iPhone: Waarom je moet stoppen met 6-cijferig password

Auteur: , 14 Reacties
1234 is niet meer goed genoeg tegenwoordig

Een berekening om te illustreren hoe gemakkelijk jouw 6-cijferige wachtwoord te kraken is.

Hoewel het misschien een ‘leentelefoon’ zou kunnen zijn, toonde Kanye West zijn iPhone-wachtwoord aan de hele wereld toen hij tegen Trump aan het liegen was. Dat wachtwoord was ‘000000’, waarschijnlijk het meest simpele iPhone-wachtwoord dat er is. Het is daarentegen doodsimpel: het is totaal niet veilig.

Okay, als je een beetje met computers bekend bent, weet je dat een wachtwoord als ‘000000’ of ‘1234’ totaal niet veilig is, maar waarom precies dat kunnen we je gemakkelijk uitleggen. Heb jij een iPhone met een wachtwoord van 6 (of zelfs maar 4) cijfers? Lees dan zorgvuldig.

Je hebt misschien al wel eens gehoord van een exploit waarmee hackers een viercijferige PIN-code kraken door middel van een kabel, om zo de ‘afkoelperiode’ van het veelvuldig verkeerd intoetsen van het wachtwoord te omzeilen. Een programma probeert alles tussen ‘0000’ en ‘9999’ en komt dus uiteindelijk op je PIN-code uit.

Apple heeft maatregelen genomen om het kraken van iPhones moeilijker te maken. Hoewel gebruikers tegenwoordig per se een 6-cijferig wachtwoord moeten kiezen van Apple, is dit nog steeds totaal niet veilig. Ook de afkoelperiode en een functie om alle informatie van de telefoon te verwijderen na 10 mislukte pogingen zijn dun.

Er is namelijk een techniek genaamd GrayKey die de afkoelperiode en blokkering omzeilt. Een werknemer van het Johns Hopkins Information Security Institute liet er een portie wiskunde op los en toont aan hoe makkelijk het met die techniek is om cijfer-wachtwoorden te kraken.

Daaruit blijkt dat een wachtwoord van 6 cijfers (de standaard op moderne iPhones) gemiddeld binnen 11 uur gekraakt is. Laten we het vooral niet hebben over de 6,5 minuten die gemiddeld nodig zijn voor een 4-cijferig wachtwoord.

Ter vergelijking, 8 cijfers kosten met deze methode gemiddeld 46 dagen om te kraken, terwijl 10 cijfers een ‘hacker’ gemiddeld ruim 12 jaar zullen kosten. Kortom, met ieder nummertje gaat de tijd die het kost om je telefoon te kraken exponentieel omhoog.

Dezelfde beveiligingsexpert raadt overigens aan om een ‘alphanumerical’ wachtwoord te maken, als ze maar niet zoals deze slechtste wachtwoorden ooit zijn. We hebben het tegenwoordig volgens mij allemaal, wachtwoorden als ‘$NippelTwister69$’. Hoewel wachtwoorden die door middel van een kruisverwijzing met een woordenboek niet zo sterk zijn, voegen nummers, leestekens en een combinatie van kleine- en hoofdletters allemaal toe aan de complexiteit van het kraken van een wachtwoord. Nu maar hopen dat je niet de bak in moet omdat je je code niet wilt delen met de politie.



14 reacties

Wat ik niet snap is dat men zoveel keer kan proberen en de boel niet locked na 10x een verkeerde code en dan er een wachttijd komt voor iedere verkeerde code erna ?

Waarom pakt Apple de bron van het probleem aan en dus het in mega hoog tempo proberen van codes ??? Dit noem ik pas een MEGA lek.
@turbobrick: Dit is dan ook gewoon een van de opties binnen iOS.
usb restricted mode sinds ios 11.4.1 …. gaap
@dgh74: dat is geen antwoord op het probleem … Een 4 cijferige code is gekraakt binnen het uur.
Waarom accepteerd het systeem zoveel codes ?

De USB restricted mode is in weze een centrale deurvergrendeling die na 1 uur in werking gaat. Binnen het uur kan iedereen ontelbare keren de auto in en uit en proberen de auto te starten.
@turbobrick: Iphone heeft 6 cijfers … dus de 4 cijfer “rel” kan je schrappen. Is weer spectakel voor je .. snap ik.

Waarom denk je dat een bedrijf als apple niet de iphone compleet blocked na 10 foute entries ( makkelijk te doen hoor … zelfs voor apple ) ? Denk eens na.

De kans dat je kind van 3 … 10 x fout drukt tijdens het spelen gebeurt miljoenen keren per jaar. Hoeveel iphones worden er per jaar gehacked met een greykey …. en dat is maar 1 simpel voorbeeldje.

Het is simpelweg de ellende niet waard !!

En 000000 is dom … zoals die gast is … een “journalistiek artikel” hiervan op aparata zetten met daarbij een tweet uit april is zo mogelijk nog dommer. Dit is al een zo goed als een Non issue sind 11.4.1

Fijn weekend verder
@dgh74: 6 digits bij de eerste keer maar je kan hem naar 4 zetten en dat is wat velen doen omdat ze dat gewend zijn net als bij een pincode op de betaalpas.

Je kinder verhaal slaat nergens op want daarvoor heb je timeouts van zoveel minuten na een aantal verkeerde inputs.
Het is dus echt niet zo dat de hele boel wist tenzij je dat extra aanzet.

Door timeouts is zelfs een 4 code pin niet eenvoudig te kraken want het kost teveel tijd.

Ook deze keer ga je vakkundig het probleem vermijden, want je kan onbeperkt codes brute forcen en de iPhone doet er niks aan.
Je enige veiligheid nu is de 60 minuten lockdown maar dat is naar de fout toe corrigeren.
@turbobrick: je kan er weer omheel lullen met al je onzin … beantwoord nou eens onderstaande.

“Waarom denk je dat een bedrijf als apple niet de iphone compleet blocked na 10 foute entries ( makkelijk te doen hoor … zelfs voor apple ) ? Denk eens na.”
@dgh74: hoe simpel ben je eigenlijk ?
Er is een groot verschil tussen foute retries van een kind (pak hem beet 1 retry per 3 of meer seconden) of een ‘robot’ in de vorm van Greykey die een tiental retries doet per seconde hetgeen voor een mens onmogelijk is om te doen.
De frequentie van retries geeft heel simpel aan of je een te maken hebt met een ongelukje of een brute force attack.
@turbobrick: hoe simpel ben jij dan ? Ik stel 2 keer een vraag maar je antwoord niet. Gewoon je bash nonsens over een voorbeeld dat ik ZELF al “simpel voobeeldje” noemde. IQ van een mossel werkelijk.

Dus nogmaals :

Waarom denk je dat een bedrijf als apple niet de iphone compleet blocked na 10 foute entries ( makkelijk te doen hoor … zelfs voor apple ) ? Denk eens na.
@dgh74: Apple heeft hiervoor gekozen omdat het de weg van de minste weerstand is.
Inweze is het lek er nog steeds maar heb je nu hooguit een uur om de code te kraken.
En dus niet het zo maken dat het kraken überhaupt niet kan
@turbobrick: nou dan is onze eindconclusie hetzelfde … de gevolgen zijn nu minder groot met een incidentieel gekraakte iphone.

En nogmaals … “IF 10 times passfail …. THEN delete iphone” kan iedere junior apple wizzkid in IOS bouwen. Beetje kolotuh wanneer ineens duizenden iphones per dag worden gewist door onbenullige zaken ( zoals mijn SIMPELE voorbeeld ) ….

het is dus een bewuste keuze van apple om een superklein deurtje open te houden om de gewone domme consument te sparen van onnodige ellende.

Blij dat we er eindelijk uit zijn …
@turbobrick: nah je kan weer rustig slapen ;-)

9to5mac.com/2018/10/24/graykey-iphone-box-ios-12-blocked/
@dgh74: Joepie, op 2 maanden na 2019 en dan al kan iedere digibeet met wat geld eindelijk niet meer de code bruteforcen ….
Wat een prestatie want het heeft slechts jaren geduurd.
De code is voor mij een soort last resort, de vingerafdruk doet het vaak prima zat.

Geef een reactie:

Je moet ingelogd zijn om reacties te posten, registreren kan HIER (ook via Facebook).