Anti-virusbedrijf: beveiligingsvragen Apple nog steeds hopeloos
De beveiligingsvragen die Apple aan gebruikers stelt die een Apple ID aanmaken zijn, twee weken na het recente incident waarbij foto's van allerlei beroemdheden uit de iCloud werden gestolen, nog steeds hopeloos, zo stelt Sean Sullivan van het Finse anti-virusbedrijf F-Secure.
In het geval gebruikers hun wachtwoord vergeten kunnen ze die via de beveiligingsvragen resetten. Hiervoor stelt Apple drie beveiligingsvragen, zoals het favoriete kinderboek, de naam van het eerste huisdier, de eerste film die men in de bioscoop zag, naam van het eerste gekochte album en naam van het favoriete sportteam. "Het probleem is overduidelijk", zegt Sullivan. "De vragen zijn veel te subjectief en anders gebaseerd op eenvoudig te achterhalen informatie."
Bij het onderzoek naar het iCloud-incident stelde Apple dat de aanvallers mede dankzij de beveiligingsvragen toegang tot de accounts wisten te krijgen. Sullivan adviseert Apple-gebruikers dan ook om bij de beveiligingsvragen onzin in te voeren. Een advies dat eerder al door beveiligingsgoeroe Bruce Schneier werd gegeven. Deze werkwijze kan echter ook voor problemen zorgen als gebruikers hun wachtwoord vergeten. Sullivan wijst dan ook naar een wachtwoordmanager voor het onthouden van wachtwoorden. "Hopelijk hoef je nooit je antwoord te gebruiken en zorg ervoor dat anderen dat ook niet kunnen."
Het hele idee achter die vragen is sowieso onzin. De enige manier om daar nog iets zinnigs van te maken is onzin invullen.
Overigens verbaast het me nog steeds dat bijv banken en verzekeringsmaatschappijen je geboortedatum als verificatie vragen als je hen opbelt.
Alsof dat nog geheim is.
Domme onderzoeker, natuurlijk moet je iets antwoorden wat niet het echte antwoord is.
Domme onderzoeker, natuurlijk moet je iets antwoorden wat niet het echte antwoord is.
Dat snappen wij, maar de gemiddelde gebruiker niet!
Domme onderzoeker, natuurlijk moet je iets antwoorden wat niet het echte antwoord is.
Juist - maar het nadeel daarvan is dat je precies moet documenteren wat je ook alweer bij welke vraag hebt ingevuld. Als je dat voor elke site goed bij kan houden dan ben je natuurlijk je wachtwoord ook nooit kwijt, toch?
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.