Nieuws

iPhone wachtwoord-app maak hackers leven zuur

zaterdag 3 maart 2012, 09:45 door Redactie, 11 reacties

Het Duitse Fraunhofer Instituut heeft een wachtwoord-app ontwikkeld die hackers het leven zuur moet maken. De iMobileSitter-app beheert alle toegangscodes, wachtwoorden en pincodes die gebruikers invoeren. Het gaat daarbij niet alleen om digitale wachtwoorden, maar ook om inloggegevens die niet vanaf de iPhone worden ingevoerd, maar die de gebruiker wel op zijn smartphone bewaart.

Als een aanvaller de iPhone in handen krijgt en een master-wachtwoord invoert, ongeacht of het correct of incorrect is, toont de app een legitiem lijkend wachtwoord of pincode. In het geval van bijvoorbeeld een viercijferige pincode, wordt een combinatie van cijfers tussen 0000 en 9999 getoond.

Schudden
"Dat betekent dat de hackers niet in staat zijn om te zien of hun poging succesvol was of niet. Het feit dat de aanval onsuccesvol was wordt pas duidelijk als de hacker een geldautomaat probeert en de pinpas wordt na drie foute pogingen geblokkeerd", zo meldt het persbericht. De echte eigenaar zou echter weten wanneer hij of zij het juiste master-wachtwoord heeft ingevoerd.

De app gebruikt willekeurige getallen voor de encryptie. Om die te genereren moet de gebruiker zijn iPhone schudden. "Eén schudbeweging en de toegangsgegevens van de iPhone-gebruiker zijn veilig, wat meestal slecht nieuws voor wachtwoorddieven is", aldus het instituut. De iMobileSitter-app kost vijf euro.

Voormalig CIA-baas: Stuxnet goed idee

KPN dicht lek in webhosting beheerpaneel

Reacties (11)

03-03-2012, 10:35 door Anoniem

Dat betekent dus dat het teruggegeven pincode-password gemiddeld gezien de eerste 3 keer niet de goede moet zijn. Want anders kunnen de iPhone/dieven het gewoon 3 keer proberen, en kunnen vervolgens gewoon geld opnemen.
Volgens mij zullen de meeste iPhone/bezitters niet blij zijn als ze gemiddeld 10 wachtwoorden moeten zien voordat de goede erbij zit. En dat betekent weer dat het niet gebruikt wordt, en heb je er niets aan...

03-03-2012, 16:05 door Anoniem

Door Anoniem: Dat betekent dus dat het teruggegeven pincode-password gemiddeld gezien de eerste 3 keer niet de goede moet zijn. Want anders kunnen de iPhone/dieven het gewoon 3 keer proberen, en kunnen vervolgens gewoon geld opnemen.
Volgens mij zullen de meeste iPhone/bezitters niet blij zijn als ze gemiddeld 10 wachtwoorden moeten zien voordat de goede erbij zit. En dat betekent weer dat het niet gebruikt wordt, en heb je er niets aan...

De beschrijving van de app is iets anders dan hier in het kort vermeld staat. De app toont een legitiem lijkende pincode of je nu het goede of het verkeerde wachtwoord hebt opgegeven. De finesse zit in "lijkend", want als het wachtwoord goed wordt ingegeven, dan wordt de juiste pincode getoond. En die is natuurlijk ook gelijkend. De eigenaar kan die pincode dus gelijk gebruiken.

Het probleem ontstaat als de gebruiker nogal eens een verkeerd wachtwoord intikt, omdat hij moeite heeft met het kleine toetsenbord van de iPhone. Dan moet hij dus heel goed opletten op wat hij intikt.

Peter

03-03-2012, 16:48 door Anoniem

Nee Anoniempje #1, ik denk (als ik het artikel goed lees ) dat die random codes alleen worden gegeven als je het verkeerde master password opgeeft. Ik verwacht dat als je de correcte hebt gebruikt dat dit niet geld en je altijd meteen de correcte krijgt. Het gaat erom dat je feedback bij ingave van een verkeerd master password dermate gelijkend is op een correcte actie dat je dus geen enkel benul hebt op een volledig waardeloze lijst met account gegevens...
Lijkt me een heel effectieve app!

03-03-2012, 17:07 door [Account Verwijderd]

[Verwijderd]

03-03-2012, 18:21 door Anoniem

Het idee is er al langer. Het was een klein apparaatje om pincode is op de slaan. Hier zat een soort master code op. Bij een juiste code werden de pincodes correct weer gegeven, anders werden er op de foutieve code gebaseerde pincodes getoond.
Top om dit in een app te verwerken. Nu nog voor Android

03-03-2012, 21:51 door Anoniem

Door joey van hummel:

Ik snap niet helemaal waar je hiermee heen wilt. Bovendien is het zo dat je, als je het juiste wachtwoord invoert, ook de juiste data terugkrijgt. Maar als je een verkeerd wachtwoord invoert, krijg je óók data terug, maar dan onjuiste. Hierdoor LIJKT het alsof de poging succesvol was, maar dat was deze niet. De hacker/scammer/skimmer/what-have-you denkt dan dat hij die pincode kan gebruiken maar de poging zal mislukken; de kwaadwillende gebruiker kan dan alleen nog maar 1) stoppen met proberen, of 2) doorgaan met een heel hoge kans dat hij de pinpas blokkeert

Ten eerste zal de kwaadwillende gebruiker er waarschijnlijk niet zo mee zitten als de pas blokkeert. Het is mooi als het wel lukt, maar het gaat hier om percentages. Bij welk deel van de pinpassen lukt het wel. Als dat binnen 3 pogingen voor 50% van de gevallen lukt, is dat een goeie business case voor iemand die kwaad wil.

Ten tweede, dat je toch data terugkrijgt (wat ik trouwens niet uit dit artikel kan lezen) is niet van belang voor het geval van pinpassen. Je krijgt een pincode terug, en probeert die gewoon op bijv. een geldautomaat. Dus als het fout is, probeer je het gewoon met de volgende pincode. Als de kans dat je binnen 3 keer de goede code hebt significant is (bijv. 50%) dan blijft het behoorlijk winstgevend, en dus blijft zo'n kwaadwillende gebruiker het volhouden.

Mijn idee is dus dat dit niet gaat helpen tegen pinpasfraude, tenminste o.b.v. het artikel zoals het hier staat.

04-03-2012, 15:54 door Anoniem

Ik heb geen idee waar jij die 50% kans vandaan haalt. Bij en random pincode is de kans maar 0.01% dat het de goede is. Bij 3 pogingen betekend het dat je een paar duizend keer een telefoon moet kraken en een paar duizend keer naar een pinautomaat moet lopen. Voor die moeite kun je beter een baan nemen.

04-03-2012, 18:20 door Anoniem

Door Anoniem: Ik heb geen idee waar jij die 50% kans vandaan haalt. Bij en random pincode is de kans maar 0.01% dat het de goede is. Bij 3 pogingen betekend het dat je een paar duizend keer een telefoon moet kraken en een paar duizend keer naar een pinautomaat moet lopen. Voor die moeite kun je beter een baan nemen.

In het artikel werd zoiets helemaal niet verteld. Ondertussen staan er hier nu wat andere commentaren die een andere kijk op deze app geven. Als je inderdaad een master-password intikt, en afhankelijk van de validiteit ervan de goede of foute pincodes toont, dan kan ik me voorstellen dat dit kan werken. Dat is een interessant concept. Maar uit het artikel had ik dat niet op die manier begrepen.

05-03-2012, 02:59 door Anoniem

En is de app ook zo gemaakt dat als je een verkeerde master key invult dat hij dan altijd random doet? Ik bedoel hiermee het volgende: Juiste master key = 1234. Juiste pincode: 4321. 1ste keer van de hacker pincode = 1111. Terug gegeven data = 9463. 2e keer = 1111. Terug gegeven data = 2657. Dan ziet de hacker wel meteen dat het verkeerd is. Is het dan nog heel veilig?

05-03-2012, 11:02 door Anoniem

Het lijkt me dat de master key gebruikt wordt voor het decoderen. Met de juiste master key, krijg je dus de juiste pincode. Met (onjuiste) master key aaaa, krijg je dan (onjuiste) pincode xxxx, altijd. Voor iemand die de juiste master key niet kent, is een onjuiste master key dus pas herkenbaar als de (onjuiste) pincode inderdaad onjuist blijkt te zijn. Dan zal hij een andere master key proberen, en zien dat die ook een (andere) pincode oplevert. Dan ziet hij dat elke master key een pincode oplevert, ipv dat een foute master key helemaal geen pincode oplevert, en begrijpen dat hij hier nooit binnen een beperkt aantal pogingen een correcte pincode uit zal halen.

11-03-2012, 14:16 door vlavlip

"Ik verwacht dat als je de correcte hebt gebruikt dat dit niet geld en je altijd meteen de correcte krijgt."
Natuurlijk. Dat is geen verwachting, maar zekerheid (als er niet iets stuk is ofzo, natuurlijk).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer