt 2 en 3 verklaarbaar zijn. Punt 1 kan een bepaalde bewuste focus zijn van de hacker zelf (een beetje vreemd wel maarja, mogelijk wanneer de spyware zich bevindt op Australische website). Punt 4 is moeilijk te verklaren. Mss omdat die een andere iCloud account gebruiken (puur gokwerk dit)?

[Reactie gewijzigd door Chip5y op 25 juli 2024 22:11]

Crazy4ever 28 mei 2014 11:28

En nu ontkend Apple dit om geen gezichtsverlies te lijden? ...

Als er in Australië tegelijk honderden meldingen binnenkomen met hetzelfde bericht en ze zijn verbonden met iCloud zal er toch iets aan de hand zijn. Mischien een Man in the Middle die de wachtwoorden opving tussen de iCloud server en de gebruikers?

[Reactie gewijzigd door Crazy4ever op 25 juli 2024 22:11]

Dylan93 @Crazy4ever • 28 mei 2014 11:30

En nu ontkend Apple dit om geen gezichtsverlies te lijden? ...

Niet persee, ik neem aan dat Apple het wel heeft uitgezocht en niet zomaar iets naar buiten brengt.

Het zou namelijk ook een keylogger kunnen zijn op een Mac of Windows apparaat van de gebruiker waarmee vervolgens de credentials van het iCloud/Apple account gestolen zijn, als je die eenmaal hebt is het vrij simpel, je gaat naar iCloud.com en stelt de gekoppelde iDevices in als verloren en zet het bericht ervoor met een PayPal rekening nummer...

eL_Jay @Dylan93 • 28 mei 2014 12:25

Nogal een boude aanname. Al vermoed ik inderdaad een user-fail.
Wel raar dat je daardoor ineens met een paperpress van >€600 zit

Verwijderd @eL_Jay • 28 mei 2014 12:36

Alleen als je zelf geen passcode op je telefoon/tablet hebt heb je een dure paperpress. Omgekeerd, als het blokkeren via iCloud niet tot een paperpress leidt, dan heeft Apple echt een probleem.

Beetje l*llig dat iemand met je wachtwoord er van door is gegaan en je telefoon heeft gelokt. Beetje dom van de gebruikers om op meerdere plekken het zelfde wachtwoord te gebruiken en ook nog eens geen passcode op je device te zetten. Dubbele user-fail.

beantherio @Dylan93 • 28 mei 2014 12:15

Als het blijkbaar zo massaal gebeurd dan lijkt het me dat er toch meer aan de hand is. Ik lees van Apple ook geen verklaring over de oorzaak. Dat roept natuurlijk ook weer vraagtekens op.

ronaldmathies @beantherio • 28 mei 2014 12:53

Ze kunnen moeilijk een verklaring geven als de informatie van een derde partij gestolen is.

TIGER79 @Dylan93 • 28 mei 2014 12:03

was ook hun eerste statement toen er antenne-problemen waren met de iphone, of verkleurende schermen bij de imacs, niet-koelende koelers bij de airbook....

Vexxon @Dylan93 • 28 mei 2014 14:15

Het zou namelijk ook een keylogger kunnen zijn op een Mac of Windows apparaat van de gebruiker waarmee vervolgens de credentials van het iCloud/Apple account gestolen zijn, als je die eenmaal hebt is het vrij simpel, je gaat naar iCloud.com en stelt de gekoppelde iDevices in als verloren en zet het bericht ervoor met een PayPal rekening nummer...

Als het om een paar duizend devices gaat lijkt het me nogal omslachtig om dat per apparaat te doen. Het zal dus geautomatiseerd gaan en dat process lijkt me vrij lastig om te automatiseren.
Daarom klinkt een hack van iCloud zo logisch.

parkeermeter @Crazy4ever • 28 mei 2014 11:35

apple ontkent toch niet dat die iphones gelocked zijn, ze ontkennen gewoon dat de icloud servers gekraakt zijn.
en daar kunnen ze gelijk in hebben. als een vreemde gewoon inlogt met jouw gegevens is er niks gekraakt.

Tukkertje-RaH @parkeermeter • 28 mei 2014 12:46

Hmm... ok - mijn eerste reactie kwam wellicht over als een flame, terwijl deze niet zo bedoeld was...

Punt dat ik wil maken is dat Apple wel iets meer kan doen dan roepen dat het probleem niet bij hen ligt, en hun klanten (!) verwijzen naar een lokale winkel of Applecare.

Wat ik had gehoopt is dat Apple zelf pro-actief onderzoek zou doen naar waar deze problemen vandaan zouden kunnen komen. Het zijn hun klanten, hun telefoons en ook hun servers waarmee deze lock wordt uitgevoerd. Dat het probleem technisch niet bij Apple ligt, betekent niet dat ze het niet hoeven aantrekken...

[Reactie gewijzigd door Tukkertje-RaH op 25 juli 2024 22:11]

ronaldmathies @Tukkertje-RaH • 28 mei 2014 12:55

Doen ze toch? Ze geven aan hoe je het probleem kan oplossen en als het net via de normale manier lukt dat je dan contact kan opnemen.
Om het uit te zoeken moeten mensen wel eerst bij hun aangeven dat ze dit probleem hebben.

lepel @Tukkertje-RaH • 28 mei 2014 12:57

En als er een overval met een Opel word gepleegd dan heeft Opel een belangrijke rol gespeeld in de overval?

Als er geen lek is en de wachtwoorden gewoon geraden of gephished zijn dan heeft Apple hier niks mee te maken, dat kan net zo goed met je Google account gebeuren of ieder login mechanisme.

Tukkertje-RaH @lepel • 28 mei 2014 13:31

Uhm... Ja!

Als blijkt dat Opel de problemen voor veel van hun klanten kan oplossen of achterhalen (source IPs van de locks), als blijkt dat er een flaw in het design zit (geen check op complexiteit password), als blijkt dat er verbeteringen mogelijk zijn(secondary auth bijvoorbeeld), dan kan Apple/Opel een belangrijke rol spelen.

Je hoeft niet perse de schuld te hebben om iets te doen aan een probleem tenslotte?

Vexxon @lepel • 28 mei 2014 14:16

Dat is natuurlijk een scheve vergelijking.
Dat zou eerder gelijkstaan aan wanneer iemand met een iPhone iemand anders de hersens inslaat.

Vizzie @Tukkertje-RaH • 28 mei 2014 18:50

Eh nee dat is het hele punt juist: het is de telefoon van de gebruiker die met het wachtwoord van de gebruiker gelocked wordt omdat door iemand die zich in elk geval kan identificeren als de gebruiker gebruik maakt van een functie die juist bedoeld is om de telefoon te locken als die kwijt is.

In feite doet het systeem precies wat het moet doen.

t1mmy @Crazy4ever • 28 mei 2014 12:18

Als jij je sleutel in je deur laat zitten, is het dan de schuld van je huurcooperatie dat er ingebroken is in je huis?

Daarnaast, Apple is eerder gehackt geweest, dit hebben ze toegegeven.

[Reactie gewijzigd door t1mmy op 25 juli 2024 22:11]

xoniq @t1mmy • 28 mei 2014 12:31

Hangt er vanaf of de huurcorporatie voor jou de sloten heeft veranderd en 1 sleutel laat zitten na het testen .. Haha.

Maar dat valt niet onder inbraak, maar insluiping.

RemiR @Crazy4ever • 28 mei 2014 11:30

Niet logisch dat een bedrijf zich mag wapenen tegen dergelijke uitspraken wanneer daar geen hard bewijs voor is?

monojack @Crazy4ever • 28 mei 2014 13:39

Nee Apple ontkend dit om dat fout niet bij hen zal liggen.

Ze ontkennen niet dat er in Australië honderden iPhones zijn gehackt. Ze ontkennen dat dit te wijten zou zijn aan hun eigen beveiliging.

Het lijkt er dan ook gewoon op dat de hackers een bestand hebben gebruikt van mensen met ofwel zwakke wachtwoorden of mensen die overal op het internet dezelfde wachtwoorden gebruiken.

NotSoSteady @Crazy4ever • 28 mei 2014 11:41

Wel toevallig dat deze dan alleen interesse had in Australische gebruikers, blijf lekker theorieën verzinnen, gaat de rest van de wereld weer over tot de orde van de dag.

ameesters @NotSoSteady • 28 mei 2014 11:49

lees het artikel anders even:
"Inmiddels zijn er ook meldingen uit de VS, Canada en Nieuw-Zeeland."

NotSoSteady @ameesters • 28 mei 2014 11:54

Die 10 mensen uit het topic? Dit gebeurt dagelijks, alleen is Tweakers er nu weer extra veel aandacht aan het besteden omdat (Vorige week werd een kwetsbaarheid ontdekt in iTunes, zo berichtte Tweakers) ze hun eigen berichtjes weer willen promoten en aan iedereen laten zien hoe goed ze wel niet letten op onze privacy. Serieus, dit is een probleem van niks en gaat waarschijnlijk om wat gestolen wachtwoorden. Als er echt een serieus lek zou zijn geweest gaat hem niet om een aantal pagina's van klachten. Het niveau van de gebruikers die in de problemen zijn gekomen ligt zo te zien ook wel erg hoog, weer een storm in een glas water.

[Reactie gewijzigd door NotSoSteady op 23 juli 2024 17:49]

Padje @Crazy4ever • 28 mei 2014 17:40

En nu ontkend Apple dit om geen gezichtsverlies te lijden? ...

Als er in Australië tegelijk honderden meldingen binnenkomen met hetzelfde bericht en ze zijn verbonden met iCloud zal er toch iets aan de hand zijn. Mischien een Man in the Middle die de wachtwoorden opving tussen de iCloud server en de gebruikers?

Een MITM is het zeer zeker niet geweest eerder een database met emailadressen en login gegevens die is buit gemaakt die heel toevallig ook eindigde op (@me.com) en hetzelfde password hadden ingesteld.

timselier 28 mei 2014 11:29

(speculatief:) Misschien zijn de wachtenwoorden van de gebruikers onderschept m.b.v. deze kwetsbaarheid?: nieuws: Wachtwoorden iTunes-gebruikers blijken relatief eenvoudig te onderscheppen

Maurits van Baerle @timselier • 28 mei 2014 11:35

Dat is niet erg waarschijnlijk omdat het dan overal zou moeten gebeuren, niet alleen in Australië.

timselier @Maurits van Baerle • 28 mei 2014 11:45

Zeker: het is inderdaad een erg onwaarschijnlijk scenario. Echter dat dit lokaal gebeurt zou er wel op kunnen wijzen dat deze mensen op dezelfde, lokaal gebaseerde, manier zijn "gehackt". Dat kan zijn een malafide werknemer bij een ISP, MITM-wifi spots maar waarschijnlijker een malafide website waar mensen zich registreren met het wachtwoord dat ze overal gebruiken

Robtimus @Maurits van Baerle • 28 mei 2014 11:42

Het gebeurt ook in de VS, Canada en Nieuw Zeeland. Dat staat letterlijk in het nieuwsbericht.

Maurits van Baerle @Robtimus • 28 mei 2014 11:47

Er zijn enkele gevallen bekend buiten Australië maar de eerste gevallen en verreweg de meerderheid is in Australië. Dat suggereert dat er een lokale gemene deler tussen deze mensen is.

Die paar gevallen buiten Australië kunnen prima Australische expats zijn die op een Australisch forum actief zijn geweest of nog een Australisch email account hebben.

raro007 @Maurits van Baerle • 28 mei 2014 11:40

Mischien woont die hacker in Australië en heeft de lokale Internet cafe gebruikt?(of een reisje naar die cafés)

madbwr

@Maurits van Baerle • 28 mei 2014 13:19

"Inmiddels zijn er ook meldingen uit de VS, Canada en Nieuw-Zeeland."

ZpAz

Apple
Apple iPad

28 mei 2014 11:27

Het is inderdaad gewoon mogelijk dat de betreffende gebruikers geen sterk wachtwoord hebben ingevuld.

eM. @ZpAz • 28 mei 2014 11:28

Ja, of dat de wachtwoorden via een ander kanaal zijn ontvreemd.

nils7 @eM. • 28 mei 2014 11:31

Ebay?

Ossjee @nils7 • 28 mei 2014 11:33

Op pastebin staan 1500 gelekte / gehackte Apple id. Gegevens

NSG @Ossjee • 28 mei 2014 20:21

Uit die dump op pastebin blijkt als snel dat het door phishing is verkregen, ruim de helft bevat géén email maar iets als 'fuckyou', ingevuld door mensen die door hadden dat het phishing is.. Verder staan heel veel adressen dubbel, het zijn er echt geen 1500.

Ninjetsu NL @Verwijderd • 28 mei 2014 14:18

Je weet toch dat linken naar warez niet is toegestaan op Tweakers...

EzMe @Ninjetsu NL • 28 mei 2014 15:19

Dat zijn ook geen warez

( http://en.wikipedia.org/wiki/Warez )

RemcoDelft @nils7 • 28 mei 2014 11:40

De eBay-passwords waren encrypted, maar het lijkt me best mogelijk om eenvoudige wachtwoorden bruteforce te achterhalen als je de encrypted versie in handen hebt.
Combineer dat met mensen die hetzelfde wachtwoord voor meerdere dingen gebruiken, en het zou zomaar kunnen.

xoniq @RemcoDelft • 28 mei 2014 12:26

Hangt van de encryptie af en wat voor soort wachtwoord gebruikt. Een woord uit het woordenboek is natuurlijk makkelijker te kraken dan een 'random' string. Bij de random string doet de lengte van het wachtwoord er ook nog toe.

actionInvoke @xoniq • 28 mei 2014 13:02

De beste beveiliging is gewoon een zin. Makkelijk te onthouden, bijna onmogelijk om te kraken. Het is aan te raden om meerde woorden gescheiden dmv spaties te gebruiken. Dictionary attacks zijn dan zeer moeilijk. Een random string is niet onthoudbaar voor mensen.

B.v. *De Kat Krabt de Krullen van de trap23*

https://howsecureismypassword.net/
http://www.passwordmeter.com/

analogworm @actionInvoke • 28 mei 2014 13:29

Hoppa, leesvoer!
http://arstechnica.com/se...ecame-a-password-cracker/
http://arstechnica.com/se...at-out-of-your-passwords/

Stravincy @actionInvoke • 28 mei 2014 13:30

Vele sites hebben helaas nogsteeds een max aantal tekens voor wachtwoorden.

Armin

Netwerk en systeembeheer

@Stravincy • 28 mei 2014 20:16

Langer dan 20 heeft dan ook meestal geen zin omdat het onderliggende hash-algorithme vaak SHA1 (160 bits = 20 tekens) is.

Iets van 12 a 16 tekens is ruim voldoende mits random genoeg. Boven de 12 tekens wordt 'randomness' de zwakke schakel, en veel minder de lengte.

Let wel, meer is altijd goed, maar pas op dat je geen patronen gaat gebruiken, want dan maak je je wachtwoord juist onveiliger ondanks de lengte

monojack @actionInvoke • 28 mei 2014 13:34

Maar als je diezelfde zin overal gaat gebruiken heb je wederom een slecht paswoord. Het beste is gewoon een password manager want hoe ga je 50 zinnen onthouden en ook nog eens weten bij welke site ze horen?

SED @monojack • 28 mei 2014 13:52

dan koppel je de zin aan een door jezelf bepaald deel van de betreffende website.

voorbeeld.
DKKDKVDTtweak.net

[Reactie gewijzigd door SED op 25 juli 2024 22:11]

bogy @SED • 28 mei 2014 14:58

dan koppel je de zin aan een door jezelf bepaald deel van de betreffende website.

voorbeeld.
DKKDKVDTtweak.net

in dit geval gebruik je nog steeds 1 pass voor al je logins...

DkkdkvdTweak.net
dkkdkvdnu.nl
dkkdkvdfok.nl
dkkdkvdgamer.nl ...

dat is dus géén veiliger manier van werken dan gewoon 1 pass voor al je sites ...

SED @bogy • 28 mei 2014 15:00

Nee dat zijn volkomen verschillende passwords.. en die leveren ook allemaal volkomen andere hashes op!
Geen idee waarom je denkt dat die hetzelfee zijn trouwens?
Niemand kent immers je logica en die is volstrekt willekeurig te bedenken. eerste deel van site of eerste en laatste letter of... etc etc..

[Reactie gewijzigd door SED op 25 juli 2024 22:11]

WouterG @SED • 28 mei 2014 15:35

Ja, ze geven inderdaad verschillende hashes en toch niet veilig. Mochten er ooit passwords plain-text lekken naar internet dan is het vrij eenvoudig om op andere sites de wachtwoorden aan te vullen met de benodigde informatie.

SED @WouterG • 28 mei 2014 19:21

en dan ziet iemand aan een wachtwoord meteen de bedachte logica? Nee, onzin. En plaintext passwords ontstaan niet zomaar.

Nee, dit is een erg veilige oplossing en veel beter dan allerlei alternatieven. Of nog beter je moet lastpass gebruiken.

Finraziel

@SED • 28 mei 2014 17:51

Dat klopt, de hash is compleet verschillend, maar weet jij van elke site waarop je zo'n wachtwoord gebruikt 100% zeker dat de wachtwoorden gehashed worden? Er hoeft er maar 1 te zijn die het toch ergens als plain text heeft staan en het is makkelijk te raden wat je wachtwoord op andere sites zal zijn.
Maar er zal toch zeker niemand meer zo stom zijn om passwords in plain text op te slaan? Right? Never underestimate human stupidity! Geloof me, het komt nog steeds voor...

SED @Finraziel • 28 mei 2014 19:22

dat voorbeeld van eerst en laatste karakter van een website zie je meteen?? Nee, hackers zijn geen helderzienden hoor

Finraziel

@SED • 28 mei 2014 20:36

Nee, die niet inderdaad, maar je eerdere voorbeeld was een stuk doorzichtiger.

Armin

Netwerk en systeembeheer

@SED • 28 mei 2014 20:01

Nee dat zijn volkomen verschillende passwords.. en die leveren ook allemaal volkomen andere hashes op!

Dat maakt niet uit, want hashes worden berekend.

Zodra dkkdkvdnu.nl uitgelekt is, kun je er donder op zeggen dat de hackers bij de volgend ekraak ook dkkdkvdfok.nl gaan proberen indien de website FOK was.

Patronen zijn ALTIJD gevaarlijk, want wat jij bedenkt hebben duizenden andere ook al bedacht.

BlackOwl @SED • 29 mei 2014 04:58

Normaal moet ook 2 keer hetzelfde password 2 volledig verschillende hashes opleveren, daar is de salt voor.

https://crackstation.net/hashing-security.htm

To Store a Password
1 Generate a long random salt using a CSPRNG.
2 Prepend the salt to the password and hash it with a standard cryptographic hash function such as SHA256.
3 Save both the salt and the hash in the user's database record
.
To Validate a Password
1 Retrieve the user's salt and hash from the database.
2 Prepend the salt to the given password and hash it using the same hash function.
3 Compare the hash of the given password with the hash from the database. If they match, the password is correct. Otherwise, the password is incorrect.

[Reactie gewijzigd door BlackOwl op 25 juli 2024 22:11]

? ? @bogy • 28 mei 2014 16:03

Jawel, omdat je je hiermee kan verschuilen in de massa.

Als er zulk een patroon in je wachtwoord zit, moet een mens dat patroon ontdekken. De kans dat dat gebeurt, in een lijst van heel veel wachtwoorden, is 0%

Je zou ook een jaartal kunnen nemen, bv het jaar waarin je de account aanmaakt. Het moet al een slimme hacker zijn om zo'n patroon te ontwarren! Simpele truc, maar het werkt wel.

Padje @? ? • 28 mei 2014 16:48

Jawel, omdat je je hiermee kan verschuilen in de massa.

Als er zulk een patroon in je wachtwoord zit, moet een mens dat patroon ontdekken. De kans dat dat gebeurt, in een lijst van heel veel wachtwoorden, is 0%

Je zou ook een jaartal kunnen nemen, bv het jaar waarin je de account aanmaakt. Het moet al een slimme hacker zijn om zo'n patroon te ontwarren! Simpele truc, maar het werkt wel.

Slimme hacker? Als je password doormiddel van phishing is buit gemaakt hoe veilig ben je dan? Of als je password als plaintext ergens in een forum database is opgeslagen? Of als een van je passwoordjes is gelogd doormiddel van een keylogger? Ben je dan als nog veilig? Nee dan ben je namelijk niet veilig.

Is het veiliger dan 1 en hetzelfde password gebruik. Ja absoluut maar veilig is het natuurlijk niet het scheelt wel iets.

? ? @Padje • 28 mei 2014 16:51

Ik ga al mijn wachtwoorden voorzien van uppercase à. Alleen moet ik nog eens uitzoeken hoe ik dat kan typen op mijn keyboard

Na het lezen van de gelinkte artikels (hierboven), is het eigenlijk enkel aan te raden een volledig random gegenereerd wachtwoord te kiezen + een boekje om het op te schrijven

Tja, het is altijd wel wat...

Padje @? ? • 28 mei 2014 17:12

Ik gebruik deze methode van jouw overigens ook enkel voor de niet kritische wachtwoorden dan...
Voor eBay, PayPal en Gmail heb ik compleet verschillende sterke wachwoorden ingesteld.

Je zou ook eens kunnen kijken naar Lastpass dit werkt ook onwijs goed en veilig.

? ? @Padje • 28 mei 2014 17:14

unicode to the rescue ᐫᔜᐚᎹ
even kijken of tweakers een unicode wachtwoord aanvaard

edit: jawel! spijtig genoeg geen unicode usernames

Dit karakter wordt mijn nieuwe favoriet: ൊ

[Reactie gewijzigd door ? ? op 25 juli 2024 22:11]

SoloH @? ? • 28 mei 2014 20:40

1password?

Armin

Netwerk en systeembeheer

@? ? • 28 mei 2014 20:02

een mens dat patroon ontdekken. De kans dat dat gebeurt, in een lijst van heel veel wachtwoorden, is 0%

De computers die die mensen (hackers) gebruiken hebben er echter geen probleem mee...

Armin

Netwerk en systeembeheer

@actionInvoke • 28 mei 2014 20:06

Een random string is niet onthoudbaar voor mensen.

Onzin, niet meteen binnen 10 seconden, maar zelfs een random 16 tekens string is moeiteloos te onthouden voor de meeste mensen na een paar keer oefenen.

Maar hoeft gelukkig ook niet, want je kunt het ook gewoon opschrijven in een klein boekje, of een password manager gebruiken.

Zinnen zijn onpraktisch, want in veel gevallen is het aantal tekens beperkt, en bovendien hebben een groot gevaar van patronen waardoor ze veel zwakker zijn dan lijkt op basis van de lengte. Alles wat een mens makkelijk vindt, hoe lang ook, heeft namelijk doorgaans een patroon.

Ik zal de eerste zijn in toegeven dat dat beter is dan een woordenboek woordje met een cijfer erachter, maar ik denk niet dat het een goed advies is, want het gaat namelijk volledig voorbij aan hoe hackers passworden kraken. De lengte alleen is geen afdoende bescherming.

eM. @nils7 • 28 mei 2014 11:34

Tja, keyloggers, gehackte webshops of websites etc. Kan natuurlijk van alles zijn; mensen gebruiken vaak overal dezelfde wachtwoorden.

[Reactie gewijzigd door eM. op 25 juli 2024 22:11]

Maurits van Baerle @nils7 • 28 mei 2014 11:59

Mijn gevoel zegt dat het niet eBay is geweest. Dan waren er waarschijnlijk veel meer slachtoffers gevallen en meer verdeeld over de hele wereld. Bovendien is er bij eBay veel gelekt maar waren de passwords encrypted.

Het lijkt mij een Australisch bedrijf/site die minder goed beveiligd was. Er is zelfs best kans dat dat bedrijf zelf nog niet door heeft dat er gegevens gestolen zijn.

dimitrimissinne 28 mei 2014 11:37

Om eerlijk te zijn maak ik mezelf voor bepaalde toepassingen ook schuldig aan het gebruik van hetzelfde emailadres en wachtwoord. Het is uiteraard gemakkelijk maar allesbehalve veilig. Ik moet hier eens dringend werk van maken.

Het lijkt me dan ook sterk dat dit inderdaad niets met Apple te maken heeft. Die paswoorden kunnen op x aantal manieren ontvreemd zijn. En aangezien het hoofdzakelijk in Australië voorkomt ligt het antwoord waarschijnlijk daar ergens.

BRAINLESS01 @dimitrimissinne • 28 mei 2014 11:51

Ik vind dat bedrijven eens moeten stoppen met overal maar accounts voor aanmaken. Ik heb een ipad (niet vrijwillig, lang verhaal), maar ik zit helemaal niet te wachten op een Apple account. Ik wil gewoon gebruik kunnen maken van het apparaat en apps installeren ZONDER vast te zitten aan weer een username + wachtwoord. Nu moet ik voor het installeren van apps iedere keer mijn wachtwoord raden, logisch dat mensen hetzelfde wachtwoord dubbel gaan gebruiken.

edit:
typo

[Reactie gewijzigd door BRAINLESS01 op 25 juli 2024 22:11]

kamerplant @BRAINLESS01 • 28 mei 2014 12:05

Een app zou toch moeten worden betaald, dus zijn betalingsgegevens nodig én dus een eigen account. Dan zou je kunnen zeggen hier een uitzondering te maken voor gratis apps. Maar dat is natuurlijk niet in het belang van Apple en de App developers: Het zou een te grote drempel opwerpen om een betaalde App aan te schaffen.

Helaas dus. Alternatief is om zo veel mogelijk gebruik te maken van een uniforme login, zoals inloggen via Facebook. Maar daar worden privacy fans weer niet zo gelukkig van

ronaldmathies @kamerplant • 28 mei 2014 13:00

Ik weet niet hoe het bij de play store is maar bij icloud hoef je niet een email adres van apple te gebruiken, je kan ook gewoon een account aanmaken met je gmail adres. Dus op dat punt ben je niet gebonden.

Icloud zelf is gewoon noodzakelijk om je creditcard gegevens en je aankoop historie in bij te houden.

BRAINLESS01 @kamerplant • 28 mei 2014 13:43

Maar waarom heb ik voor betalingen een account nodig? Het is niet alsof ik een adres moet invullen waar de app naartoe gestuurd wordt, het gaat alleen om een betaling. Er zijn ook genoeg webwinkels waar ik kan betalen zonder account (en waar ik dus iedere keer mijn adres zou moeten invullen).

Zoals ronaldmathies aangeeft houden ze wel je aankoop historie bij (zodat je op een volgend/ander apple apparaat je gekochte apps weer kunt installeren), maar dit moet toch ook zonder account kunnen? Er zijn al genoeg dingen waar ik uniek mee te identificeren ben, wat is de toegevoegde waarde van een Apple account voor de gebruiker?

kamerplant @BRAINLESS01 • 28 mei 2014 14:15

Als je eenmaal een Apple ID hebt zul je sneller gebruik maken van andere Apple diensten zoals het doen van aankopen. Het iedere keer invullen van je adres- en betalingsgegevens of iedere keer inloggen via iDeal is een drempel. Even je wachtwoord intikken waarna een automatische afschrijving van een eurotje plaatsvindt is een minimale drempel. Het laag houden van deze drempel is een essentieel onderdeel van Apple's ecosysteem. En ja, daar hoort nou eenmaal eenmalig een wat hogere drempel bij.

OkselFris

Apple iPhone 5s
Apple iPad Air
Apple iPhone 5c

@BRAINLESS01 • 28 mei 2014 16:24

Ik vraag me dan af hoe men jou dan willen identificeren zonder dat iemand anders er dan makkelijk mee vandoor kan gaan. Val je toch heel snel terug op een account.

Een account heeft erg veel nut in gebruiksgemak.
Stel als je onder dat account een duizend nummers of films in de iTunes store hebt gekocht, en vele Apps voor je IOS of OSX apparaten? Toch wel erg makkelijk dat dit aan een account gekoppeld is. Daarnaast zitten er diensten aangekoppeld die dan direct weer een relatie hebben met aankopen, zoals iTunes match.

Bij die webwinkel koop je maar zeer incidenteel iets en artikelen die fysiek naar jou gestuurd worden, tja dan boeit een account niet. In dit geval koop je een product die je ten alle tijden weer kan ophalen.

TMC

Apple iPhone 5s
Apple iPhone 5c

28 mei 2014 12:54

Ik vind dit een slechte reactie van Apple. Zonder two-step authentication zou dit niet gebeurd, en drie keer raden welke dienst Apple in o.a. Nederland niet aanbiedt? Natuurlijk ligt de fout deels bij de gebruiker. Maar de gebruikers zijn gewoon gebruikers, geen experts op het gebied van beveiliging, en dat kan je ook niet van hen verwachten. Zeker als de oplossing zo makkelijk is en dat Apple dat bewust nalaat. Maar ach, het is 'maar' iCloud, de dienst waarmee nagenoeg alle privacy-gevoelige info gesynchroniseerd wordt. Dat behoeft geen extra aandacht ofzo.

[Reactie gewijzigd door TMC op 25 juli 2024 22:11]

NovapaX @TMC • 28 mei 2014 13:10

En hoe zou je die two-step authentication willen implementeren dan?
Door een sms-je te sturen naar de telefoon die je wilt blokkeren omdat hij kwijt is.
Of een mailtje... zelfde probleem, tenzij je toevallig je laptop bij je hebt.
Of naar de telefoon van een maat van je? Die je niet kunt bereiken.... omdat je telefoon kwijt is.

Deze dienst is er zodat je even via de iPhone/iPad van een ander, of een willekeurige computer met internetverbinding je telefoon kunt opzoeken en/of zo nodig blokkeren.
Two-step authentication zit daarvoor behoorlijk in de weg denk ik.

Ja... ik weet het, het zou gewoon gewoon beschikbaar moeten zijn voor degenen die het willen gebruiken. Maar het is echt niet de heilige graal ofzo. Ik hou het wel gewoon bij een goed uniek wachtwoord.

[Reactie gewijzigd door NovapaX op 25 juli 2024 22:11]

TMC

Apple iPhone 5s
Apple iPhone 5c

@NovapaX • 28 mei 2014 13:38

Two-step authentication is er gewoon in de VS, maar niet in Nederland (en andere landen). Dus het kan, maar Apple kiest er voor om dat (nog) niet overal te doen.

En het is wel de heilige graal, aangezien bijna alle 'hacks' (niet alleen die in dit nieuwsbericht staan) voorkomen hadden kunnen worden ermee.

OkselFris

Apple iPhone 5s
Apple iPad Air
Apple iPhone 5c

@NovapaX • 28 mei 2014 16:34

Bij 2 factor authenticatie heb je vaak nog een back-up code beschikbaar voor het geval dat je geen toegang tot de telefoon hebt. Kortom dat probleem hoeft er niet te zijn.

OkselFris

Apple iPhone 5s
Apple iPad Air
Apple iPhone 5c

@TMC • 28 mei 2014 16:38

De reactie van Apple is oké, alleen hadden ze inderdaad direct beter adviserend naar de gebruikers kunnen zijn, door 2 factor authenticatie te promoten, gezien deze daar gewoon beschikbaar is.
Laten we hopen dat ze dit naderhand nog doen, net zoals ze je vaak ook waarschuwen voor het invullen van de secret questions.

Dat ze 2FA nog niet overal aanbieden is inderdaad behoorlijk discutabel. Gefaseerd uitrollen is prima, maar het mag wel wat vlotter.

ongewoongewoon 28 mei 2014 11:30

Ik ben zeer benieuwd wat nou de oorzaak is. Keyloggertje ? Een hack op een website met database van derden ?

Mensen gebruiken nou eenmaal hun emailadres + een bepaald wachtwoord vaak voor meerdere diensten.

[Reactie gewijzigd door ongewoongewoon op 25 juli 2024 22:11]

Maurits van Baerle @ongewoongewoon • 28 mei 2014 11:34

Het is inderdaad opvallend, als er een centraal iets lek is of gehackt is zou het redelijk gelijk over de wereld verdeeld zijn.

Ik vermoed dat er een Australisch bedrijf of site gehackt is. Dan is het een koud kunstje om die username/password combo op een reeks online diensten uit te proberen, bij iCloud is de buit natuurlijk hoog.

Daarom raad ik mensen ook altijd aan nooit hetzelfde password voor verschillende sites te gebruiken. Zelfs één letter verschil maakt in een geval als dit al heel erg veel uit. Als jij tienduizenden username/password combo's buit hebt gemaakt en één entry werkt niet op een andere dienst dan ga je door naar de volgende entry, je gaat niet een password bruteforcen.

Verwijderd 28 mei 2014 11:42

tja, gehackt of niet, feit is dat er iemand vanaf afstand jouw apparaat kán "gijzelen" als ze je inloggegevens hebben.

t1mmy @Verwijderd • 28 mei 2014 12:21

Ja natuurlijk, via Find My iPhone. Dat is een feature. Hoe kunnen zij er rekening mee houden dat iemand zijn inloggegevens laat slingeren?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (113)

Sorteer op:

Weergave: