Waarom een korte cijfercode op je iPhone niet genoeg is
· Laatst bijgewerkt:
Eerder schreven we al over GrayKey, het kastje waarmee iPhones ontgrendeld kunnen worden. Diverse politiediensten blijken GrayKey al in gebruik te hebben om bijvoorbeeld toegang te krijgen tot iPhones die bij een misdrijf zijn gebruikt. Nu zal de gemiddelde iCulture-lezer misschien niet zo snel in aanraking komen met een Amerikaanse politiedienst, maar de kastjes zijn ook erg aantrekkelijk voor criminele bendes die iPhones stelen.
Matthew Green, assistent-professor en cryptograaf bij het Johns Hopkins Information Security Institute zegt dat een code van 4 cijfers in een tijdsbestek van tussen de 6,5 en 13 minuten te kraken is. Een code met 6 cijfers neemt zo’n 11 tot 22 uur in beslag. Dat maakt overigens wel meteen duidelijk dat je als gewone burger ook niet meteen in paniek moet raken. Een kwaadwillende moet wel heel gemotiveerd zijn om een dure tool te kopen én meer dan 10 uur te besteden aan het ontgrendelen van jouw iPhone. Er moet vrij belangrijke informatie op jouw toestel staan om die investering te rechtvaardigen. Bij de iPhone van een verdachte in een moordzaak is het die investering waard. Wil je alleen maar de kattenfoto’s op iemands telefoon bekijken of kijken of je partner vreemdgaat, dan ga je waarschijnlijk niet al die moeite nemen.
Paar cijfers, groot verschil
Green laat zien hoe een paar cijfers verschil kunnen maken: zou je een code van 8 cijfers kiezen, dan duurt het tussen de 46 uur en 92 dagen om de code te raden. Ga je helemaal los met een 10-cijferige code met alleen getallen, dan duurt het met de stand van de huidige techniek vele jaren voordat de code geraden is. Green schat het op 12 tot 25 jaar. Dat maakt ook duidelijk dat een complexe toegangscode met letters en symbolen niet altijd nodig is om jezelf veiliger te voelen. Ook met een langere cijfercode lukt het, al moet je natuurlijk niet je geboortedatum of trouwdatum erin verwerken.
Let op je code
De discussie over toegangscodes is opeens actueel nu de GrayKey in omloop is, het kastje waarmee overheidsdiensten met brute force de toegangcode van een iPhone kunnen raden. Niemand buiten het bedrijf zelf weet exact hoe het kastje werkt, maar de indruk bestaat dat er gebruik wordt gemaakt van een exploit die Apple’s beveiliging omzeilt. Normaal moet je na het invoeren van een foute code steeds langer wachten, maar de makers van GrayKey hebben iets bedacht waardoor ze snel heel veel codes achter elkaar kunnen proberen – totdat de juiste code gevonden is. Daardoor wordt GrayKey ook interessant voor dieven, al moet je wel heel veel gestolen iPhones hebben om de aanschafprijs van $15.000 tot $30.000 eruit te halen.
Wat kun je zelf doen?
In 2015 werd een toegangcode van 6 cijfers standaard in iOS, terwijl voorheen een 4-cijferige code werd gebruikt. Gebruik je nu een 4- of 6-cijferige code, dan kun je die het beste wijzigen in een complexere toegangscode, zoals in onderstaande tip wordt uitgelegd.
Zoals uit de informatie van Matthew Green blijkt biedt een cijfercode van 8 of 10 getallen al een veel betere bescherming. Nog beter is om te kiezen voor een alfanumeriek wachtwoord met letters, cijfers en speciale tekens. Ook kun je instellen dat je iPhone wordt gewist na 10 mislukte pogingen. Dit beschermt je wellicht niet tegen de GrayKey-tool, maar wel tegen andere brute force-aanvallen.
- 2018 - 17 april: Titel gewijzigd naar 'korte code' omdat het advies ook geldt voor 4-cijferige codes.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
- ELEGNT is Apple's robotlamp met menselijke gedragstrekjes (07-02)
- Matter-organisatie belooft beterschap en focust in 2025 op bugfixes bij smart home-standaard (23-01)
Je iPhone na tien pogingen laten wissen is vooral leuk wanneer één van je kinderen je telefoon vast krijgt.
U spreekt uit ervaring 🤔
Sorry, hoe geeft dit artikel nu antwoord op de vraag waarom je geen 6-cijfereige code moet instellen? Ik zie nergens de argumenten…
@Laurens: dat zocht ik inderdaad ook..
Ik snap niet waarom dit interessant is voor dieven? zou je de toegangscode hebben en je wilt de iPhone wissen moet je alsnog je apple ID wachtwoord invoeren?
bij diefstal gaat het om doorverkopen, zonder icloud lock… niet interessant dus.
gestolen iPhone worden als onderdelen verkocht(geheimpje: ook NL winkels kopen het op).
on topic. 6-cijferige-code = gebruiksonvriendelijk. ik ga het niet doen.
Ik heb gewoon 197443 als code.. is dat een goede keuze?
@Laurens: Het argument dat een 6 cijferige code in 11 uur is te kraken vind ik toch sterk genoeg. Dan zit je iCloud-lock er nog wel op, maar met je toegangscode zijn bv ook al je bewaarde wachtwoorden te zien.
@Jacob Smit: chantage met privegegevens, en er zijn vast nog meer creatieve manieren waarmee je geld kan verdienen met gegevens op een ontgrendelde iPhone
@ice: dan heb je toch ook geen code nodig? of zie ik dit verkeerd? (daar gaat juist dit hele artikel om)
Nee, mijn code 941035 is echt veel beter! 😉
@Jacob Smit: Dat is niet helemaal waar. Sinds iOS 11 is de toegangscode al genoeg om je Apple ID wachtwoord te veranderen, omdat je op dat toestel ingelogd bent met iCloud en je een toegangscode ingesteld hebt. Je kan dit zelf checken via Instellingen > je naam > Wachtwoord en beveiliging > Wijzig wachtwoord. Het is dus ook voor je Apple ID wachtwoord belangrijk om een veilige toegangscode in te stellen.
@eMilty: Mijn code is 2018
Maar voor de zekerheid verander ik hem ieder jaar…
Nog steeds geen bewijs gezien, behalve een foto van een plastic kastje waar 2 draadjes uitkomen, dat die GrayKey echt werkt.
(Red.) Titel gewijzigd naar ‘korte code’ omdat het advies ook geldt voor 4-cijferige codes.
Nee, je kunt als je de toegangscode hebt, de opgeslagen passwords zien. Daar staat ook je apple id tussen.
Je bent dus op 3 april 44 jaar geworden, alsnog gefeliciteerd. 😉 (of 4 maart) Nee, ik zou zelf nooit een datum gebruiken. Dat is te gemakkelijk te raden voor een hacker die al een profiel van jou van te voren verzameld heeft.
Meneer is in 1974 geboren en is op het moment van het bedenken van de code (2017) 43 jaar. Rara wat zn volgende wachtwoord wordt🤓
Wow! Dit is nieuw voor mij en ik geloofde het eerst zelfs niet. Dus even getest, maar het klopt inderdaad. Dit betekent dus dat als iemand je code te weten komt (door deze methode of gewoon omdat iemand over je schouder meekijkt), hij je iCloud-account kan overnemen, Zoek mijn iPhone kan uitzetten en jouw telefoon daarna officieel op zijn naam kan registreren! Dat lijkt me toch niet de bedoeling, want dan is diefstal weer een stuk aantrekkelijker. Of mis ik iets?
@Norm: 🤔 en dan hoef je dus ook niet je huidige appleid wachtwoord in te voeren????
Wat helpt het tegen diefstal?
Ze geven hem echt niet terug als ze zien dat er een zes cijferige op zit.
Nope!
Als je 2 Factor Authentication aan hebt staan kan je niet zomaar je wachtwoord wijzigen, dan moet je namelijk ook nog de code invoeren die je op een van je andere apparaten binnenkrijgt.
@iChris74: ben jij op 3 april jarig????
Sta ik toch wel van te kijken. Veel codes zijn makkelijk te zien als iemand het intikt. Deze optie maakt het voor dieven toch weer makkelijk. Deze optie zou toch moeten kunnen uitzetten of eerst je oude ID wachtwoord intypen voordat je de nieuwe aanmaakt.
Opmerkelijk. Zodra ik op ‘Wachtwoord en beveiliging’ click moet ik meteen mijn iCloud wachtwoord invullen alvorens ik verder kan gaan. Kan ik dus niet zomaar veranderen. Zowel op ipad als iPhone met ios11.