Apple vraagt je als gebruiker van iOS met enige regelmaat, bijvoorbeeld na een update van het besturingssysteem, om het wachtwoord van jouw Apple ID in te vullen. Daarbij staat meestal het mailadres dat bij jouw Apple ID hoort al ingevuld, maar niet altijd.

Juist omdat we dit van tot tijd moeten doen, is deze handeling iets waar de meesten van ons inmiddels waarschijnlijk nog nauwelijks bij stil zullen staan. En dat is de definitie van een uitgelezen kans voor mensen die zich met phishing bezig houden, want op zulke momenten vul je waarschijnlijk jouw wachtwoord in zonder er bij stil te staan of het wel echt Apple is die jou hier iets vraagt.



In het voorbeeld hierboven zie je dat het mogelijk is voor ontwikkelaars om een dialoog-venster te maken dat er exact zo uitziet als dat van Apple. In het voorbeeld hierboven moet de phisher al wel jouw mailadres weten, maar zelfs dat is niet strikt noodzakelijk. Want Apple heeft ook dialogen waarin je gevraagd wordt naar je wachtwoord zonder dat daar een mailadres bij staat, zoals je hieronder kan zien.



Wat kan je hier aan doen

We hopen natuurlijk allemaal dat Apple tijdens het goedkeuringsproces apps die dit soort geintjes uit willen halen er uit vist, maar Apple op de blauwe ogen geloven is in dit geval misschien niet de beste tactiek.

De simpelste manier om te weten te komen of het een dialoog-venster van Apple betreft, of van een (kwaadwillende) app, is door op de Home-knop te drukken. Een venster dat met een app geassocieerd zal dan samen met de app verdwijnen, een dialoog-venster van het systeem zelf zal bijven staan.

Verder is het een goed idee om twee-factor-authenticatie voor jouw Apple ID aan te zetten, daar maak je jouw account een stuk veiliger mee. Want zelfs als een phisher jouw mailadres en wachtwoord zou hebben, als twee-factor-authenticatie voor jouw Apple ID aanstaat dan kunnen ze nog niet bij jouw data. Lees wel eerst de informatie in de link hierboven goed door, want niet iedereen is even blij met twee-factor-authenticatie, want het is wel wat meer gedoe.

Het tweede wat je kan doen is voor jouw Apple ID geen wachtwoord gebruiken wat je elders ook gebruikt. Want mocht een phisher die combinatie in handen krijgen, dan kan je er vergif op innemen dat die combinatie op andere sites door bots uitgeprobeerd zal worden.

Tips voor een goed wachtwoord

Mocht je door alle wachtwoorden die je moet onthouden alleen maar sneller diezelfde wachtwoorden weer vergeten, dan hierbij een raad voor het goed kiezen van een wachtwoord. Een goed wachtwoord hoeft helemaal geen ingewikkelde combinatie te zijn van cijfers en letters, de lengte is veel belangrijker.

Het wachtwoord aPE8nEMpfv is bijvoorbeeld best veilig, maar voor de meesten van ons waarschijnlijk nauwelijks te onthouden. Maar het wachtwoord AppeltaartMetRozijnenIsHeerlijk, aangevuld met cijfers die alleen jou wat zeggen, is moeilijker te kraken, want nog langer. En voor de meesten van ons waarschijnlijk een stuk makkelijker te onthouden.

Wil je meer lezen over deze hack, de pagina van Felix Krause (de ontdekker) met alle details vind je hier. Daar vind je ook nog verdere aanvullende informatie over mogelijkheden om jezelf goed te beveiligen, hier hebben we alleen de oplossingen genoemd die wij je aanraden.



met dank aan forumlid 'cyrano' die als eerste deze hack op ons forum meldde

Bedankt voor deze waarschuwing, liever het zekere voor het onzekere!!!

 

Je gebruikt best zinnen, met spaties. Dat is makkelijker te tikken én te onthouden.

Vroeger kon dit niet voor een Apple account. Sinds de laatste revisie kan het wel. Apple heeft vziw niks aangekondigd, ik heb het ook maar per ongeluk gemerkt.

Degene die de wereld opgezadeld heeft met av(§k78-% paswoorden, heeft daar recent publiekelijk z'n excuus voor aangeboden...

(Bewerkt door cyrano om 21:52, 11-10-2017)

Robert om 15:13, 11-10-2017Verder is het een goed idee om twee-factor-authenticatie voor jouw Apple ID aan te zetten, daar maak je jouw account een stuk veiliger mee. Want zelfs als een phisher jouw mailadres en wachtwoord zou hebben, als twee-factor-authenticatie voor jouw Apple ID aanstaat dan kunnen ze nog niet bij jouw data. Lees wel eerst de informatie in de link hierboven goed door, want niet iedereen is even blij met twee-factor-authenticatie, want het is wel wat meer gedoe.

Wat ik velen zie doen, is falicant voor 2FA.

Als je telefoonnummer dat van je iphone is, ben je geen stap verder als je iphone gestolen wordt en de dief komt achter je Apple-ID paswoord. Die kan dan rustig via de cloud alles mee volgen.

En er zijn al mensen getroffen. Eentje, een journalist, heeft erover geschreven. Doordat hij assertief en alert reageerde en vooral, een goede relatie met z'n bankkantoor heeft, hebben ze zijn rekening niet geplunderd. Daar hadden ze de tijd niet voor. In zijn geval hadden de aanvallers op voorhand z'n gegevens verzameld en daarna hadden ze via telefoon bij z'n mobiele operator z'n nummer laten porteren. Het eerste wat hij merkte, was dat z'n iphone plots niet meer kon bellen.

De meeste mensen zouden die sprong niet maken, denk ik. Of toch niet binnen het uur, zoals hij.

Dan moet je even denken dat de gegevens van ongeveer de helft van de bevolking van de USA in de Equifax hack gekopieerd zijn. Incl. hun kredietwaardigheid. Handig, je sorteert die lijst top-down. Weet je meteen dat het de moeite loont, als inbreker.

Nou kan je wel denken "dat gebeurt hier niet". Dan heb je het nieuws over die camera van Action gemist?

"...is falicant voor 2FA", wat bedoel je daarmee?

Die 2FA berust op het gegeven dat iemand die kwaad wilt, twee zaken van jou moet hebben: het iCloud ww én een vertrouwd apparaat. Aan alleen bv. de iPhone heeft ie niks, en ook niet als persoon het iCloud ww heeft.
En dat maakt het voor zo'n iemand niet onmogelijk, maar wel veel moeilijker om in de iCloud te komen. Elke drempel op te werpen tegen malafide acties is goed, en 2FA is een stevige drempel.
Altijd doen, en laat je niet weerhouden door dit soort verhalen.

Tenzij, wat velen doen, de iphone het vertrouwd apparaat is...

2FA is goed. Het basis idee is simpel: verstuur de twee delen van een login over twee kanalen. De username via mail, het paswoord via SMS, bv. De kans dat een dief alletwee in handen krijgt, is miniem.

Dat doe ik al 20 jaar.

Maar 't loopt mis als mail en SMS op 't zelfde toestel toekomen en dat toestel gestolen wordt...

Het werkt wel als de Mac gestolen wordt, want dat is dan niet het vertrouwde toestel. Maar een Mac kan geen smsjes ontvangen, zonder iphone.

Wat ik bedoel is: 2FA wordt zo'n beetje voorgesteld als "de" oplossing. Dat is het niet.

Om dat redelijk veilig te maken, zou je een telefoonnummer nodig hebben dat je alleen voor 2FA gebruikt en voor de rest veilig weg bergt. Maar dat werkt niet voor de echt mobiele gebruiker, want dan ligt dat toestel thuis. Kan je pas als je weer thuis bent, paswoorden aanpassen e.d.

@ cyrano: volgens mij staat in wat jij schrijft een boel aannames, die ook nog eens niet waar zijn.

De code voor twee-factor-authenticatie hoeft bijvoorbeeld helemaal niet per SMS binnen te komen, dat gaat ook via het internet. Anders zouden iPads zonder SIM-kaart en Macs niet gebruikt kunnen worden, maar dat is niet waar.

https://support.apple.com/nl-nl/HT204915

Je kunt zelfs een gesproken tekst naar je landline (vaste telefoonlijn) laten sturen.

Maar ik denk dat Cyrano het principe van 2FA gewoon nog niet helemaal kan bevatten.

Of dat jullie het concept "voorbeeld" niet kunnen bevatten?

Als alles over 't net gaat, gaat 2FA niet veel opleveren. Die komt nl. bij iedereen terecht die je paswoord heeft en de password reset procedure weet te gebruiken (weeral, in dit voorbeeld). Het heeft niks met "veiligheidsvragen" te maken. Die zijn eerder een nadeel dan een voordeel.

Overigens is dit hetzelfde probleem als "met een VPN ben je safer". Je snapt het niet. Een VPN en 2FA zijn veiliger, mits goed gebruikt. Verkeerd gebruikt, zijn ze net het tegengestelde. En gezien het aantal frauduleuze VPN apps in de appstore (die nu verwijderd zijn, maar sommigen stonden er meer dan een jaar op en hadden tienduizenden downloads), weten we dat het misbruikt wordt.

En dat "goed gebruik" van 2FA is niet door de 2 factoren op één en 't zelfde apparaat te hebben.

Trouwens, hoeveel hier hebben de sleutel genoteerd bij 't eerste gebruik? Ik weet dat ik zelf schuldig ben, want ik moet af en toe de password reset procedure ook gebruiken. En dan wordt je je bewust waarom veel gebruikers het verkeerd doen.

Ten eerste is dat door de mythe "Met Apple kan 't niet verkeerd gaan" en ten tweede doordat Apple-ID security nog een lange weg af te leggen heeft. Maar daarvoor hebben we de "secure enclave" nodig. Leg dus al maar een budget opzij voor een iOS device met zo'n security processor.

Het gaat er ook om dat dit ene paswoord en die tweede factor samen, alles beveiligen. Al je paswoorden, want die zitten in de Cloud. En binnenkort ook je portefeuille.