Daarop staat "Minimaal 128-bits AES-codering", waarschijnlijk dus in de meeste gevallen minimaal 256-bits.
Jongens, het zal mij worst wezen, maar deze reactie bewijst hoe weinig je er van af weet.
AES256 is nl. niet beter dan AES128.
Er zijn nieuwere en betere encryptie methodes. Maar dat doet er niet echt toe. Wat er wel toe doet, is dat dat Apple artikel niet eens genoeg echte informatie bevat om je gerust te stellen, als je er iets van afweet.
AES128 lineair brute forcen gaat errrug lang duren. Reëel minstens tientallen jaren. Maar dat is niet de methode die gevaar oplevert. Wat wel gevaar oplevert, is een side-channel attack. Daarbij wordt de key niet gevonden door alle keys te testen. Wel door na te gaan hoe lang de processor er over doet om z'n berekeningen te doen. Daaruit worden een aantal potentiële keys geselecteerd. Daardoor moeten er geen 2 tot de 128ste meer getest worden, maar een paar duizend, mogelijk minder. Koppel dat aan de recente kwetsbaarheid in Intel processoren en je hebt een mogelijkheid.
Wat ik opmerkte is dat een aantal mensen beweren een werkende exploit voor o.a. icloud te koop te hebben. Ik weet ook niet of die werkt. Ik heb er geen 5.000$ voor over. Maar dat het kan werken, is een feit. Het enige wat ik niet weet, is in hoeverre dit praktisch haalbaar is vandaag. Wat elke security researcher wel weet, is dat wat vandaag niet kan, morgen misschien wel.
Wat ik wel weet, is dat er een aantal gevallen gerapporteerd zijn waar icloud gekraakt is. Dat afschuiven op de gebruiker die slechte paswoorden gebruikt, is makkelijk.
Ik geef even de raad van de laatste NIST richtlijnen:
- Stop it with the annoying password complexity rules:
Then prepare to handle passwords like: password1234 and 00000000
- Stop it with password expiration. [...] change their passwords unless there's indication of compromise.
The part about changing passwords when there are indications of pw compromise is sensible, assuming our detection of compromise methods are good.
I still have not seen a scientific objective research in this area that concludes changing a password on a periodic basis is superior to leaving the password unchanged. Or vice versa. To reach a conclusion without the supporting evidence is just claims supported by heuristic arguments; hardly a convincing claim. Treat the topic from a probabilistic perspective and make the calculations! One day, I will if no one in the academia is willing to treat this matter. Problem is I don't have the bandwidth. This could be a good dissertation topic in applied math or something...
- Let people use password managers.
"Encourage" is a more suitable verb, as no one has prevented humans from using password managers, or passphrase managers
van hier:
https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
En dat staat lijnrecht tegen Apple's paswoord eisen. Maak het makkelijk voor een gebruiker om z'n paswoord te onthouden. En dat doe je niet door leestekens, hoodletters e.d. verplicht te maken.