image

Apple waarschuwt in iOS14 voor zwakke en gelekte wachtwoorden

maandag 6 juli 2020, 12:23 door Redactie, 9 reacties

Apple heeft een nieuwe feature aan iOS14 toegevoegd die gebruikers waarschuwt wanneer ze gebruikmaken van eenvoudig te raden wachtwoorden, hergebruikte wachtwoorden of wanneer een opgeslagen wachtwoord onderdeel van een datalek is geweest. Dat meldt 9to5Mac. Een nieuw menu genaamd Security Recommendations laat zien welke in de iCloud Keychain opgeslagen wachtwoorden risico lopen.

Het gaat dan bijvoorbeeld om wachtwoorden die door veel mensen worden gebruikt, en volgens Apple daardoor eenvoudig te raden zijn. Ook krijgen gebruikers een waarschuwing te zien wanneer een opgeslagen wachtwoord onderdeel van een datalek is. Gebruikers wordt vervolgens aangeraden het wachtwoord meteen te wijzigen. Tevens krijgen gebruikers een waarschuwing te zien wanneer ze van een "gecompromitteerd, hergebruikt wachtwoord" gebruikmaken.

Eerder kondigde Apple al aan dat Safari voor iOS14 en macOS Big Sur via "password monitoring" gebruikers zal waarschuwen wanneer in de browser opgeslagen wachtwoorden onderdeel van een datalek zijn geweest. Apple zegt dat het hiervoor naar een afgeleide van het wachtwoord kijkt en dat met een lijst van gelekte wachtwoorden vergelijkt, op een manier zodat het wachtwoord zelf niet bij Apple bekend wordt. Verdere details over de technische implementatie worden niet gegeven.

Google past echter een zelfde soort systeem toe. Wanneer gebruikers bij Chrome inloggen verstuurt de browser een "anonieme hash-prefix" van de inloggegevens naar Google. Vervolgens wordt in een database naar alle anonieme hash-prefixes gezocht die overeen komen met die van de gebruiker. Vervolgens wordt er lokaal op het systeem van de gebruiker naar de volledige hashes gekeken en welk wachtwoord hierbij hoort. Als laatste krijgt de gebruiker de waarschuwing te zien en het verzoek om zijn wachtwoord te wijzigen.

Reacties (9)
06-07-2020, 12:43 door Anoniem
Ik ben benieuwd of daar gebruik wordt gemaakt van de haveibeenpowned.com database.
Verder natuurlijk een goede feature!
06-07-2020, 12:51 door Anoniem
Apple maakt hiervoor dus gebruik van gelekte en gestolen data.
06-07-2020, 13:09 door Anoniem
Door Anoniem: Apple maakt hiervoor dus gebruik van gelekte en gestolen data.
Apple maakt dus geen gebruik van gestolen data, maar vergelijkt met die gestolen data! Dat is een enorm verschil!
06-07-2020, 14:20 door Anoniem
Door Anoniem:
Door Anoniem: Apple maakt hiervoor dus gebruik van gelekte en gestolen data.
Apple maakt dus geen gebruik van gestolen data, maar vergelijkt met die gestolen data! Dat is een enorm verschil!

Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
06-07-2020, 14:22 door Anoniem
Mooi. Zelfde aanpak als in Azure "Leaked Credentials Report" wordt gebruikt.
06-07-2020, 17:07 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Apple maakt hiervoor dus gebruik van gelekte en gestolen data.
Apple maakt dus geen gebruik van gestolen data, maar vergelijkt met die gestolen data! Dat is een enorm verschil!

Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
Je kan er van alles bij verzinnen, maar daar het hier niet over!
06-07-2020, 22:53 door Anoniem
Tja dan moeten ze er in de Final relaese wat aan gedaan hebben.
Ze hebben nog een paar maanden,die fout te verhelpen.
07-07-2020, 06:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Apple maakt hiervoor dus gebruik van gelekte en gestolen data.
Apple maakt dus geen gebruik van gestolen data, maar vergelijkt met die gestolen data! Dat is een enorm verschil!

Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
Je kan er van alles bij verzinnen, maar daar het hier niet over!

Klopt, het gaat erover dat Apple gestolen data gebruikt om hun klanten een betere keuze in wachtwoord te laten maken.

Als ik het ijzer gebruik van een fiets die gestolen is en door de schredder gegaan is blijft het gestolen ijzer.
Met de nodige moeite kan er best weer een fiets van gemaakt worden.
07-07-2020, 16:20 door Whacko - Bijgewerkt: 07-07-2020, 16:21
Door Anoniem:
Als ik het ijzer gebruik van een fiets die gestolen is en door de schredder gegaan is blijft het gestolen ijzer.
Met de nodige moeite kan er best weer een fiets van gemaakt worden.

Het gaat hier in de meeste gevallen om hashes.
Dus zie het als een "foto" van een fiets, en apple vergelijkt of een foto van jouw fiets lijkt op een van die gelekte "foto's" om aan te geven dat je fiets mogelijk een gestolen fiets is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.