2 factor authentication

Zonnetje83 schreef op zaterdag 25 maart 2017 @ 22:57:
Hi,

Ik heb via https://support.apple.com/en-us/HT204915 2 factor aangezet (had eerst 2 fact verification aan staan).

Werkt op zich goed, maar: als ik op mijn iMac naar iCloud.com ga en daar inlog, dan komt op al mijn apparaten (inclusief de iMac dus!!) de beveiligingscode. Dat lijkt me niet de bedoeling.... je kunt dus gewoon op een MacOS apparaat in proberen te loggen en dan doodleuk de te gebruiken code op diezelfde iMac krijgen!

Bij 2 factor verificatie kon je een paar apparaten ingeven waarnaar de codes gestuurd worden, nu krijgt elk apparaat die hetzelfde iCloud id gebruikt, de code.

Hebben jullie een idee hoe je dit kunt voorkomen?

Je geeft met authenticeren toch op bij welk apparaat je dat wilt doen?

Als je daar je telefoonnummer selecteert en je forward SMSjes van je iphone naar je mac, dan zal je ze op beide apparaten ontvangen.

JackBol schreef op zaterdag 25 maart 2017 @ 23:00:
[...]


Je geeft met authenticeren toch op bij welk apparaat je dat wilt doen?

Als je daar je telefoonnummer selecteert en je forward SMSjes van je iphone naar je mac, dan zal je ze op beide apparaten ontvangen.

Vetrouwde apparaten die 2FA ondersteunen krijgen geen SMS, maar een dialoog venster van iCloud. Je kunt bij het icloud paneel je apparaten beheren. Alle iCloud apparaten waarop je via icloud config panel bent ingelogd zijn automatisch vertrouwd. Logisch ook want je bent met "onthoud mij" ingelogd.

Zonnetje83 schreef op zaterdag 25 maart 2017 @ 23:49:
[...]


Nathan heeft gelijk. Ik ben misschien niet duidelijk genoeg geweest. ik krijg iCloud Messages op de iMac, geen smsjes.

Daarbuiten, ik gebruik 2 factor authentication, niet 2 factor verification.

bij de laatste geef je zelf je vertrouwde apparaten aan, bij de eerste zijn alle devices die met jouw apple id ingelogd zijn automatisch vertrouwd.

2FA kun je wel daarnaast ook nog een telefoonnummer ingeven waarop je een sms binnen krijgt. echter, daar gaat mijn vraag niet om.

ik gebruik dus 2FA en krijg een icloud message op de iMac binnen, doordat ik op diezelfde iMac probeer in te loggen op iCloud.com (via safari). dus ik krijg op hetzelfde apparaat de code als waarop ik probeer in te loggen. het is dus geen sms.

het hele idee is toch dat je je code altijd op het niet-inloggende device binnen krijgt??

Heb me hier ook over zitten verbazen. Het zou natuurlijk nooit te bedoeling moeten zijn. Stel, iemand heeft je wachtwoord én toegang tot je imac, dan valt dat hele voordeel van 2fa weg als hij na het invoeren van je password keurig de 2fa verificatiecode op het scherm voorgeschoteld krijgt.
Ik vermoed dat apple een gok neemt dat dit een uitzonderlijke situatie is, net als dat je op een mac eigenlijk niet zo vaak via icloud.com hoeft in te loggen aangezien je alles wat daar beschikbaar is meestal ook al op je mac hebt staan.
Aan de andere kant is er nl. ook het probleem (geweest) dat mensen die geen ander iOS en/of MacOS apparaat hebben bij het (vaak onwetend-) inschakelen van 2FA (wat apple er via verschillende wegen in probeert te krijgen) in de problemen kwamen en alleen via account recovery weer toegang tot hun apple id konden krijgen. Natuurlijk gaat dat lang niet voor iedereen op, maar zoals gezegd; ik denk dat het een bewuste gok/afweging is geweest. We kunnen ervan uitgaan dat het percentage "nagenoeg leek" altijd groter is dan de tech-savy users.
Neemt niet weg dat wat je ook als "klacht" hebt (geen specifieke apparaten om aan te geven dat je daarop de codes wilt ontvangen) zeer terecht is en ook niet iets lijkt dat lastig te implementeren is. Da's echter wel vanaf mijn makkelijke stoel gesteld.

_{Ik draai hier zelf geen MacOS/safari en kan het dus niet testen, maar ergens stond me bij dat je de browser eenmalig moest vertrouwen om vervolgens die authenticatiecode niet te hoeven gebruiken. Vraag me af of het gebruik van bijv. een ad- of scriptblocker dit soort dingen kan beïnvloeden?}

[ Voor 6% gewijzigd door Verwijderd op 26-03-2017 00:02 ]

Verwijderd schreef op zondag 26 maart 2017 @ 00:00:
[...]


Heb me hier ook over zitten verbazen. Het zou natuurlijk nooit te bedoeling moeten zijn. Stel, iemand heeft je wachtwoord én toegang tot je imac, dan valt dat hele voordeel van 2fa weg als hij na het invoeren van je password keurig de 2fa verificatiecode op het scherm voorgeschoteld krijgt.
Ik vermoed dat apple een gok neemt dat dit een uitzonderlijke situatie is, net als dat je op een mac eigenlijk niet zo vaak via icloud.com hoeft in te loggen aangezien je alles wat daar beschikbaar is meestal ook al op je mac hebt staan.
Aan de andere kant is er nl. ook het probleem (geweest) dat mensen die geen ander iOS en/of MacOS apparaat hebben bij het (vaak onwetend-) inschakelen van 2FA (wat apple er via verschillende wegen in probeert te krijgen) in de problemen kwamen en alleen via account recovery weer toegang tot hun apple id konden krijgen. Natuurlijk gaat dat lang niet voor iedereen op, maar zoals gezegd; ik denk dat het een bewuste gok/afweging is geweest. We kunnen ervan uitgaan dat het percentage "nagenoeg leek" altijd groter is dan de tech-savy users.
Neemt niet weg dat wat je ook als "klacht" hebt (geen specifieke apparaten om aan te geven dat je daarop de codes wilt ontvangen) zeer terecht is en ook niet iets lijkt dat lastig te implementeren is. Da's echter wel vanaf mijn makkelijke stoel gesteld.

_{Ik draai hier zelf geen MacOS/safari en kan het dus niet testen, maar ergens stond me bij dat je de browser eenmalig moest vertrouwen om vervolgens die authenticatiecode niet te hoeven gebruiken. Vraag me af of het gebruik van bijv. een ad- of scriptblocker dit soort dingen kan beïnvloeden?}

Dit. De data in iCloud is al compromised als je toegang hebt tot de vertrouwde mac. De grap is dat je hier het "ding wat je hebt" gebruikt om in te loggen als nieuw device. Binnen de usecase dus totaal niet relevant meer. Daarom snap ik ook niet wat hier nu zo raar aan is?

Het is toch ook logisch dat als je een bank app op je smartphone (voorbeeld) gebruikt je de sms code op hetzelfde toestel binnenkrijgt?

als ik als kwaadwillende op deze iMac naar iCloud.com ga en probeer in te loggen,...

Waarom zou je dat willen doen? Alle data binnen icloud is dan al beschikbaar voor je. Als kwaadwillende ben je al klaar zonder in te loggen op iCloud.

Je hoeft mij niet uit te leggen hoe het werkt. Ik probeer een reden te zoeken waarom ts op meerdere apparaten de code ontvangen sms-forwarding lijkt me de meest plausibele.

Kennelijk wel, want dat is dus precies dat wat er niet gebeurt . De sms verificatie is een ander type. Het gaat hier om het weergeven van locatie op een kaartje en de bevesitiging of je dit toe wil staan. Daarna krijg je de code te zien en kun je verder.

[ Voor 13% gewijzigd door supersnathan94 op 26-03-2017 03:08 ]

Als iemand jouw wachtwoord EN je device in handen heeft, hoop ik dat je verstandig genoeg bent om of het apparaat van je trusted list af te halen, of je wachtwoord te veranderen.

Het is niet bedoeld dat de functie beschermt tegen kwaadwillenden die jouw device beheren EN je wachtwoord weten. Waar ik het nut zie is dat als iemand op afstand probeert in te loggen op je iCloud, dat ze er niet zomaar in komen.

Bij de pre dat iemand je wachtwoord weet en ook toegang heeft tot je apparaat, heb je al verloren.

Zonnetje83 schreef op zondag 26 maart 2017 @ 12:59:
[...]


Duidelijk, thx! Je hebt een punt, net als Nathan. Ik vond bij 2fV juist handig dat je altijd op een ander apparaat een code kreeg, maar begrijp het nut bij 2fa ook wel. als je al ingelogd bent, wat maakt het dan uit. het kriebelt ergens nog wel, maar ok het is me duidelijk.

Ik weet niet wat er kriebelt... Want de situatie die jij beschrijft houdt in dat je (data) al in een vrij ver gevorderd stadium overgeleverd bent aan een indringer. Die heeft zich namelijk al a) fysieke toegang tot jouw device weten te verschaffen en b) zich als jou weten te authentificeren binnen je OS.
Als die iemand dan vervolgens ook nog probeert in te loggen op bv iCloud dan kon je met de oude methode een verificatie doen via 1 trusted manier, óf een sms, óf een push melding naar één device (en als het gecompromitteerde device tot je trusted behoort dan kiest de aanvaller daar natuurlijk voor).
Met de nieuwe/betere methode krijg je op ál je ingelogde devices een melding van de inlog poging. In het onderhavige voorbeeld van fysieke toegang kan het weinig uitmaken als je de melding te laat ziet, desalniettemin kan je ondanks dat de toegangscode correct wordt ingevoerd op het gecompromitteerde apparaat het verzoek alsnog afgewezen via één van je andere apparaten. Lijkt mij toch een meerwaarde.

[ Voor 0% gewijzigd door rexgildo op 26-03-2017 19:18 . Reden: Christus wat een typ- en zinsfouten ]

Jullie snappen toch wel dat deze functie bedoeld is voor als iemand op afstand in je iCloud account probeert te komen?
Niet om een inbreker in je huis tegen te houden die achter je iMac gaat zitten?

Wat je wilt is dat je op Mac A niet de token krijgt als je inlogt via de browser op diezelfde Mac A. Echter, wanneer je Mac A als kwaadwillende hebt, en op die browser op diezelfde Mac A komt die token niet, dan pak je als kwaadwillende toch random PC B erbij en ga je op die browser naar icloud. Dan zou de token volgens jouw theorie wel op Mac A moeten verschijnen. Maw: Toegang tot trusted/token device = game over.