Reacties voor: Gehackt iCloud-wachtwoord leidt tot 1 jaar compleet dataverlies
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Gelukkig heeft Google 2-step verification. Apple zou ook zoiets moeten toevoegen aan iCloud
Apple staat gebruik van symbolen niet toe, dat maakt een bruteforce aanval ook weer stukken simpeler.
Dat heb ik maandag ook gelijk ingesteld nadat er vanaf een chinees IP is geprobeerd in te loggen. Google heeft dit gelukkig gelijk geblokkeerd.
2-step verification zou een erg goede aanvulling zijn aan iCloud.
7 karakters maar? Ik gebruik er minstens 10 als ik een password maak.
@Bubbly: Wat bedoel je met symbolen? Ik heb in mijn wachtwoord geen letters, alleen cijfers en symbolen (denk daarbij aan bijvoorbeeld aan te tekens die oop op de cijfer toetsen staan zoals de @ en het #). Of bedoel je wat anders?
7 characters brute forcen? Dat is nog een hele klus.
Ook duurt dit lang aangezien elk wachtwoord naar de server van icloud gestuurd moet worden.
Stel:
-Zijn wachtwoord maakt alleen gebruik van kleine letters
-Zijn wachtwoord bevat geen cijfers of tekens
-Je kan 5 wachtwoorden per seconde checken
Dan zou je in totaal 26^7 = 8.031.810.176 wachtwoorden moeten proberen, oftewel, dat duurt 1.606.362.035 seconde oftewel, 51 jaar.
Ik geloof er dus niks van
Apple heeft echt een belachelijke beveiliging… Als men je e-mail hackt doordat je ooit ergens anders dezelfde wachtwoord hebt gebruikt (dat doen nog stees veel mensen) dan ben je sowieso je itunes account kwijt. Klik op wachtwoord vergeten en je krijgt een mail gestuurd om je wachtwoord te veranderen.
Als je dan een creditcard (of in de meeste gevallen click and buy) hebt staan op je account dan zal dat je erg duur komen te staan.
Apple moet zo snel mogelijk met mobiele verificatie komen.
Hier ook symbolen in m’n ww. Ik begrijp het probleem niet. Op welk niveau worden deze geweigerd?
Was geen brute force.
Deze meneer heeft de in-app buy hack gebruikt (van een paar weken terug), waardoor zijn wachtwoord in plain text is verstuurd en daardoor hijacked is.
Dus, helaas voor hem, zijn eigen schuld.
Waar lees jij dat? Ik haal dat niet uit het engelse artikel.
http://boards.4chan.org/g/res/26630201#p26631497
http://news.ycombinator.com/item?id=4338009
@Herp: Bedankt Herp.
Iets minder stellig dan jouw weergave doet vermoeden.
Vraagje: appstore id en icloud id zijn niet per definitie hetzelfde. En zoals ik het las, was dat in zijn geval ook niet.
Hoe moet ik het dan zien?
Wel een slechte zaak als een brute-force zou werken op iCloud. Zelfs mijn eigen amateuristisch opgezette servertje staat dat niet toe. Wanneer er 5 keer een verkeerd wachtwoord op een account wordt gebruikt wordt deze een kwartier afgesloten op basis van IP, met uitzondering van IP’s in een Whitelist om te voorkomen dat ik mezelf per ongeluk uitsluit. Met 5 pogingen per kwartier kom je met een brute-force nergens meer.
Gehackt worden is erg vervelend. Bij mis is het twee maanden geleden gebeurd. En is er voor 80 euro een in app purchase voor een spel gedaan. Uiteindelijk is alles netjes teruggedraaid. Maar dat duurde bij elkaar wel bijna een maand. Die 80 euro heb ik dus wel eerst betaald. Sindsdien heb ik gelijk al m’n wachtwoorden aangemaakt met keepassword. En is geen enkel wachtwoord het zelfde meer.
Het zijn niet dezelfde diensten maar ze maken wel gebruik van dezelfde inloggegevens, welke Apple de naam Apple ID meegeeft. Vergelijkbaar met een (Windows) Live ID dat Microsoft hanteert voor Outlook.com, Xbox, Hotmail en alle andere diensten.
Enige oplossing is 2 factor authentication. Het moet dan wel op zo’n manier geïmplementeerd worden dat je nog steeds een device kan wipen als het gecompromitteerd is.
Dus als mijn iPhone gestolen is, moet ik niet afhankelijk zijn van een sms naar die iPhone om hem te kunnen wipen. 🙂
Ik geloof er niks van dat zijn pass is gebruteforcet. Dat kan niet.
@Ruben.cc: Dan kom je met TOR natuurlijk al heel snel een heel eind 😉
Ik gebruik op mijn iphone/ipad een andere appstore id dan icloud id. Appstore id is gezamenlijk met 2 anderen en icloud is persoonlijk
Ben je bang dat je moeilijke wachtwoorden niet zult onthouden, dan zijn er gelukkig apps voor, zoals we in een eerder artikel hebben uitgelegd….
Maar als alles gewist word dan ben je toch ook je app met wachtwoorden kwijt ???? :/
Wat is n brute force hack? En hoe werkt dat? Dat zou meer duidelijkheid scheppen over, maar hoe dan? Artikel is hrlaas onvolledig..
@ginea: Brute-force betekend domweg alle mogelijke combinaties van karakters achter elkaar proberen. Eenvoudig gesteld laat je een programma bijvoorbeeld eerst A tot Z proberen, daarna AA tot AZ dan BA tot BZ etc. etc. Uiteraard is de daadwerkelijke implementatie wat uitgebreider en dit laat je vanzelfsprekend door een script doen en doe je niet handmatig.
Het trefwoord blijft hier natuurlijk “BACKUP”. Ik gebruik zelf ook zo’n app, namelijk 1Password. Synchroniseert al mijn wachtwoorden via DropBox op mijn iMac, iPhone en iPads. Maar uiteraard maak ik wel regelmatig een backup van het wachtwoorden-bestand op een USB stick aan mijn sleutelhanger.
Een bruteforce (=brute kracht) is gewoon alle mogelijkheden proberen die er zijn voor een wachtwoord, net zo lang tot je op het juiste wachtwoord stuit. Dus hoe langer je wachtwoord, hoe moeilijker te bruteforcen.
De mogelijkheden voor een wachtwoord bestaan uit alle kleine letters, alle hoofdletters, alle cijfers en alle speciale karakters.
Dus als je wachtwoord 8 karakters lang is. Dan zijn er
26 + 26 + 10 + 10 (ervan uitgaande dat er maar 10 speciale karakters zijn, wat natuurlijk niet klopt, er zijn er veel meer) = 72 karakters waaruit je pass kan bestaan. Bij normale ASCII-karakters is dat trouwens max 95 karakters in totaal (ff uit mn hoofd).
72 ^ 8 = 722.204.136.308.736 mogelijke wachtwoorden die je met die karakters kan maken.
Als je 1000 paswoorden per seconde kan checken, duurt dat dus maximaal 8358844,17024 dagen = ongeveer 22901 jaar om te kraken.
Tegenwoordig kan dat echter al veel sneller (denk aan miljoenen mogelijkheden per seconde), mits het kraken lokaal gaat. Het lijkt me 100% onmogelijk om dit over het web te bruteforcen.
Ik heb in ieder geval m’n Gmail en de GHS accounts op dubbele verificatie gezet. Was altijd huiverig, maar het wordt heel duidelijk uitgelegd. Applicatie-specifieke wachtwoorden zijn ook een uitkomst. Google heeft dit goed geregeld.
7 letters?
Gizmodo
In 1 keer geraden…
Hij beweert ook cijfers gebruikt te hebben:
G1zM0d0
En wie zegt dat zijn iCloud echt gehackt is eigenlijk? Had Apple ook nog niet een appeltje te schillen met deze meneer? 😛
@Ruben.cc: Apple heeft de rechten hiervoor niet. Zeker niet als er andere info op staat zoals zijn gmail wachtwoord.
Daarom een safe thuis maken. Op een aparte externe hard disk. Problem solft
Ik was steeds van plan om 1Password voor de Mac aan te schaffen alleen was het er nog niet van gekomen. En nu net zie ik dat de prijs €40 is geworden terwijl het eerst €20 was.
Hmmm, nog even kijken of er andere alternatieven zijn die ook goed werken.
Och, veel ophef maar waar gaat het eigenlijk over. Bovenal een probleem van BN’ers (of een Gizmodo-redacteur dan). Bij hen is het leuk een wachtwoord te kraken dus wordt de brute force machine aangezet. Maar die 99,99% overige simpele zielen, die komen echt niet aan de beurt. En dan nog, ik wens een hacker veel lol aan mijn email conversaties met m’n schoonzus uit Almere Haven. En de opgestuurde foto’s van tante Bets uit Benidorm, hij mag ze hebben en publiceren……
@Danielle: LastPass is een goed alternatief.
Bevalt mij goed op zowel iOS als ook laptop
@Edwin ®: Dankjewel voor de tip!
@Danielle: LastPass for Premium bedoel ik.
Dan voor je laptop de betaalde versie aanschaffen.
Voor mij een super combi gebleken.
Maar goed ook. Koop gewoon iAccounts voor 3,99 euro, inclusief Mac/Windows applicatie.
Die gebruik ik ook. Een top applicatie.
Sla mijn wachtwoorden en andere gevoelige informatie nooit op de Cloud. Lijkt mij gewoon niet betrouwbaar.
Gewoon backup via je pc is de beste en veiligste manier.
Als je een jaar aan fotoos en dergelijke kwijt bent, maak je dus geen backups,en dan mag je ook niet zeuren.
Zielig, echt triest voor hem.
‘t Is sneu… misschien wat vaker zijn eigen site lezen
Ach als je van het gemiddelde Gizmodo artikel uit gaat zal aan het bedenken van het wachtwoord ook wel niet veel intelligentie te pas zijn gekomen.
@Jasper:
Een bruteforce over 8 karakters is (veel) meer dan jouw uitleg!
Een karakter kan één van 256 ASCII tekens bevatten. Acht karakters is dus 256^8 combinaties. Oftewel ca. 1,8×10^19 combi’s. Dus een astronomisch aantal!
1 jaar data verloren?
Wat ne prutser!
Nog nooit van backup gehoord? Met time machine bvb…
Wat een uitkomst z’n TimeCapsule.
Iets over een klok en een klepel…
@iNick: lees mijn reactie nog eens goed. 🙂
Daarnaast kan het nooit uit 256 mogelijkheden zijn, dan heb je ook alle non-printable ASCII erbij. Met bijna álle programma’s (ook sites dus) die om passwords vragen kun je alleen de printable ASCII-karakters gebruiken, 95 stuks dus. Zelfs als je de extended ASCII gebruikt kom je aan 218 karakters max.
http://en.wikipedia.org/wiki/Password_strength
Precies! Bovendien kan je ook nog gebruik maken van enige “intelligentie” in je brute-force code. Zo zijn er bepaalde letters die in de Engelse taal vaker voorkomen dan anderen. Het is dus verstandig je brute-force script niet standaard van A-Z te laten lopen, maar prioriteit te leggen bij letters als E, A, R, I, O etc, welke nu eenmaal vaker gebruikt worden.
Maar hoe dan ook, het blijft aan het eind een hele reeks wachtwoorden om te proberen, dus ik blijf het eens met degenen die niet zo geloven in een brute-force attack. Ik denk zelf hooguit een dictionary-attack, gecombineerd met een simpele teller er achteraan, omdat het merendeel van de mensen toch een bestaand woord gebruiken als wachtwoord, gevolgd door een volgnummer of jaartal.
Gebruik dus een aantal woordenboeken en namenlijsten etc, gevolgd door volgnummers 00-99 en 1900-2012 en je hebt al een grote kans het wachtwoord te kraken.
Sowieso kan het geen brute force zijn, na 3 keer moet je je wachtwoord resetten, dacht ik.
@Jasper:
Je hebt gelijk voor wat betreft de non-printable karakters. Ik bedoelde ook meer dat de extended ASCII ook meegenomen moest worden, omdat dit aanzienlijk scheelt tgv exponenten. Ik las trouwens ‘x8’ in plaats van ‘^8’ bij jou, foutje van mij dus 😉
Nee maar wordt beetje mugge(n)ziften van mijn kant, mijn excuses.
Maar brute force kan m.i. inderdaad niet via een invoer met restricties (bijvoorbeeld max. 3 pogingen waarna vertraging intreedt). Deze gewoon dat de beste Gizmoman beetje onzorgvuldig is geweest met zijn wachtwoord(en).
Het blijkt nu te gaan om een “hack” via de Apple helpdesk. “Social Engineering”, ofwel; gewoon genoeg persoonlijke informatie over de persoon hebben om een helpdesk kunnen doen geloven dat jij de betreffende persoon bent.
Hoe zit dat eigenlijk met de backup van Apple zelf? Lijkt me toch dat Apple z’n dienst ook dubbel moet uitvoeren om “interne” problemen te kunnen opvangen?
Als dat wel geregeld is, zou dit door bovenstaande reden een geluk voor Mat kunnen zijn. Misschien dat Apple dan toch nog wat data kan terughalen?