Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
iCloud password: "Mac's", Macs!
05-10-2015, 11:59 door Anoniem, 5 reacties
Opmerkelijk; plots ongeldig iCloud password.
Is het iemand anders ook opgevallen dat Apple passwords die voorzien zijn van (o.a.) komma's, danwel enkele of dubbele aanhalingstekens, in de afgelopen tijd in stilte ongeldig lijkt te hebben verklaard?
Of gebruiken jullie standaard en alleen slechts letters en cijfers?
Had je dus een password voorzien van dergelijke tekens dan kon/kan je daar plots niet meer mee inloggen en ben je genoodzaakt de password reset procedure te volgen.
Of nooit meer in te loggen ;)
Bij het opnieuw aanmaken van een password en gebruik van komma's en of aanhalingstekens wordt dat in het eerste veld onder visuele teken-toelichting rechts met vele groene groene markeringen toegestaan.
Inmiddels wordt, overigens pas bij de tweede bevestigingsveld ineens in rood aangegeven dat het password ongeldige tekens bevat.
De toelichting om welke niet toegestane tekens het dan precies gaat ontbreekt.
Mijn (voorlopige) analyse is dat het in ieder geval om komma's en aanhalingstekens gaat, wellicht nog wel meer tekens; ervaring leert dat een euro teken, slash of dubbele punt ook nogal eens niet wordt geaccepteerd.
Test het zelf.
Hoewel het vermoedelijk voor de mogelijke kraakbaarheid van je iCloud password bijzonder meevalt, wordt in theorie de veiligheid van het password ermee verlaagd vanwege een verkleind aantal tekenkeuzemogelijkheden (de lengte van password even daargelaten).
Het is in ieder geval een beetje lastig om bij aangemaakte lange en gevarieerde passwords erachter te komen welke tekens daaruit ineens wel of niet worden geaccepteerd.
Er zijn overigens meer bedrijven die ondanks dat ze zeggen van wel toch niet alle karakters accepteren.
Heeft iemand een idee wat zou het nut kunnen zijn van het specifiek terugtrekken van bepaalde tekens voor dit vernieuwde passwordbeheer?
Nog meer tekens die niet geaccepteerd worden?
"Groet'n",
Is het iemand anders ook opgevallen dat Apple passwords die voorzien zijn van (o.a.) komma's, danwel enkele of dubbele aanhalingstekens, in de afgelopen tijd in stilte ongeldig lijkt te hebben verklaard?
Of gebruiken jullie standaard en alleen slechts letters en cijfers?
Had je dus een password voorzien van dergelijke tekens dan kon/kan je daar plots niet meer mee inloggen en ben je genoodzaakt de password reset procedure te volgen.
Of nooit meer in te loggen ;)
Bij het opnieuw aanmaken van een password en gebruik van komma's en of aanhalingstekens wordt dat in het eerste veld onder visuele teken-toelichting rechts met vele groene groene markeringen toegestaan.
Inmiddels wordt, overigens pas bij de tweede bevestigingsveld ineens in rood aangegeven dat het password ongeldige tekens bevat.
De toelichting om welke niet toegestane tekens het dan precies gaat ontbreekt.
Mijn (voorlopige) analyse is dat het in ieder geval om komma's en aanhalingstekens gaat, wellicht nog wel meer tekens; ervaring leert dat een euro teken, slash of dubbele punt ook nogal eens niet wordt geaccepteerd.
Test het zelf.
Hoewel het vermoedelijk voor de mogelijke kraakbaarheid van je iCloud password bijzonder meevalt, wordt in theorie de veiligheid van het password ermee verlaagd vanwege een verkleind aantal tekenkeuzemogelijkheden (de lengte van password even daargelaten).
Het is in ieder geval een beetje lastig om bij aangemaakte lange en gevarieerde passwords erachter te komen welke tekens daaruit ineens wel of niet worden geaccepteerd.
Er zijn overigens meer bedrijven die ondanks dat ze zeggen van wel toch niet alle karakters accepteren.
Heeft iemand een idee wat zou het nut kunnen zijn van het specifiek terugtrekken van bepaalde tekens voor dit vernieuwde passwordbeheer?
Nog meer tekens die niet geaccepteerd worden?
"Groet'n",
Reacties (5)
05-10-2015, 13:53 door
[Account Verwijderd]
[Verwijderd]
Is niet (om wat voor reden dan ook) de toetsenbordindeling toevallig enkel anders ingesteld, de meeste speciale tekens gedragen zich al snel anders (bijv. Engels-Britse indeling t.o.v. US-Internationaal) zo is de @ bij US-Int'l shift+2, maar bij de britse toetsenborden krijg je dan " ...
Door Anoniem: Is niet (om wat voor reden dan ook) de toetsenbordindeling toevallig enkel anders ingesteld, de meeste speciale tekens gedragen zich al snel anders (bijv. Engels-Britse indeling t.o.v. US-Internationaal) zo is de @ bij US-Int'l shift+2, maar bij de britse toetsenborden krijg je dan " ...
Nee dat is niet het geval.
Probeer het maar eens : Wie?
Mac topic starter
Het diepere probleem achter de komma ... ?
Gezien de weinige reacties tot nu toe, en iCloud gebruikers zijn er echt wel onder security.nl lezers, is het erg verleidelijk daaruit af te leiden dat het niemand is opgevallen,.. .
Omdat men gebruik maakt van simpeler passwords? (!)
Voor die gedachte valt op zich heel wat te zeggen.
Namelijk vanuit de praktische eenvoudiger 'onthoudbaarheid' van een password.
Het moet een beetje werkbaar blijven nietwaar?
Echter, naast het niet gebruiken van speciale tekens, vermoed ik dat de meerderheid dan ook geen gebruik maakt van het zogenaamde 'mispoes-geit-zonnepaneel-paperclip' principe en het wel eens heel veel slechter gesteld zou kunnen zijn met de password sterkte van de gemiddelde (i)Cloud gebruiker!
Zeg maar het algemene password probleem dat alles raakt waar een password voor nodig is.
De zwakte van iOS/Mac OS X of de gebruiker?
Doet het ertoe?
Nee, alleen de zwakste schakel telt uiteindelijk, niet de plek.
Toch is het goed te kijken naar waar mogelijke zwakke plekken aanwezig zijn.
Een eenvoudig iCloud password kraken / bemachtigen is toch een 'groot stukje' interessanter en eenvoudiger (bij zwakke passwords) dan het vervaardigen van malware voor Mac OS X en iOS.
Waarom moeilijk doen als het makkelijker kan?
Daar ligt (denk ik) het grote gevaar op de loer, security-breed zie je dat ook terug in de vorm van de populariteit van phishing en password diefstal boven het vervaardigen van malware (in ieder geval voor Apple producten).
Nouja, makkelijk te kraken iCloud passwords.
Hoe makkelijk is het dan?
Het aantal inlog-pogingen op iCloud is toch beperkt (?), en per Mac OS X 10.10.11 El Capitan kan je ook twee factor authenticatie instellen.
Tenminste als je al op Mac OS X El Capitan bent overgestapt en het dan ook nog hebt ingeschakeld.
Vanuit (gebrek aan) kennis van OS X en dan nog gewenste haast (snel gemak) kan ik me zo voorstellen dat veel gebruikers dat niet hebben ingesteld of maar achterwege laten, laat staan dat iedereen op het laatste OS X zit.
Eksterogen, eksterogen, ik ben er allerminst gerust op.
De (voorlopige) indicatie is er wat mij betreft.
Maar ja, hoe kom je er nu achter hoe het er werkelijk voor staat en wat is de werkelijke dreiging dan?
Voorlopige aanname / conclusie :
Verreweg de meeste iCloud gebruikers hebben eenvoudige passwords zonder gebruikmaking van speciale lettertekens met misschien daarbij gemakshalve geen twee factor authenticatie ingesteld omdat ze nog niet op Mac OS X El Capitan zijn overgeschakeld, niet bekend zijn met de functie of dit gemakshalve niet hebben ingeschakeld.
(behalve op security.nl natuurlijk ? ;)
Mac topic starter
Gezien de weinige reacties tot nu toe, en iCloud gebruikers zijn er echt wel onder security.nl lezers, is het erg verleidelijk daaruit af te leiden dat het niemand is opgevallen,.. .
Omdat men gebruik maakt van simpeler passwords? (!)
Voor die gedachte valt op zich heel wat te zeggen.
Namelijk vanuit de praktische eenvoudiger 'onthoudbaarheid' van een password.
Het moet een beetje werkbaar blijven nietwaar?
Echter, naast het niet gebruiken van speciale tekens, vermoed ik dat de meerderheid dan ook geen gebruik maakt van het zogenaamde 'mispoes-geit-zonnepaneel-paperclip' principe en het wel eens heel veel slechter gesteld zou kunnen zijn met de password sterkte van de gemiddelde (i)Cloud gebruiker!
Zeg maar het algemene password probleem dat alles raakt waar een password voor nodig is.
De zwakte van iOS/Mac OS X of de gebruiker?
Doet het ertoe?
Nee, alleen de zwakste schakel telt uiteindelijk, niet de plek.
Toch is het goed te kijken naar waar mogelijke zwakke plekken aanwezig zijn.
Een eenvoudig iCloud password kraken / bemachtigen is toch een 'groot stukje' interessanter en eenvoudiger (bij zwakke passwords) dan het vervaardigen van malware voor Mac OS X en iOS.
Waarom moeilijk doen als het makkelijker kan?
Daar ligt (denk ik) het grote gevaar op de loer, security-breed zie je dat ook terug in de vorm van de populariteit van phishing en password diefstal boven het vervaardigen van malware (in ieder geval voor Apple producten).
Nouja, makkelijk te kraken iCloud passwords.
Hoe makkelijk is het dan?
Het aantal inlog-pogingen op iCloud is toch beperkt (?), en per Mac OS X 10.10.11 El Capitan kan je ook twee factor authenticatie instellen.
Tenminste als je al op Mac OS X El Capitan bent overgestapt en het dan ook nog hebt ingeschakeld.
Vanuit (gebrek aan) kennis van OS X en dan nog gewenste haast (snel gemak) kan ik me zo voorstellen dat veel gebruikers dat niet hebben ingesteld of maar achterwege laten, laat staan dat iedereen op het laatste OS X zit.
Eksterogen, eksterogen, ik ben er allerminst gerust op.
De (voorlopige) indicatie is er wat mij betreft.
Maar ja, hoe kom je er nu achter hoe het er werkelijk voor staat en wat is de werkelijke dreiging dan?
Voorlopige aanname / conclusie :
Verreweg de meeste iCloud gebruikers hebben eenvoudige passwords zonder gebruikmaking van speciale lettertekens met misschien daarbij gemakshalve geen twee factor authenticatie ingesteld omdat ze nog niet op Mac OS X El Capitan zijn overgeschakeld, niet bekend zijn met de functie of dit gemakshalve niet hebben ingeschakeld.
(behalve op security.nl natuurlijk ? ;)
Mac topic starter
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
