Apple waarschuwt in iOS14 voor zwakke en gelekte wachtwoorden
Apple heeft een nieuwe feature aan iOS14 toegevoegd die gebruikers waarschuwt wanneer ze gebruikmaken van eenvoudig te raden wachtwoorden, hergebruikte wachtwoorden of wanneer een opgeslagen wachtwoord onderdeel van een datalek is geweest. Dat meldt 9to5Mac. Een nieuw menu genaamd Security Recommendations laat zien welke in de iCloud Keychain opgeslagen wachtwoorden risico lopen.
Het gaat dan bijvoorbeeld om wachtwoorden die door veel mensen worden gebruikt, en volgens Apple daardoor eenvoudig te raden zijn. Ook krijgen gebruikers een waarschuwing te zien wanneer een opgeslagen wachtwoord onderdeel van een datalek is. Gebruikers wordt vervolgens aangeraden het wachtwoord meteen te wijzigen. Tevens krijgen gebruikers een waarschuwing te zien wanneer ze van een "gecompromitteerd, hergebruikt wachtwoord" gebruikmaken.
Eerder kondigde Apple al aan dat Safari voor iOS14 en macOS Big Sur via "password monitoring" gebruikers zal waarschuwen wanneer in de browser opgeslagen wachtwoorden onderdeel van een datalek zijn geweest. Apple zegt dat het hiervoor naar een afgeleide van het wachtwoord kijkt en dat met een lijst van gelekte wachtwoorden vergelijkt, op een manier zodat het wachtwoord zelf niet bij Apple bekend wordt. Verdere details over de technische implementatie worden niet gegeven.
Google past echter een zelfde soort systeem toe. Wanneer gebruikers bij Chrome inloggen verstuurt de browser een "anonieme hash-prefix" van de inloggegevens naar Google. Vervolgens wordt in een database naar alle anonieme hash-prefixes gezocht die overeen komen met die van de gebruiker. Vervolgens wordt er lokaal op het systeem van de gebruiker naar de volledige hashes gekeken en welk wachtwoord hierbij hoort. Als laatste krijgt de gebruiker de waarschuwing te zien en het verzoek om zijn wachtwoord te wijzigen.
Verder natuurlijk een goede feature!
Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
Ze hebben nog een paar maanden,die fout te verhelpen.
Gehashte gestolen data, en daardoor gemakkelijk te herleiden naar echte data. Een snufje zout had e.e.a. lastiger kunnen maken maar de meeste van deze data is unsalted.
Klopt, het gaat erover dat Apple gestolen data gebruikt om hun klanten een betere keuze in wachtwoord te laten maken.
Als ik het ijzer gebruik van een fiets die gestolen is en door de schredder gegaan is blijft het gestolen ijzer.
Met de nodige moeite kan er best weer een fiets van gemaakt worden.
Als ik het ijzer gebruik van een fiets die gestolen is en door de schredder gegaan is blijft het gestolen ijzer.
Met de nodige moeite kan er best weer een fiets van gemaakt worden.
Het gaat hier in de meeste gevallen om hashes.
Dus zie het als een "foto" van een fiets, en apple vergelijkt of een foto van jouw fiets lijkt op een van die gelekte "foto's" om aan te geven dat je fiets mogelijk een gestolen fiets is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
