Hoe goed zijn iWork-documenten beveiligd bij Apple?
· Laatst bijgewerkt:
Apple geeft je sinds kort de mogelijkheid om iWork voor iCloud-documenten te voorzien van een wachtwoord. Maar hoe goed zijn die documenten, wachtwoorden en andere gegevens beveiligd als ze op de Apple-servers staan? En geldt het voor het hele proces van opvragen, bewerken en opslaan? iCulture zocht het uit.
Bij iWork voor iCloud belooft Apple dat ze minimaal 128-bit AES-encryptie gebruiken en geen encryptiesleutels aan externe partijen beschikbaar stellen. Ook aan het transport van data is gedacht: iCloud gebruikt dezelfde minimale 128-bit AES-encryptie wanneer data over internet wordt gestuurd en wanneer data op de servers van Apple wordt opgeslagen. In een overzicht is te zien welke gegevens zijn beveiligd: zowel tijdens de overdracht als bij het opslaan van de server zijn de agenda, het adresboek, reservekopieën, foto’s en documenten in de cloud beveiligd met minimaal 128-bit AES-encryptie. Belangrijke uitzondering: mail en notities zijn niet beveiligd als ze op de server zijn opgeslagen en Apple legt ook uit waarom dat is.
Apple koploper in onderzoek naar wachtwoordbeleid
Apple blijkt het bovendien goed te doen in een vergelijkend onderzoek naar wachtwoorden. Samen met Microsoft eindigde Apple in bovenin de top 100 van een ranglijst waarbij ook bekende winkels als Toys R Us, Foot Locker en Staples waren beoordeeld. Apple was de enige website die een perfecte score van 100 behaalde. Er werd daarbij gekeken naar 24 criteria, zoals het toestaan van zwakke wachtwoorden zoals ‘123456’ en het onversleuteld versturen van wachtwoorden via e-mail. Het onderzoek werd uitgevoerd door Dashlane, een aanbieder van wachtwoordoplossingen. Opmerkelijk was dat 55% van de website nog steeds slechte wachtwoorden zoals ‘123456’ en ‘password’ toestaan. Bij Apple is het verplicht om bij je Apple ID een wachtwoord van minstens 8 tekens te maken, waarin minimaal één cijfer, een hoofdletter en een kleine letter moeten voorkomen. Apple geeft gebruikers ook tips hoe ze een sterk wachtwoord kunnen maken – maar gek genoeg geeft Apple geen tips hoe je je wachtwoorden kunt bewaren met handige apps zoals LastPass of 1Password. In plaats daarvan heeft Apple een eigen oplossing (de iCloud Sleutelhanger of Keychain) voor het beheren van wachtwoorden tussen verschillende apparaten. Apple heeft voor je Apple ID ook tweestaps-verificatie beschikbaar.
Vier maatregelen voor veilige wachtwoorden
Online winkels die het wat minder nauw nemen met de wachtwoordeisen, zeggen dat ze dat doen vanwege gebruikersgemak. Het is vervelend als je bij het invoeren van je favoriete wachtwoord ‘123456’ een waarschuwing krijgt dat je verplicht bent een veiliger wachtwoord te kiezen. Maar volgens de onderzoekers laat Apple zien dat het mogelijk is om een veilige oplossing aan te bieden en toch de gebruikers niet te irriteren. Apple implementeerde de vier maatregelen die de onderzoekers aanraden op de juiste manier. Die vier maatregelen zijn:
- Wachtwoorden van tenminste 8 karakters met een combinatie van letters, cijfers en symbolen;
- Blokkeren van accounts na vier inlogpogingen;
- Advies aan gebruikers geven over het kiezen van veilige wachtwoorden;
- Het tonen van een balkje, waarop je kunt zien hoe veilig je wachtwoord is.
Het buitensluiten van gebruikers na vier inlogpogingen kan trouwens ook nadelen hebben. Als je iemand het leven zuur wilt maken, hoef je alleen maar de gebruikersnaam te weten om iemand anders het leven zuur te maken tijdens het internetbankieren of het invoeren van de belastingaangifte. Van de andere kant: bedrijven als Amazon, Dell en Vistaprint staan na 10 onjuiste wachtwoorden doodleuk toe om nog meer wachtwoorden uit te proberen. Ook dat kan niet de bedoeling zijn.
Beveiligingsvragen en tweestapsverificatie
Om te voorkomen dat anderen je wachtwoord makkelijk kunnen achterhalen maakt Apple gebruik van drie beveiligingsvragen waarmee je je kunt identificeren. Die beveiligingsvragen kun je elk moment wijzigen of opnieuw instellen als je ze bent vergeten.
Om nog even terug te komen op de beveiliging van iWork-documenten: beveiligingsbedrijf ElcomSoft probeerde in 2012 om de wachtwoorden van iWork-documenten te achterhalen met een brute force-aanval. “Het proces is pijnlijk traag”, aldus Andy Malyshev in een persbericht. “Apple gebruikt sterke AES-encryptie met 128-bit sleutel, waardoor een wachtwoordaanval de enige haalbare oplossing is. We zijn momenteel in staat om honderden wachtwoordcombinaties per seconde te proberen op een gemiddelde CPU. Dat is traag.” ElcomSoft kan dit proces versnellen door rekening te houden met ‘de menselijke factor’.
Menselijke factor
Wat die menselijke factor is, leggen ze uit in een blogposting: de iWork-apps voor iOS kosten maar €8,99 per stuk (en zijn voor een deel van de gebruikers zelfs gratis). Apple richt zich met deze apps op consumenten, niet op overheidsinstellingen en bedrijven die een strikt beveiligingsbeleid volgen. Als consumenten geen regels opgelegd krijgen, zullen ze makkelijke wachtwoorden kiezen, zoals de naam van hun hond. Ook zullen ze bepaalde wachtwoorden meermaals gebruiken, zonder daarin veel variatie aan te brengen. Lekt er bij een minder goed beveiligde dienst een bestand met gebruikersnamen en wachtwoorden uit, dan is de kans groot dat diezelfde wachtwoorden ook werken bij allerlei andere online diensten.
Om beveiligde iWork-documenten te kunnen ontcijferen heb je het wachtwoord in platte tekst nodig. Apple probeert die zo goed mogelijk te beveiligen: ze gebruiken het PBKDF2-algoritme om een encryptiesleutel te kunnen maken, waarbij ze 4.000 iteraties van een hash-functie toepassen om de noodzakelijke willekeur te kunnen garanderen. Ze gebruiken daarvoor SHA1, ontworpen door (jawel!) de NSA. Bedrijven zoals ElcomSoft die graag wachtwoorden kraken, kiezen daarom liever niet voor een ‘domme’ brute force-aanval, maar lopen eerst de meest kansrijke opties langs door een woordenlijst met populaire wachtwoorden te gebruiken.
Apple mag dan een perfecte score van 100% scoren op beveiligingsmaatregelen, uiteindelijk ben je zelf de zwakste schakel door een makkelijk te raden wachtwoord te kiezen of hetzelfde wachtwoord steeds opnieuw te gebruiken.
Update: Apple scoort hoog op beveiliging van wachtwoorden, maar verzonden e-mail blijkt minder goed beveiligd, blijkt uit een onderzoek van het computertijdschrift C’T.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
- ELEGNT is Apple's robotlamp met menselijke gedragstrekjes (07-02)
- Matter-organisatie belooft beterschap en focust in 2025 op bugfixes bij smart home-standaard (23-01)
Ook interessant
Hoe goed zijn jouw gegevens in iCloud beveiligd?
Hierom is updaten belangrijk: Apple’s Wachtwoorden-app had maandenlang gat in beveiliging
Nu officieel: met Apple Uitnodigingen kun je evenementen plannen
Apple verbetert beveiliging met Advanced Data Protection en meer
Tweefactorauthenticatie voor Apple ID en iCloud: zo werkt het op iOS en macOS [video]
Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID
Tweestaps-verificatie is niet beschikbaar. Maar ik ben wel benieuwd wanneer het beschikbaar komt?
Ik ben eerlijk gezegd benieuwd hoe het staat met beveiliging van je gehele telefoon items.
Precies die twee staps authenticatie is volgens mij alleen voor us accounts een optie op dit moment. Opschieten dus Apple. Een wachtwoord en wat simpele vragen is echt niet meer van deze tijd.
Minimaal 8 tekens met een hoofdletter?…. Mijn id wachtwoord is toch echt korter en bevat geen hoofdletter….
Vorig jaar mijn eigen password beleid eens onder handen genomen.
1Password gebruiken voor het genereren van wachtwoorden, elke site die een beetje van belang is, heeft een eigen 8 tot 24 tekens lang wachtwoord.
Sites die geen toegang hebben tot belangrijke data (bijvoorbeeld een simpel forum), daar gebruik ik nog 1 van mijn korte en makkelijk te onthouden wachtwoorden.
Als ze achter dat wachtwoord komen, kan je eigenlijk niets wat echt van belang is.
Die vragen zijn echt niet meer van deze tijd naam van je huisdier wat voor beroep wil had je altijd al willen hebben ect even op iemand ze Facebook kijken en je heb ze zo beantwoord
Wacht eens even, voor onze documenten gebruikt Apple een 128-bits AES encryptie, terwijl ze een 256-bits nodig achten voor het onmogelijk maken van downgrades? Wat is nou belangrijker, Apple? 😉
Uit onderzoek van Elcomsoft is gebleken dat de meeste password manager apps niet veilig genoeg zijn. Twee sprongen er uit: Strip (Strip Lite) en DataVault. Daarna heeft 1Password zijn beveiliging aangepast en nu is dit ook een redelijk goede app. Strip en DataVault zijn wel goedkoper.
Ik heb voor Strip gekozen omdat die een duidelijke, cleane interface heeft.
Uit het onderzoek bleek ook dat de beveilging van Apple / iOS/ OSX heel goed was.
Ook Strip Password Manager gebruikt het PBKDF2-algoritme en SHAH ! met 4000 iteraties voor wachtwoord encryptie.
Of dit allemaal voldoende is om de NSA an andere pottenkijkers te weren geloof ik niet. Toch, hoewel onze veiligheid niet 100% gegarandeerd kan worden, we moeten er wel op letten.
Wat dan wel bizar is, is dat als je op een iPad werkt, waarbij iemand makkelijk kan zien wat je opstart code is of dat je die geeft in de huiselijke omgeving, je gewoon naar Safari/wachtwoorden kunt gaan en dan die code gebruiken en voila, daar zie je alle onversleutelde wachtwoorden. Daar zou minimaal een andere geheime code op moeten en bovendien hoeven de wachtwoorden toch nooit zichtbaar te zijn. Dan hebben alle encrypties geen zin. Zelfde geldt op de Mac, maar die geef je minder snel aan iemand anders.
Ach, maakt allemaal niet uit. Nu ik sinds een jaar mijn eerste Apple toestel heb (iphone 5), ben ik nog nooit zoveel gehacked geweest. En dan had ik echt nog een moeilijk paswoord en beveiligingsantwoorden die niemand kon weten. Plots alles van mijn iTunes rekening gehaald en 2x creditcard doordat een Chinees die een app had geïnstalleerd en hiermee in app aankopen van meer dan 100eur mee verrichte. Achteraf nog mijn paswoord gehacked van Adobe app en sunrise calender en nog een keer mijn iTunes. Ik die 1pasword gebruiken… Nooit van mijn leven. Ik zal mijn paswoorden wel onthouden of op een papiertje schrijven, mijn geschrift kan toch niemand lezen :p
Apple’s 2-step is toch inderdaad al een jaar offline gehaald?
En bruteforcen doe je liever met een GPU. Raar dat dit beveiligingsbedrijf Apple als veilig beschouwt als ze niet eens goede tests uitvoeren. Bovendien gaat het niet om je digibete buurman. Het gaat erom of criminelen die info jatten daar een botnet op kunnen losgooien. Het gaat erom of groeperingen (vergelijkbaar met de NSA) met hun specifiek ontworpen GPU’s en crackprogramma’s binnen een X-tijdsframe je twaalf karakter tellende wachtwoord kunnen bruteforcen.
De encryptie zelf is ook niet wat je van een ’topbeveiliging’ mag verwachten. Zelfs Microsoft stapt af van SHA-1. Al met al klinkt Apple’s beveiliging beter dan die van vele andere bedrijven, maar of dat werkelijk veilig is kunnen we hier niet uit afleiden.
Ik heb persoonlijk toch veel meer vertrouwen in Apple dan in Google. Er zijn net weer studies verschenen dat chroom alle gesprekken rond de pc, zomaar opneemt en doorstuurd naar de server. Ook al staat de browser niet actief.
Ik heb met chroom ook al mee gemaakt dat ik aan het surfen was op zoek naar een bepaald vakantie bestemming en dat ik plotseling zonder daar voor gevraagd te hebben promotie mails ontvangde in gmail over die streek.
Neen ik vertrouw Google echt niet en alle huis toestellen die zij in handen krijgen ga ik ook niet kopen. Want Google hoeft niet te weten wanneer ik wel of niet thuis ben omdat mijn termostaat dit doorstuurd.
Zelf ben ik nog niet het slachtoffer geweest van een hak, maar daar kan apple natuurlijk niets aan doen. Gewoon stom om voor itunes en andere zaken één en de zelfde paswoord te gebruiken.
Bij mij krijgt alles wat een financieel gevolg kan hebben een anders paswoord als andere minder belangrijke websites, apps of tools.
Maar hoe zit het met de content die je upload naar Apple servers ? Bij Google is het zo dat alles wat je naar Google servers upload mag worden gebruikt door Google waar zij dat voor willen gebruiken.
Het is maar zeer de vraag of je iPhone gehackt is. Tenzij je hem gejailbreaked hebt (en dan is het je eigen “schuld”) zou je vrij uniek zijn met een gehackte iPhone. Kortom onwaarschijnlijk. Ik denk dat je je (Windows?)! PC maar eens heel goed op malware moet checken….
Daarbij moet ik van Apple altijd als ik een nieuw apparaat aan mijn Apple ID koppel, of als ik een apparaat update naar een nieuwe software versie, mijn wachtwoord wijzigen. Lastig, maar wel weer een stukje veiliger.
Nog nooit meegemaakt.
Het is hoogstwaarschijnlijk ook zo bij Apple. Zo kunnen ze zich juridisch indekken mocht er ooit iets verloren gaan, fout gaan (openbaar komen) of anders.
Ja klopt, als je nog een oud wachtwoord gebruikt zal die nog minder veilig zijn. Ik heb n tijd geleden mijn wachtwoord moeten aanpassen doordat ik problemen had in iTunes. Toen kreeg ik dus ook nieuwe eisen aan t wachtwoord.
Nu weten we nog steeds niet hoe veilig onze gegevens zijn wanneer opgeslagen op apple servers. Ja ok, we weten hoe moeilijk of makkelijk anderen erbij kunnen via de reguliere ingang (onze login). Maar wie beheert de systemen, hoe makkelijk kunnen apple medewerkers bij onze data, hoe “open” is het voor derden (leveranciers van Apple)?
Ik dacht dat het artikel juist daar over zou gaan…en niet over een goed wachtwoord kiezen, daar ben je zelf bij. Als ik 123456 kies als wachtwoord mag ik er ook van uitgaan dat mijn gegevens niet veilig zijn, maar op die manier is dat niet alleen bij Apple zo…
NSA tapt de glasvezels af en dan maakt encryptie ongedaan met mastersleutels (volgens Snowden)