Apple’s tweestapsverificatie toch niet zo veilig

Apple's tweestapsverificatie blijkt niet zo veilig. Een hacker laat zien dat vijf diensten van Apple werken zonder de extra beveiliging.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

photosharing-icloudWat moet je doen als je je iTunes-account wilt beschermen? Tweestapsverificatie inschakelen natuurlijk! Het is het standaardadvies voor mensen die bang zijn dat hun iTunes-account, iCloud of Apple ID gehackt wordt. Dat Apple tweestapsverificatie beschikbaar stelt is een grote sprong vooruit. Maar 100% veilig is het niet.


Heb je eenmaal tweestapsverificatie ingericht, dan gebruikt Apple de combinatie van gebruikersnaam en wachtwoord en een vertrouwd apparaat (meestal een iPhone) om te bepalen of jij de werkelijke eigenaar bent. Apps van derden kunnen er ook gebruik van maken, maar je moet daarvoor wel een apart wachtwoord per app instellen. Het systeem werkt met een herstelcode die je veilig moet opbergen. Klinkt allemaal erg goed, maar volgens Dani Grant is het systeem niet erg consequent. In de blogposting ‘Why Two-Factor Authentication Isn’t Protecting Your Apple Account’ legt Grant uit dat veel apps die data met je iCloud-account uitwisselen geen gebruik maken van de tweestapsverificatie.

https://www.youtube.com/watch?v=IKKZfZUqk3I

Lees ook: Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID

Er zitten dus gaten in het systeem, notabene in Apple’s eigen diensten zoals iMessage, FaceTime en de App Store. Daarmee kun je inloggen zonder de tweestapsverificatie te moeten gebruiken.

Met alleen een wachtwoord kan ik me voordoen als iemand anders en een iMessage vanuit zijn/haar account sturen. Met alleen het wachtwoord kan ik iemands factuuradres, type creditcard, de vier laatste cijfers van de creditcard en het telefoonnummer in de iTunes-instellingen zien. Bovenaan die pagina staat trots ‘Secure Connection’.

Het is inmiddels vier maanden geleden dat Tim Cook beloofde dat de beveiliging van iCloud-accounts zou verbeteren, onder andere met waarschuwingen per e-mail als iemand op jouw account heeft ingelogd. Ook werd tweestapsverificatie voor iCloud ingevoerd, maar het geldt dus nog lang niet voor alle diensten. Vijf Apple-diensten zijn nog onbeschermd. Zo kun je op een onbekende Mac inloggen op iMessage, iTunes, FaceTime, de App Store en de Apple-website. Alleen bij FaceTime ontving Grant een e-mailnotificatie.

Lees ook: Bewaar de herstelcode van je Apple ID

Bij de naaktfoto’s van beroemdheden die via iCloud waren gelekt, was trouwens geen sprake van haperende tweestapsverificatie. Daar was een combinatie van phishing en het gebruik van gemakkelijk te raden wachtwoorden de vermoedelijke boosdoener. Bij bekende mensen kan het ook zijn dat de beveiligingsvragen (‘favoriete huisdier’, ‘achternaam van je moeder’) gemakkelijk te raden zijn.

Lees ook: Apple laat je app-specifiek wachtwoord voor iCloud instellen

Reacties: 4 reacties

  1. Wat ik zelf ook als probleem ervaar Is dat omdat je zo vaak moet inloggen met de id apps kopen enz. Je niet zo snel voor een sterk moeilijk wachtwoord gaat.
    Heb de mijne redelijk goed maar zou eigenlijk een extra zwaar wachtwoord willen gebruiken met verschillende soorten tekens en kaps maar dan moet je deze heel vaak intypen en op een iPhone Is dat niet echt handig.

    Het zou mooi zijn als m’n 1 password dit ook op de telefoon zou kunnen doen net als op osx.

  2. 100% veilig? bestaat dat eigenlijk wel?
    Je kan je best het zo goed mogelijk te beveiligen met lange moeilijke wachtwoorden en 2 traps enz. maar 100% is denk ik nooit haalbaar.

  3. De zwakste schakel in deze is altijd nog de mens. Zoals hierboven aangegeven gebruikt men het liefst een makkelijk wachtwoord omdat je het zo vaak moet ingeven. En niet iedereen heeft vingerafdruk mogelijkheden.

  4. Klopt niet helemaal ik en mijn ex krijgen wel een mailtje als we inloggen op imessage op een Mac! En dat al zeker 3 a 4 maanden!

Reacties zijn gesloten voor dit artikel.