Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
iCloud password: "Mac's", Macs!
05-10-2015, 11:59 door Anoniem, 5 reacties
Opmerkelijk; plots ongeldig iCloud password.
Is het iemand anders ook opgevallen dat Apple passwords die voorzien zijn van (o.a.) komma's, danwel enkele of dubbele aanhalingstekens, in de afgelopen tijd in stilte ongeldig lijkt te hebben verklaard?
Of gebruiken jullie standaard en alleen slechts letters en cijfers?
Had je dus een password voorzien van dergelijke tekens dan kon/kan je daar plots niet meer mee inloggen en ben je genoodzaakt de password reset procedure te volgen.
Of nooit meer in te loggen ;)
Bij het opnieuw aanmaken van een password en gebruik van komma's en of aanhalingstekens wordt dat in het eerste veld onder visuele teken-toelichting rechts met vele groene groene markeringen toegestaan.
Inmiddels wordt, overigens pas bij de tweede bevestigingsveld ineens in rood aangegeven dat het password ongeldige tekens bevat.
De toelichting om welke niet toegestane tekens het dan precies gaat ontbreekt.
Mijn (voorlopige) analyse is dat het in ieder geval om komma's en aanhalingstekens gaat, wellicht nog wel meer tekens; ervaring leert dat een euro teken, slash of dubbele punt ook nogal eens niet wordt geaccepteerd.
Test het zelf.
Hoewel het vermoedelijk voor de mogelijke kraakbaarheid van je iCloud password bijzonder meevalt, wordt in theorie de veiligheid van het password ermee verlaagd vanwege een verkleind aantal tekenkeuzemogelijkheden (de lengte van password even daargelaten).
Het is in ieder geval een beetje lastig om bij aangemaakte lange en gevarieerde passwords erachter te komen welke tekens daaruit ineens wel of niet worden geaccepteerd.
Er zijn overigens meer bedrijven die ondanks dat ze zeggen van wel toch niet alle karakters accepteren.
Heeft iemand een idee wat zou het nut kunnen zijn van het specifiek terugtrekken van bepaalde tekens voor dit vernieuwde passwordbeheer?
Nog meer tekens die niet geaccepteerd worden?
"Groet'n",
Is het iemand anders ook opgevallen dat Apple passwords die voorzien zijn van (o.a.) komma's, danwel enkele of dubbele aanhalingstekens, in de afgelopen tijd in stilte ongeldig lijkt te hebben verklaard?
Of gebruiken jullie standaard en alleen slechts letters en cijfers?
Had je dus een password voorzien van dergelijke tekens dan kon/kan je daar plots niet meer mee inloggen en ben je genoodzaakt de password reset procedure te volgen.
Of nooit meer in te loggen ;)
Bij het opnieuw aanmaken van een password en gebruik van komma's en of aanhalingstekens wordt dat in het eerste veld onder visuele teken-toelichting rechts met vele groene groene markeringen toegestaan.
Inmiddels wordt, overigens pas bij de tweede bevestigingsveld ineens in rood aangegeven dat het password ongeldige tekens bevat.
De toelichting om welke niet toegestane tekens het dan precies gaat ontbreekt.
Mijn (voorlopige) analyse is dat het in ieder geval om komma's en aanhalingstekens gaat, wellicht nog wel meer tekens; ervaring leert dat een euro teken, slash of dubbele punt ook nogal eens niet wordt geaccepteerd.
Test het zelf.
Hoewel het vermoedelijk voor de mogelijke kraakbaarheid van je iCloud password bijzonder meevalt, wordt in theorie de veiligheid van het password ermee verlaagd vanwege een verkleind aantal tekenkeuzemogelijkheden (de lengte van password even daargelaten).
Het is in ieder geval een beetje lastig om bij aangemaakte lange en gevarieerde passwords erachter te komen welke tekens daaruit ineens wel of niet worden geaccepteerd.
Er zijn overigens meer bedrijven die ondanks dat ze zeggen van wel toch niet alle karakters accepteren.
Heeft iemand een idee wat zou het nut kunnen zijn van het specifiek terugtrekken van bepaalde tekens voor dit vernieuwde passwordbeheer?
Nog meer tekens die niet geaccepteerd worden?
"Groet'n",
Reacties (5)
05-10-2015, 13:53 door
[Account Verwijderd]
[Verwijderd]
Is niet (om wat voor reden dan ook) de toetsenbordindeling toevallig enkel anders ingesteld, de meeste speciale tekens gedragen zich al snel anders (bijv. Engels-Britse indeling t.o.v. US-Internationaal) zo is de @ bij US-Int'l shift+2, maar bij de britse toetsenborden krijg je dan " ...
Door Anoniem: Is niet (om wat voor reden dan ook) de toetsenbordindeling toevallig enkel anders ingesteld, de meeste speciale tekens gedragen zich al snel anders (bijv. Engels-Britse indeling t.o.v. US-Internationaal) zo is de @ bij US-Int'l shift+2, maar bij de britse toetsenborden krijg je dan " ...
Nee dat is niet het geval.
Probeer het maar eens : Wie?
Mac topic starter
Het diepere probleem achter de komma ... ?
Gezien de weinige reacties tot nu toe, en iCloud gebruikers zijn er echt wel onder security.nl lezers, is het erg verleidelijk daaruit af te leiden dat het niemand is opgevallen,.. .
Omdat men gebruik maakt van simpeler passwords? (!)
Voor die gedachte valt op zich heel wat te zeggen.
Namelijk vanuit de praktische eenvoudiger 'onthoudbaarheid' van een password.
Het moet een beetje werkbaar blijven nietwaar?
Echter, naast het niet gebruiken van speciale tekens, vermoed ik dat de meerderheid dan ook geen gebruik maakt van het zogenaamde 'mispoes-geit-zonnepaneel-paperclip' principe en het wel eens heel veel slechter gesteld zou kunnen zijn met de password sterkte van de gemiddelde (i)Cloud gebruiker!
Zeg maar het algemene password probleem dat alles raakt waar een password voor nodig is.
De zwakte van iOS/Mac OS X of de gebruiker?
Doet het ertoe?
Nee, alleen de zwakste schakel telt uiteindelijk, niet de plek.
Toch is het goed te kijken naar waar mogelijke zwakke plekken aanwezig zijn.
Een eenvoudig iCloud password kraken / bemachtigen is toch een 'groot stukje' interessanter en eenvoudiger (bij zwakke passwords) dan het vervaardigen van malware voor Mac OS X en iOS.
Waarom moeilijk doen als het makkelijker kan?
Daar ligt (denk ik) het grote gevaar op de loer, security-breed zie je dat ook terug in de vorm van de populariteit van phishing en password diefstal boven het vervaardigen van malware (in ieder geval voor Apple producten).
Nouja, makkelijk te kraken iCloud passwords.
Hoe makkelijk is het dan?
Het aantal inlog-pogingen op iCloud is toch beperkt (?), en per Mac OS X 10.10.11 El Capitan kan je ook twee factor authenticatie instellen.
Tenminste als je al op Mac OS X El Capitan bent overgestapt en het dan ook nog hebt ingeschakeld.
Vanuit (gebrek aan) kennis van OS X en dan nog gewenste haast (snel gemak) kan ik me zo voorstellen dat veel gebruikers dat niet hebben ingesteld of maar achterwege laten, laat staan dat iedereen op het laatste OS X zit.
Eksterogen, eksterogen, ik ben er allerminst gerust op.
De (voorlopige) indicatie is er wat mij betreft.
Maar ja, hoe kom je er nu achter hoe het er werkelijk voor staat en wat is de werkelijke dreiging dan?
Voorlopige aanname / conclusie :
Verreweg de meeste iCloud gebruikers hebben eenvoudige passwords zonder gebruikmaking van speciale lettertekens met misschien daarbij gemakshalve geen twee factor authenticatie ingesteld omdat ze nog niet op Mac OS X El Capitan zijn overgeschakeld, niet bekend zijn met de functie of dit gemakshalve niet hebben ingeschakeld.
(behalve op security.nl natuurlijk ? ;)
Mac topic starter
Gezien de weinige reacties tot nu toe, en iCloud gebruikers zijn er echt wel onder security.nl lezers, is het erg verleidelijk daaruit af te leiden dat het niemand is opgevallen,.. .
Omdat men gebruik maakt van simpeler passwords? (!)
Voor die gedachte valt op zich heel wat te zeggen.
Namelijk vanuit de praktische eenvoudiger 'onthoudbaarheid' van een password.
Het moet een beetje werkbaar blijven nietwaar?
Echter, naast het niet gebruiken van speciale tekens, vermoed ik dat de meerderheid dan ook geen gebruik maakt van het zogenaamde 'mispoes-geit-zonnepaneel-paperclip' principe en het wel eens heel veel slechter gesteld zou kunnen zijn met de password sterkte van de gemiddelde (i)Cloud gebruiker!
Zeg maar het algemene password probleem dat alles raakt waar een password voor nodig is.
De zwakte van iOS/Mac OS X of de gebruiker?
Doet het ertoe?
Nee, alleen de zwakste schakel telt uiteindelijk, niet de plek.
Toch is het goed te kijken naar waar mogelijke zwakke plekken aanwezig zijn.
Een eenvoudig iCloud password kraken / bemachtigen is toch een 'groot stukje' interessanter en eenvoudiger (bij zwakke passwords) dan het vervaardigen van malware voor Mac OS X en iOS.
Waarom moeilijk doen als het makkelijker kan?
Daar ligt (denk ik) het grote gevaar op de loer, security-breed zie je dat ook terug in de vorm van de populariteit van phishing en password diefstal boven het vervaardigen van malware (in ieder geval voor Apple producten).
Nouja, makkelijk te kraken iCloud passwords.
Hoe makkelijk is het dan?
Het aantal inlog-pogingen op iCloud is toch beperkt (?), en per Mac OS X 10.10.11 El Capitan kan je ook twee factor authenticatie instellen.
Tenminste als je al op Mac OS X El Capitan bent overgestapt en het dan ook nog hebt ingeschakeld.
Vanuit (gebrek aan) kennis van OS X en dan nog gewenste haast (snel gemak) kan ik me zo voorstellen dat veel gebruikers dat niet hebben ingesteld of maar achterwege laten, laat staan dat iedereen op het laatste OS X zit.
Eksterogen, eksterogen, ik ben er allerminst gerust op.
De (voorlopige) indicatie is er wat mij betreft.
Maar ja, hoe kom je er nu achter hoe het er werkelijk voor staat en wat is de werkelijke dreiging dan?
Voorlopige aanname / conclusie :
Verreweg de meeste iCloud gebruikers hebben eenvoudige passwords zonder gebruikmaking van speciale lettertekens met misschien daarbij gemakshalve geen twee factor authenticatie ingesteld omdat ze nog niet op Mac OS X El Capitan zijn overgeschakeld, niet bekend zijn met de functie of dit gemakshalve niet hebben ingeschakeld.
(behalve op security.nl natuurlijk ? ;)
Mac topic starter
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.