Hoe goed zijn iWork-documenten beveiligd bij Apple?
Apple geeft je sinds kort de mogelijkheid om iWork voor iCloud-documenten te voorzien van een wachtwoord. Maar hoe goed zijn die documenten, wachtwoorden en andere gegevens beveiligd als ze op de Apple-servers staan? En geldt het voor het hele proces van opvragen, bewerken en opslaan? iCulture zocht het uit.
Bij iWork voor iCloud belooft Apple dat ze minimaal 128-bit AES-encryptie gebruiken en geen encryptiesleutels aan externe partijen beschikbaar stellen. Ook aan het transport van data is gedacht: iCloud gebruikt dezelfde minimale 128-bit AES-encryptie wanneer data over internet wordt gestuurd en wanneer data op de servers van Apple wordt opgeslagen. In een overzicht is te zien welke gegevens zijn beveiligd: zowel tijdens de overdracht als bij het opslaan van de server zijn de agenda, het adresboek, reservekopieën, foto’s en documenten in de cloud beveiligd met minimaal 128-bit AES-encryptie. Belangrijke uitzondering: mail en notities zijn niet beveiligd als ze op de server zijn opgeslagen en Apple legt ook uit waarom dat is.
Apple koploper in onderzoek naar wachtwoordbeleid
Apple blijkt het bovendien goed te doen in een vergelijkend onderzoek naar wachtwoorden. Samen met Microsoft eindigde Apple in bovenin de top 100 van een ranglijst waarbij ook bekende winkels als Toys R Us, Foot Locker en Staples waren beoordeeld. Apple was de enige website die een perfecte score van 100 behaalde. Er werd daarbij gekeken naar 24 criteria, zoals het toestaan van zwakke wachtwoorden zoals ‘123456’ en het onversleuteld versturen van wachtwoorden via e-mail. Het onderzoek werd uitgevoerd door Dashlane, een aanbieder van wachtwoordoplossingen. Opmerkelijk was dat 55% van de website nog steeds slechte wachtwoorden zoals ‘123456’ en ‘password’ toestaan. Bij Apple is het verplicht om bij je Apple ID een wachtwoord van minstens 8 tekens te maken, waarin minimaal één cijfer, een hoofdletter en een kleine letter moeten voorkomen. Apple geeft gebruikers ook tips hoe ze een sterk wachtwoord kunnen maken – maar gek genoeg geeft Apple geen tips hoe je je wachtwoorden kunt bewaren met handige apps zoals LastPass of 1Password. In plaats daarvan heeft Apple een eigen oplossing (de iCloud Sleutelhanger of Keychain) voor het beheren van wachtwoorden tussen verschillende apparaten. Apple heeft voor je Apple ID ook tweestaps-verificatie beschikbaar.
Vier maatregelen voor veilige wachtwoorden
Online winkels die het wat minder nauw nemen met de wachtwoordeisen, zeggen dat ze dat doen vanwege gebruikersgemak. Het is vervelend als je bij het invoeren van je favoriete wachtwoord ‘123456’ een waarschuwing krijgt dat je verplicht bent een veiliger wachtwoord te kiezen. Maar volgens de onderzoekers laat Apple zien dat het mogelijk is om een veilige oplossing aan te bieden en toch de gebruikers niet te irriteren. Apple implementeerde de vier maatregelen die de onderzoekers aanraden op de juiste manier. Die vier maatregelen zijn:
- Wachtwoorden van tenminste 8 karakters met een combinatie van letters, cijfers en symbolen;
- Blokkeren van accounts na vier inlogpogingen;
- Advies aan gebruikers geven over het kiezen van veilige wachtwoorden;
- Het tonen van een balkje, waarop je kunt zien hoe veilig je wachtwoord is.
Het buitensluiten van gebruikers na vier inlogpogingen kan trouwens ook nadelen hebben. Als je iemand het leven zuur wilt maken, hoef je alleen maar de gebruikersnaam te weten om iemand anders het leven zuur te maken tijdens het internetbankieren of het invoeren van de belastingaangifte. Van de andere kant: bedrijven als Amazon, Dell en Vistaprint staan na 10 onjuiste wachtwoorden doodleuk toe om nog meer wachtwoorden uit te proberen. Ook dat kan niet de bedoeling zijn.
Beveiligingsvragen en tweestapsverificatie
Om te voorkomen dat anderen je wachtwoord makkelijk kunnen achterhalen maakt Apple gebruik van drie beveiligingsvragen waarmee je je kunt identificeren. Die beveiligingsvragen kun je elk moment wijzigen of opnieuw instellen als je ze bent vergeten.
Om nog even terug te komen op de beveiliging van iWork-documenten: beveiligingsbedrijf ElcomSoft probeerde in 2012 om de wachtwoorden van iWork-documenten te achterhalen met een brute force-aanval. “Het proces is pijnlijk traag”, aldus Andy Malyshev in een persbericht. “Apple gebruikt sterke AES-encryptie met 128-bit sleutel, waardoor een wachtwoordaanval de enige haalbare oplossing is. We zijn momenteel in staat om honderden wachtwoordcombinaties per seconde te proberen op een gemiddelde CPU. Dat is traag.” ElcomSoft kan dit proces versnellen door rekening te houden met ‘de menselijke factor’.
Menselijke factor
Wat die menselijke factor is, leggen ze uit in een blogposting: de iWork-apps voor iOS kosten maar €8,99 per stuk (en zijn voor een deel van de gebruikers zelfs gratis). Apple richt zich met deze apps op consumenten, niet op overheidsinstellingen en bedrijven die een strikt beveiligingsbeleid volgen. Als consumenten geen regels opgelegd krijgen, zullen ze makkelijke wachtwoorden kiezen, zoals de naam van hun hond. Ook zullen ze bepaalde wachtwoorden meermaals gebruiken, zonder daarin veel variatie aan te brengen. Lekt er bij een minder goed beveiligde dienst een bestand met gebruikersnamen en wachtwoorden uit, dan is de kans groot dat diezelfde wachtwoorden ook werken bij allerlei andere online diensten.
Om beveiligde iWork-documenten te kunnen ontcijferen heb je het wachtwoord in platte tekst nodig. Apple probeert die zo goed mogelijk te beveiligen: ze gebruiken het PBKDF2-algoritme om een encryptiesleutel te kunnen maken, waarbij ze 4.000 iteraties van een hash-functie toepassen om de noodzakelijke willekeur te kunnen garanderen. Ze gebruiken daarvoor SHA1, ontworpen door (jawel!) de NSA. Bedrijven zoals ElcomSoft die graag wachtwoorden kraken, kiezen daarom liever niet voor een ‘domme’ brute force-aanval, maar lopen eerst de meest kansrijke opties langs door een woordenlijst met populaire wachtwoorden te gebruiken.
Apple mag dan een perfecte score van 100% scoren op beveiligingsmaatregelen, uiteindelijk ben je zelf de zwakste schakel door een makkelijk te raden wachtwoord te kiezen of hetzelfde wachtwoord steeds opnieuw te gebruiken.
Update: Apple scoort hoog op beveiliging van wachtwoorden, maar verzonden e-mail blijkt minder goed beveiligd, blijkt uit een onderzoek van het computertijdschrift C’T.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
Reacties: 21 reacties