Pas op: met passcode iOS kun je wachtwoord AppleID wijzigen

Hangt de keychain niet aan de account - dus met password van account ipv van foon?

Sowieso zou ik een password / passphrase nemen voor ook de foon. Is toch amper nodig icm biometrie.

Edit:

Donstil schreef op zondag 26 februari 2023 @ 10:40:
Een pincode houd je privé, of dat nou bij de geldautomaat, in de winkel of op je toestel is.

En dat sowieso ja.

[ Voor 38% gewijzigd door F_J_K op 26-02-2023 11:08 ]

Een pincode houd je privé, of dat nou bij de geldautomaat, in de winkel of op je toestel is.
Lezen ze die af dan kunnen ze geld opnemen, betalen of in je toestel, niet echt iets wat nu nieuw uit de lucht komt vallen zou je zeggen?

[ Voor 5% gewijzigd door Donstil op 26-02-2023 10:41 ]

Real schreef op zondag 26 februari 2023 @ 12:36:
[...]


Uiteraard, maar ik denk dat veel mensen zich vooral niet realiseren hoe eenvoudig het is om het wachtwoord in iOS te wijzigen. Namelijk alleen met de passcode (of inderdaad beter: passphrase).

Waar ik me vooral over verbaas is waarom Apple dit zo eenvoudig heeft gemaakt. Uiteraard geldt altijd dat veiligheid en gebruiksgemak communicerende vaten zijn, maar je kunt überhaupt niet kiezen om dit uit te schakelen.

Daarnaast zijn er omgevingen waar biometrie onveilig kan zijn of onveilig wordt geacht, zoals in landen met minder frisse regimes.

Het is vrij gebruikelijk dat je eerst het oude wachtwoord moet invoeren voor je een nieuw wachtwoord kunt invoeren, of bijvoorbeeld een fysieke sleutel nodig is. Maar natuurlijk betekent dat ook weer dat er mensen zijn die zichzelf buitensluiten. Dus: maak deze eenvoudige methode om het wachtwoord te wijzigen een keuze zou ik zeggen.

Klopt, toch is er een workaround om een extra beveiligingslaag toe te voegen: beperkingen instellen op accountinstellingen (dit doe je onder schermtijd) en dan een (andere!!) pincode op die beperkingen instellen. Het houdt niet alles tegen maar voorkomt wel dat je Apple Id overgenomen wordt.

Citroentjuh schreef op vrijdag 3 maart 2023 @ 18:59:
[...]

Klopt, toch is er een workaround om een extra beveiligingslaag toe te voegen: beperkingen instellen op accountinstellingen (dit doe je onder schermtijd) en dan een (andere!!) pincode op die beperkingen instellen. Het houdt niet alles tegen maar voorkomt wel dat je Apple Id overgenomen wordt.

Net even mee zitten spelen maar als ik "Wijzigingen in toegangscode" op "Sta niet toe" zet dan veranderd er niets, het password is nog steeds met het algemene password aan te passen. Het werkt wél om "Wijzigingen op account" op "Sta niet toe te zetten." Maar... dan is de hele Apple-ID greyed out en moet je telkens helemaal Schermtijd in om het weer aan te zetten.

Echt bizar dat Apple dit niet even oplost. Het enige wat ze hoeven doen is het Apple-ID-wachtwoord of FaceID aan de Wijzig-inlogcode-instelling toe te voegen. Tuurlijk, gebruiksgemak, maar dít is nou net een plek dat het common sense is en volgens mij niemand denkt "Pfff wéér een AppleID invoeren...."

[ Voor 6% gewijzigd door Dennisdn op 04-03-2023 06:29 ]

Dennisdn schreef op zaterdag 4 maart 2023 @ 06:26:
[...]


Net even mee zitten spelen maar als ik "Wijzigingen in toegangscode" op "Sta niet toe" zet dan veranderd er niets, het password is nog steeds met het algemene password aan te passen. Het werkt wél om "Wijzigingen op account" op "Sta niet toe te zetten." Maar... dan is de hele Apple-ID greyed out en moet je telkens helemaal Schermtijd in om het weer aan te zetten.

Klopt, ik zei al het gaat om het beperken van de accountinstellingen. Zelf kom ik niet zo vaak in die instellingen dus dat je nu de beperkingen moet opheffen voor die keer dat je er wel in moet vind ik zelf niet zo’n probleem.

Echt bizar dat Apple dit niet even oplost. Het enige wat ze hoeven doen is het Apple-ID-wachtwoord of FaceID aan de Wijzig-inlogcode-instelling toe te voegen. Tuurlijk, gebruiksgemak, maar dít is nou net een plek dat het common sense is en volgens mij niemand denkt "Pfff wéér een AppleID invoeren...."

Tja, niet helemaal mee eens. Ja, ik hoop wel dat ze hier een aanpassing aan gaan doen. Maar ik vind het niet “bizar”. Het gaat hier niet om een extreem groot beveiligingsrisico, aangezien er meerdere handelingen nodig zijn. Een aanvaller moet fysieke toegang tot je telefoon hebben + je toegangscode. Zoals hierboven door anderen al opgemerkt geldt dan voor ontzettend veel situaties dat je de pineut bent. Het komt op hetzelfde neer als dat iemand je pincode weet en dan je pinpas steelt. Wat ik zelf trouwens graag zou zien is dat je voor toegang tot bepaalde apps kan instellen dat je alleen maar Face ID kan gebruiken. Nu krijg je alsnog de optie toegangscode als je gezicht niet herkend wordt. Ik vind dat voor bijv mail app of bankapp
minder veilig als iemand eenmaal je code weet heeft die extra beveiliging geen effect meer.

Citroentjuh schreef op zaterdag 4 maart 2023 @ 06:49:
[...]

Het komt op hetzelfde neer als dat iemand je pincode weet en dan je pinpas steelt.

Zeker, maar daar kun je je tenminste nog op andere manieren tegen wapenen. Heb zelf bijvoorbeeld in de tijd dat passen nog werden geskimd al een extra pas aangevraagd waar nooit meer als een paar honderd euro op staat. Maar hier kun je -op dit kunstje na- helemaal niets tegen doen...

Aan de andere kant... met miljarden devices in omloop... als het écht een probleem was geweest was Apple al gek geworden van alle service-aanvragen over gejatte Apple-ID's/iPhones en hadden ze er iets op verzonnen.

Tje aan de andere kant waarom zou je openbaar je pincode gebruiken als je faceID hebt. Hiermee voorkom je het probleem. Want om je wachtwoord dan te wijzigen is je pincode nodig. Kortom het is een beetje een zelf veroorzaakte onveiligheid door FaceID niet te gebruiken.
Waarom zou je dat dus niet willen? Mijn moeder van 87 heeft juist een iPhone omdat FaceID veilig is, haar gezicht vergeet ze niet en kan niet gestolen worden meest veilige manier van betalen.

@Real Sorry hoor maar dat zijn omstandigheden waar als er maar op de juiste puntjes druk wordt gezet de meeste mensen ook die pincode geven. Je ogen dichthouden is dan ook voldoende.
Wordt er nu niet verwacht dat er een beveiliging komt voor mensen die eerst een beveiliging uit hebben gezet en waar vervolgens iedereen last van heeft. Beetje omgekeerde wereld.

@Real Er wordt nogal stellig beweerd dat het een kwetsbaarheid is, ik beweer dat het een risico is op het moment dat je bepaalde keuzes maakt en vervolgens niet heel erg goed oplet op wie er meekijkt.
Op Youtube zijn hele drama's te vinden als gevolg hiervan, hierbij wordt eigenlijk toch wel de schuld bij Apple gelegd. Terwijl het eigenlijk dus een hele onveilige keuze is om geen biometrische ontgrendeling te gebruiken. Daar zou mijn inziens de nadruk op moeten liggen.

Real schreef op zaterdag 4 maart 2023 @ 12:09:
[...]


Want? Wat lost dat op?

Dan is er geen pincode meer af te kijken

Real schreef op zaterdag 4 maart 2023 @ 11:50:
[...]


Bijvoorbeeld omdat je in een land woont waar het niet veilig is om biometrie te gebruiken, of omdat je gepest wordt op school en de pesters je dwingen om je telefoon te ontgrendelen, omdat biometrie soms niet werkt. Of vele andere redenen.

Nah dan kunnen die “pesters” je ook dwingen je wachtwoord in te voeren. Dat lijkt mij geen valide reden om een extra stap in te bouwen.

Wat ik interessanter vind is de claim “omdat je in een land woont waar het niet veilig is om biometrie te gebruiken”, nu wonen wij dat niet en ik hoop maar dat de mensen die je bedoelt het hier lezen maar waar doel je dan precies op? In welke landen is het niet veilig om biometrie te gebruiken maar wel een pincode/wachtwoord?

@Real Uiteindelijk gaat het erom dat je verantwoordelijkheid neemt voor je eigen keuzes en de gevolgen ervan. De leverancier of fabrikant is niet verantwoordelijk voor jouw keuzes of het maakt het dan niet ineens een slecht product.
Jij vindt dat een product aangepast moet worden omdat het op een verkeerde manier gebruikt wordt, of omdat iemand andere keuzes maakt, daar ben ik het niet mee eens. Het product is prima mensen moeten het alleen wel goed gebruiken en doen ze dat niet dan lopen ze zekere risico's.

Je kunt het eenvoudig voorkomen dat hier misbruik van wordt gemaakt. Is helaas wel opt-in in plaats van de default.

Link naar de Twitter post van Matthew Green

jurroen schreef op zaterdag 4 maart 2023 @ 14:53:
Je kunt het eenvoudig voorkomen dat hier misbruik van wordt gemaakt. Is helaas wel opt-in in plaats van de default.

Link naar de Twitter post van Matthew Green

Dit is de workaround die ik eerder in dit topic besproken heb.

Citroentjuh schreef op zaterdag 4 maart 2023 @ 14:55:
[...]

Dit is de workaround die ik eerder in dit topic besproken heb.

Sorry - daar heb ik finaal overheen gelezen.

“Gebruik geen code en publique”; tja. Zeker met oudere telefoons zoals de eerste generatie FaceID is dat lekker makkelijk gezegd. Teveel zon of een zonnebril kan daar al snel gezeik opleveren. Soms vraagt ie het random en als je per ongeluk het power menu hebt geopend blokkeert ie ook. En zo voorts. Je kan het risico beperken door biometrische unlocking te gebruiken, maar het feit blijft dat je nu eenmaal soms een code moet invoeren. En dan kan dit gebeuren als je pech hebt.

Om dit dan op mensen af te schuiven als eigen schuld vind ik wat overdreven. Het is gewoon een zwak ontwerp als je met de code zowel de telefoon als het complete Apple ID kan jatten en Apple moet daar iets aan doen; hier is “convenience” doorgeslagen in de balansafweging “usability vs security”. Beperkingen aanzetten (en een gepolariseerde screenprotector ) is een goede tijdelijke work-around, maar geenszins een permanente oplossing; zeker niet omdat veel mensen dat niet snappen of dit soort shit überhaupt niet lezen.

Ben trouwens wel benieuwd wat er gebeurt als je inlogt op iCloud en de 2FA gaat naar de gejatte iPhone en de dief klikt op “niet toestaan”. Maar goed, met beperkingen heb je tijd om samen met Apple wat dingen op te lossen en kan je het wachtwoord van gekoppelde mail accounts e.d. direct wijzigen. (Een ander mailadres voor je Apple ID dan ingelogd staat op je telefoon is ook handig, kan evt reset mail niet geopend worden door de dief.)

[ Voor 25% gewijzigd door WhatsappHack op 04-03-2023 15:11 ]

Frogmen schreef op zaterdag 4 maart 2023 @ 11:32:
Tje aan de andere kant waarom zou je openbaar je pincode gebruiken als je faceID hebt. Hiermee voorkom je het probleem. Want om je wachtwoord dan te wijzigen is je pincode nodig. Kortom het is een beetje een zelf veroorzaakte onveiligheid door FaceID niet te gebruiken.
Waarom zou je dat dus niet willen? Mijn moeder van 87 heeft juist een iPhone omdat FaceID veilig is, haar gezicht vergeet ze niet en kan niet gestolen worden meest veilige manier van betalen.

Omdat FaceID niet altijd werkt. Het is vrij zeldzaam, maar bijvoorbeeld in de felle zon gaat het bij mij wel eens fout. Hij vraagt dan meteen om je passcode en je hebt de neiging om die dan snel even in te tikken. Ik had me ook niet gerealiseerd dat het wachtwoord van je Apple ID is aan te passen met alleen de IOS ontgrendelcode, ik vind dat wel een probleem eigenlijk. Je zou op z'n minst het oude wachtwoord moeten vragen of een herstelcode.

Overigens, mijn ouders (ver in de 70) gebruiken TouchID en dat faalt vaker wel dan niet. Ik begrijp niet goed waarom, ik had er zelf nooit problemen mee, maar m'n moeder krijgt echt de halve tijd de iPad niet ontgrendeld met TouchID. En dan nog het verschil tussen indrukken en alleen aanraken van de homeknop (bijvoorbeeld bij een bankapp), de halve tijd houdt ze haar vinger op het plaatje van de vingerafdruk op het scherm (echt, waarom niet een bewegende pijl die wijst naar de homeknop ) en de andere helft van de tijd drukt ze de homeknop in ipv alleen aan te raken, waardoor de bank app meteen weer weg is. Dat we TouchID ooit 'gebruikersvriendelijk' vonden... Het was natuurlijk beter dan een code intypen, maar eigenlijk is het net niks.

PhilipsFan schreef op zaterdag 4 maart 2023 @ 15:18:
[...]


Overigens, mijn ouders (ver in de 70) gebruiken TouchID en dat faalt vaker wel dan niet. Ik begrijp niet goed waarom, ik had er zelf nooit problemen mee, maar m'n moeder krijgt echt de halve tijd de iPad niet ontgrendeld met TouchID. En dan nog het verschil tussen indrukken en alleen aanraken van de homeknop (bijvoorbeeld bij een bankapp), de halve tijd houdt ze haar vinger op het plaatje van de vingerafdruk op het scherm (echt, waarom niet een bewegende pijl die wijst naar de homeknop ) en de andere helft van de tijd drukt ze de homeknop in ipv alleen aan te raken, waardoor de bank app meteen weer weg is. Dat we TouchID ooit 'gebruikersvriendelijk' vonden... Het was natuurlijk beter dan een code intypen, maar eigenlijk is het net niks.

Ik herken dat van mijn moeder die hebben versleten vingers, anders gezegd hun huis is zo glad dat ze bijna geen vingerafdruk hebben, leren werkt wel maar ontgrendelen is een ramp. Ze is echt heel blij met haar XR en iPad Pro 12,9. Ze moet natuurlijk wel met haar tijd mee gaan

Zijn er serieus weldenkende mensen die publiek hun pincode gaan intoetsen?

En die mensen moeten “gewaarschuwd” worden dat hun Apple ID dan gejat/overgenomen/gehackt kan worden?

En die arme mensen in die landen waar biometrie niet veilig te gebruiken is?

Ja, Apple moet flink aan de bak om het veiliger te maken

Man man man, wat een kortzichtige reacties weer in dit topic.

Dit is by design gewoon niet heel sterk en dat zeg ik als security specialist. Ik gebruik al jaren een iPhone en ik wist niet eens af van deze ‘functionaliteit’. Ik schrok toch wel een beetje, want je hele Apple ID valt dan terug op een zwakke 4- of 6-cijferige code (je kan je passcode complexer maken, maar dat doet bijna niemand, want complex).

Ik snap Apple wel. Het maakt het leven van je gebruikers inderdaad makkelijker, maar slimme criminelen maken daar, zoals altijd, slim misbruik van.

Achter de passcode komen door middel van shoulder surfing is natuurlijk een optie, maar zoals in het WSJ-artikel wordt uitgelegd gaat het verder dan dat en komt er een dosis social engineering bij kijken (bijv. praatje beginnen met slachtoffer, goede vragen stellen zodat ze hun telefoon bijpakken, eventueel telefoon van slachtoffer pakken en afdwingen dat er om een passcode wordt gevraagd, etc.).

Ik heb in ieder geval voor nu Screen Time aangezet voor deze functionaliteit en heb je dus een extra code nodig.

appie39 schreef op zaterdag 4 maart 2023 @ 21:34:
Zijn er serieus weldenkende mensen die publiek hun pincode gaan intoetsen?
[...]

Ja, die zijn er. Als ik kwaad had gewild, had ik een aantal jaar terug de iPad Pro en iPhone van de man die voor mij zat in de ICE kunnen meenemen en gebruiken. Hij gebruikte dezelfde PIN voor beide apparaten en deed geen enkele moeite om die ook maar een klein beetje af te schermen bij het intoetsen. Hij liet ze ook unlocked achter toen hij (gezien de tijdsduur) een grote boodschap ging doen.

Voordat 'ie naar de wc ging wist ik zijn naam, PIN van zijn iPad en iPhone, zijn geboortedatum, waar 'ie werkte en wat 'ie daar deed. Sommige mensen beseffen zich blijkbaar totaal niet dat hun omgeving mee kan kijken met wat ze doen en wat ze daarmee ongewild delen.

Safaci schreef op maandag 6 maart 2023 @ 13:39:
Man man man, wat een kortzichtige reacties weer in dit topic.

Dit is by design gewoon niet heel sterk en dat zeg ik als security specialist. Ik gebruik al jaren een iPhone en ik wist niet eens af van deze ‘functionaliteit’. Ik schrok toch wel een beetje, want je hele Apple ID valt dan terug op een zwakke 4- of 6-cijferige code (je kan je passcode complexer maken, maar dat doet bijna niemand, want complex).

Je Apple ID valt terug op een (zwakke) 4-6 cijferige code die alleen te gebruiken is op het bijhorende toestel. het is niet alsof die code online te gebruiken is oid.

Die manier van authenticatie is opzichzelf niet zoveel mis mee (zit in de hoek van password less) en is stukken veiliger dan het gebruik van wachtwoorden. Ja je moet er alleen wel voor zorgen dat niemand toegang krijgt tot je toestel of pincode.

Maar stel, ze krijgen toegang, dan kun je bij de gemiddele persoon enorm veel zoals de mailbox in, sms en authenticator apps raadplegen. Met die toegang kun je enorm veel accounts resetten en toegang krijgen inclusief het apple ID. Ook al zou je je passw ,moeten invullen,. dan reset je hem gewoon even als aanvaller.

Wachtwoord resetten blijft gewoon lastig want vanuit welke trust kun je uitgaan.