© PXimport
Wachtwoorden synchroniseren op je Apple-device
Elk wachtwoord dat je aanmaakt moet uniek zijn: elke site, dienst of systeem heeft zijn eigen wachtwoord nodig. Bovendien moet het lang zijn, geen woorden bevatten die in een woordenboek staan, leestekens bevatten, een duidelijk omschreven gedachte en het beroemde puddingrecept van je oma.
Wachtwoorden zijn belachelijk, en ze kunnen je afschrikken omdat er constant miljoenen wachtwoorden uit gekraakte databases en websites gelekt worden. Misschien ben je uitgegroeid tot een fatalist die aanneemt dat je wachtwoorden waarschijnlijk zullen falen, hoe je ze ook aanmaakt en gebruikt. Lees ook: Complexe wachtwoorden onthouden lastig? Valt wel mee!
Maar je hoeft niet wanhopig te worden. Het is nog steeds de moeite waard om unieke, sterke wachtwoorden aan te maken die je niet onthoudt - behalve eentje, en die kun je gewoon onthouden zonder iets te riskeren.
123456
Waar je meestal iets over hoort is het lekken van accountnamen of e-mails die aan versleutelde wachtwoorden gekoppeld zijn. Dat zijn wachtwoorden die gecodeerd zijn met behulp van een cryptografische "hashing"-functie, die de platte tekst (je daadwerkelijke wachtwoord) door een aantal wiskundige bewerkingen heen haalt. Het resultaat daarvan niet kan worden omgekeerd om het oorspronkelijke wachtwoord te herstellen.
Veelvoorkomende wachtwoorden kunnen getoetst worden aan de 'gehashte' resultaten. Zo kun je met terugwerkende kracht beredeneren wat het wachtwoord met zijn. Daarom weten onderzoekers bijvoorbeeld dat "123456" een veelvoorkomend wachtwoord is.
In deze lekken, mits de wachtwoorden überhaupt versleuteld zijn, zal het kiezen van een sterk wachtwoord ervoor zorgen dat het lastiger te kraken is. Als je voor alles een verschillend en sterk wachtwoord kiest, betekent dat ook dat het complete falen van een bepaalde dienst of website er niet voor zorgt dat elk aspect van je identiteit overal toegankelijk is.
Net als met veel andere aspecten van online beveiliging, tenzij je een specifiek doelwit bent - waarbij een kwaadwillende partij, een crimineel of een overheid pogingen doet om precies jouw gegevens te paken te krijgen - kun je je risico nog steeds beperken. Maar misschien denk je wel vooruit: als ik een aantal wachtwoorden aanmaak die onmogelijk te onthouden zijn, moet ik ze dan niet op een bepaalde, onveilige, manier beveiligen? Daar kom ik op terug.
Sterke wachtwoorden
Het is simpel om unieke wachtwoorden in te stellen en op te slaan zodat ze beschikbaar zijn wanneer je ze nodig hebt. Apple's toevoeging van iCloud Keychain in Mac OS X 10.9 Mavericks en iOS 7 in 2013 was een begin, maar was onvolledig. In Safari kunnen iOS en OS X een lang, sterk wachtwoord aanbevelen en dit vervolgens lokaal opslaan en, als je dat wilt, het naar andere apparaten synchroniseren die op hetzelfde iCloud-account zijn ingelogd.
Apple genereert resultaten die bijna te onthouden zijn: twaalf karakters in vier groepen (gescheiden door koppeltekens) met een mix van hoofdletters, kleine letters en cijfers. iCloud Keychain zal ook wachtwoorden opslaan en synchroniseren die je in webformulieren invoert (met jouw toestemming), en andere systeemwachtwoorden, waaronder die voor wifinetwerken.
© PXimport
Extensies in iOS 8 maken 1Password nog handiger dan het al was.
Het aanmaken en opslaan van wachtwoorden werkt alleen binnen Safari, hoewel apps van derden iCloud Keychain voor opslag en synchronisatie kunnen gebruiken. Verscheidene opties van derden bieden vergelijkbare voordelen en uitgebreidere opties. Ik gebruik 1Password; veel van mijn collega's gebruiken LastPass. Deze combinaties van een wachtwoordgenerator en een kluis werken op verschillende platforms en bieden meerdere synchronisatiemethodes. In iOS 8 kunnen ze direct in Safari gebruikt worden met App Extensions. 1Password heeft een API die veel populaire apps hebben aangeboord, waardoor je je opgeslagen wachtwoorden buiten de 1Password-app kunt gebruiken. Ze bieden allebei ook Touch ID voor ontgrendeling
Wel of niet synchroniseren
Maar als je zoveel moeite doet om verschillende wachtwoorden aan te maken, is het niet een ontzettend slecht idee om ze allemaal op één plek te hebben staan, beschermd door slechts één enkel wachtwoord dat je moet kunnen onthouden? En als je je wachtwoordencache via Dropbox, iCloud of een ander cloudopslagsysteem synchroniseert, stel je die wachtwoorden dan niet bloot aan eenvoudige massale diefstal? Niet echt, ook al lijkt het misschien een enorm risico.
© PXimport
Tweetrapsidentificatie maakt het allemaal nog een stukje veiliger.
Ten eerste moet je aan fysieke toegang denken. iCloud Keychain en 1Password vereisen dat je lokale toegang tot een apparaat of computer krijgt. (Het delen van het scherm van je Mac op afstand is ook een risico, afhankelijk van de manier waarop je dat hebt ingesteld).
Ten tweede: zelfs met fysieke toegang (of web-gebaseerde toegang met LastPass, wat ik hierna uit zal leggen) moet iemand je hoofdwachtwoord of andere factoren hebben. Apple en wachtwoordapps van derden bieden allerlei opties om toegang op mobiele apparaten en computers verder te beveiligen. Zelfs als iemand een archief voor een app van derden in bezit krijgt en uren- of jarenlang automatisch verschillende wachtwoorden kan uitproberen, maakt de slimmere methode waarmee 1Password, LastPass, en dergelijke je hoofdwachtwoord hashen het simpelweg te duur.
Ten derde: het verkrijgen van toegang tot in de cloud opgeslagen data bestaat uit twee delen. De eerste is accounttoegang, de tweede is het decoderen van de daar opgeslagen data - hetzelfde probleem als in het tweede punt hierboven. Apple beveiligt iCloud Keychain met extra bescherming bovenop de nu versterkte beveiliging van iCloud-opslag in het algemeen. Het is zo veilig dat je jezelf per ongeluk kunt buitensluiten en niet kunt synchroniseren. Ik moet bekennen dat dit mij bijna overkomen is na een iPhone-upgrade waarbij ik geen PIN had opgeslagen die ik als back-up gebruik. (Zie je wel, het overkomt ons allemaal wel eens).
Beschermingslagen
1Password kan via een aantal verschillende methodes synchroniseren, waaronder lokaal via wifi, maar wanneer het data op Dropbox zet zou een aanvaller je Dropbox-wachtwoord nodig hebben, en moet hij ook nog je hoofdwachtwoord hebben om de data te kunnen decoderen.
LastPass gebruikt zijn eigen cloudopslag voor synchronisatie en browsertoegang, wat betekent dat iemand alleen maar de accountlaag hoeft te doorbreken. Maar het bedrijf biedt een scala aan methodes om legitimatiegegevens te beperken en te valideren.
Wat dit duidelijk moet maken is dat het zwakste punt in al deze systemen datgene is wat je wachtwoordopslag ontgrendelt. Met Apple, omdat er extra stappen vereist zijn om apparaten te valideren die synchroniseren, ben je afhankelijk van alle beschermingslagen het bedrijf voor OS X, iOS, en iCloud biedt.
© PXimport
Met een Touch ID heb je helemaal geen masterwachtwoord meer nodig.
Met 1Password, LastPass en dergelijke moet je een hoofdwachtwoord selecteren dat sterk is, dat je kunt onthouden en dat niet lastig in te voeren is op een mobiel apparaat (tenzij je meestal gebruik maakt van Touch ID).
Een website met slechte beveiliging kan de wachtwoorden van gebruikers kwetsbaar maken. Maar ik ben een fan van verzuiling. In plaats van het op te geven en overal een zwak wachtwoord te gebruiken, is het veel beter om unieke wachtwoorden te gebruiken die je nooit kunt onthouden en een sterk wachtwoord om ze te beschermen, zodat je minder risico loopt als gevolg van slechte beslissingen van anderen.
