Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla

Kdyby byl limit 5 špatných pokusů za minutu, tak by přizpůsobili dotazování tak, aby se zeptali jen 4x za minutu. Sice by to prodloužilo zkoušení, ale fakticky by jej neeliminovalo. Jelikož je většina hesel dost dlouhodobá a lidé nejsou ochotni si je měnit, není problém to heslo zkoušet najít třeba půl roku, rok,... Nenastavení limitu pouze snižuje časovou náročnost hledání, ale samo o sobě neeliminuje možnost to zkoušet. A vpodstatě se tomu dá zamezit velmi těžko a pravděpodobně pouze za cenu o dost zvýšeného opruzování legitimního uživatele. Zcela hypetotická situace: systém po dvou nebo třech špatně zadaných heslech uzamkne účet a od legitimního uživatele vyžaduje nezávislé ověření a třeba nastavení nového, ještě nepoužitého hesla. Pokud by ale útočník se zkoušením nepřestal, na legitimního uživatele by byly kladeny naprosto nepřijatelné nároky, kdy by snad bezmála pokaždé byl nucen projít složitým procesem. Bohužel není možné v případě mobilních zařízení ověřovat třeba podle IP adresy, která se dynamicky mění a není moc reálné, že by každý mobilní telefon či jiné mobilní zařízení dostalo pevnou IP adresu nezávisle na to, kde na světě se nachází.

Ne. To jen ti, kteří to chtějí a mají to tak nastavené. Ostatní si je obvykle nahrají akorát do svého počítače.

Ne, ono to jde i vypnout

Nediv se, do teďka žádný útok nezažili, takže si hověli, jak jsou dobří, že je nikdo nepřekoná...

Bývá běžné, že tam, kde to myslí s bezpečností klientů vážně, tak minimální počet míst hesla je např. 8 a více. Osobně jsem se s tím setkal a už to také stíží možnost prolomení, pokud nebudeme předpokládat, že někdo přesto nedá heslo 87654321

Bývá běžné, že tam kde se to myslí s bezpečností vážně, je vyžadováno aby se heslo skládalo z písmen, čísel a speciálních znaků.

Čísla a speciální znaky jsou k ničemu. Dlouhá věta je lepší. Navíc tam jak mixed letter a číslice měly a celebritám to stejně nepomohlo.

Od jisté doby to tak mají. Vyžadují celkem silná hesla, heslo nezměníš bez mailu a dvou otázek a nově nabízejí factor 2 autentizaci přes SMS nebo push notifikace.Ale pokud si někdo factor 2 nezapne a heslo má Jmenomehopsa1 což je stejné jako na gmail tak s tím těžko něco uděláš.

Sakra, bych si měl změnit moje heslo aspoň na Jmenomehokocoura2

Až budeš celebrita a bude jméno tvého psa znát řádově miliony lidí, tak budeš mít problém.

I kdyby tam tahle ochrana byla, tak je dost pravděpodobné, že by se do x účtů dostali ... Uživatelé jsou schopní se trefit dejme tomu do prvních deseti nejpoužívanějších hesel ... ;)

Systém má zareagovat na pokus o prolomení, a v případě, že vyhodnotí více těchto pokusů, má okamžitě útočníka odstřihnout, nebo systém odstavit.Tohle je fatální selhání Applu a bude jich více. Pocit bezpečnosti tohoto výrobce byl jen v tom, že jej používalo málo lidí, čím více to rostlo, tím více je zajímavější pro útok. A najednou se ukazuje, že oproti konkurenci, třeba Microsoftu je deset let pozadu.

"Systém má zareagovat na pokus o prolomení, a v případě, že vyhodnotí více těchto pokusů, má okamžitě útočníka odstřihnout, nebo systém odstavit."To je sice pravda, ale pokud útočník bude zkoušet vždy 10 nejpoužívanějších hesel per účet a bude střídat IP adresy, tak má 100% jistotu, že se dostane do velkého množství účtů a u libovolné společnosti. Ani MS na tohle nemá žádnou ochranu (protože taky jak tohle vyřešit? Nechat uživatele zadat heslo 3x a pak mu blouknout účet? Asi ne ...), 10x zadat špatně heslo je všude ještě "ok". Jediná spolehlivá ochrana je pro každý pokus o přihlášení prodloužit dobu zpracování a to útočníka maximálně zbrzdí, takže to taky není spolehlivá ochrana. A potom dvoufázové přihlašování, které nabízí všichni, včetně Applu jako volitelné ...

tak sorry, ale když mám heslo typu 123456, tak se prostě nemůžu divit. To že neměli omezenej počet pokusů je už vedlejší. (a to ještě teď nevím jestli ho měli omezenej na 500 nebo to jen projistotu ten hacker nepokoušel víc než 500pokusy). Dřív byly normálně služby bez limitu přihalšovacích pokusů a zmíněných 500pokusů bylo možný udělat za jednu sekundu a nikoho to nezajímalo.

Pak nezbývá než intimní fotky nefotit iPhonem... nebo je radši nefotit vůbec.

Ono úplně stačí uchovávat soukromé informace soukromým způsobem. Tedy buď na externím médiu doma (i když i to může zloděj fyzicky ukrást), nebo je aspoň nenahrávat do veřejného cloudu. Nechápu, jak vůbec může někoho napadnout nahrávat soukromé fotky nějakm na net, bez ohledu na platformu.

Můžete mi prosím objasnit, co je to ta autentifikace? Znám autentizaci i autorizaci, ale autentifikace je pro mě nový pojem. Děkuji.

http://prirucka.ujc.cas.cz/...

Pan Dvořáček se vám tím jemným sarkasmem snažil naznačit, že ten nekodifikovaný novotvar je zbytečný paskvil, protože je redundantní: anglické "authentication" není nic jiného než české "ověření totožnosti" (pokud se namísto jedince nejedná o dokument, pak by to bylo "ověření pravosti"). Není důvod mít dvě paskvilovité alternativy; ona už i ta jedna ("autentikace") dokáže člověku s jazykovým vkusem zahýbat žlučí.

Díky,je zajímavé, že před 11 lety tato slova slovník ještě neobsahoval :)http://interval.cz/clanky/hrichy-pro-sileneh... ...

A máme možnost kastomizovat aplikaci dle našich nýdz?

Jednoznačný závěr by měl znít, že každý uživatel používající tupé heslo ze seznamu nejpoužívanějších je ohrožený prakticky u jakékoliv služby. Protože i kdyby tam existovalo zablokování přístupu po nějakém počtu neúspěšných pokusů, stále existuje možnost testovat to třeba pomaleji, aby se mezitím legitimní uživatel stíhal přihlašovat korektně a resetoval tím počitadlo neúspěšných pokusů. Sice by to ověření seznamu hesel trvalo třeba rok, ale uživatel používající tupá hesla nebude asi zrovna aktivní v pravidelné změně hesla za jiné. Ta možnost otestovat hesla najednou sice přispěla k rychlosti odhalení hesla, ale dostat by se tam prostě dalo i bez toho, jen o pár dnů později.

....a cítila se degradovaná na pouhý objekt mužské sexuální touhy,.... zadara

Presne, pokud nebyla chyba na strane Apple, pak proc danou chybu opravoval, kdyz to nebyla chyba. :)

Názor byl 2× upraven, naposled 03. 09. 2014 11:55

Stovky su prd, problem by boli miliony-miliardy. Ak ti niekto uhadne heslo na povedzme 200 pokusov tak si blbec a nepomoze ti nic....

To nic nemení na tom, že to zkonil Apple.

Pokud člověk není kripl musí mu stačit 5 pokusů a pak blok na určitou dobu.

i kdyby to blokli na den, tak těch 500 hesel půjde vyzkoušet... prostě udělají 3 pokus denněnechají přihlásit cíl a další den to zkusí znovu, za rok se tam dostanou... v takovém případě se vyplatí měnit heslo každý měsíc... i když i tak má útočkík kolem stovky pokusů...

Hele a co třeba že by Apple upozornil majitele že něco takového se mu děleje s účtem?

Neblazni. Tim by vyvolali jen paniku. Me by zajimalo jestli pri prvnim vlozeni hesla reknou, ze to heslo je slabe/silne a navrhnou co treba pouzit ty standardni kombinace mala/velka interpunkci, pismena atd... A zkousel uz nekdo u takoveto sluzby vynutit silne heslo (treba kontrolou proti slovniku?) ? Nebo to nejde, protoze vse je delane pro BFU a pro ty je to prilis slozite a utekli by nekam jinam s mensim zabezpecenim?

Bohužel, k Apple ID můžeš mít téměr libovolné heslo ... Souhlasím že poskytovatelé služeb, kde se pracuje s citlivými daty včetně Applu by měli už z principu uživatele donutit použít bezpečné heslo.

Ale toto vobec nie je pravda. Ku apple ID je podmienka minimalne 8 charakterov, male/velke pismena a musi byt aj cislo.
Problem je, ze kedysi pred neviem kolko rokmi to tak nebolo. V amerike pouziva kazdy apple, cize apple id a heslo k nemu si vytvorili uz roky dozadu a odvtedy ho nemenili. Ja pouzivam iphone od iphonu 4 (ios4) a uz tam som mal ako nutnost splnit hore spomenute pravidla. Cize uz cca 4 roky ta podmienka urcite existuje.

Jenže tyhle podmínky neznamenají bezpečná hesla. Alespoň pokud jde o slovníkový útok, tak se objeví hesla jako Agent007 nebo Passw0rd.
Osobně si myslím, že mnohem lepší je mít heslo ve formě více slov TajneHesloNaZive, které slovníkový útok nemá šanci odhalit, ale jsou snadná na zapomatování... tady by pomohla mnohem víc podmínka alespoň 16 znaků, i když i tak by se našel někdo s heslem abcdefghijklmnop nebo qwertzuiopasdfgh... lidi jsou nepoučitelní. Jediné řešení je lidem nepovolit žádné z tisícovky nejpoužívanějších hesel nebo něco podobného...

O tomhletom jsem taky uvazoval ale nevim jestli to je idealni. Pokud mam TajneHesloNaZive a TajneHesloNaGoogle, tak kazdemu dojde jak asi budou vypadat ostatni hesla...
Na druhou stranu - je to vcelku idealni na pamatovani, pokud clovek nechce pouzivat ruzne databanky na hesla.
Nevyhodou tohodle je omezeni nekterych poskytovatelu sluzeb. Napriklad microsoft omezuje delku hesla na maximalne 16 znaku. S tim jsem se nanestesti pri aktivaci win8 setkal protoze MS se snazi vnutit lidem propojeni lokalniho a online uctu (ktere pak maji stejne heslo) ale mnou nastavene heslo MS odmitl skousnout (na samostatnem lokalnim uctu samozrejme fungovalo)
edit: kdyz jsem tak patral po okolnostech, zjistil jsem ze pokud mel nekdo drive nastavene delsi heslo, microsoft mu toto heslo zmenil (zkratil) prave na prvnich 16 znaku. To ale znamena, ze musi byt schopni desifrovat heslo do puvodni podoby. Coz je v podstate totez jako kdyby ho ulozili do plaintextu. A to je neuveritelny bezpecnostni pruser...

Názor byl 1× upraven, naposled 06. 09. 2014 12:23

Ked sa ti niekto prihlasi na find my iPhone apple ti okazite (prakticky do sekundy) posle mail....

.... i když jsem instaloval novou verzi OSX a připojil Macbooka k iCloudu. Opět e-mail, že někdo připojil nové zařízení, pokud jsem to nebyl já, tak mám bla, bla, bla....

Už po prvních pěti měl aspoň vyžádat captcha, prodloužit dobu do povoleného dalšího pokusu a ideálně to u každého dalšího špatného pokusu gradovat. Pokud povolil 500 rychlých pokusů, kde je záruka, že by jich zamítl milion?

to je na Apple moc, inteligentní vývojaři totiž Apple míjí obloukem :)

Jasné.... a realita je taková, že pokud jsem slyšel někoho tady ve firmě nadávat na nějakou platformu, tak to byl NET (platí to i o MSSQL) od Microsoftu.

jak NET souvisí s neschopností Apple ?

I kdyby to nešlo vyzkoušet najednou, klidně by se dal udělat skript, který vyzkouší ke každému účtu třeba 1 heslo denně. Legitimní uživatel se mezitím s největší pravděpodobností korektně ověří, takže další pokus by byl již s novým počítáním. Trvalo by to sice déle, ale stejně by na to heslo útočník přišel s naprosto mizivou šancí, že jej kdokoliv odhalí. Tato chyba útočníkovi pouze umožnila ten proces o něco zrychlit, avšak neznamená sama o sobě to, že je účet s tupým heslem bezpečný. A podobný postup by mohl fungovat prakticky kdekoliv.

no když je telefon ukradenej tak tam někdo může sypat pokusy a proto nebyl limit. kdyby neměli hesla přímo z top500 nebo jejich kombinacích doteď by fotky nebyli venku. bavíme se o miliardě kombinací které by si někdo všiml. nehledě na to že by to třeba dělali "nenápadně" tak dlouho kdy by došlo mezitím ke změně hesla.

jenže oni lžou, útok proběhl přes katastrofální zabezpečení Find my phone, které dovolilo zkoušení hesel, naprosto katastrofální začátečnická/z jesliček chyba neschopných pracovníků Applutoť jsou fakta, smiř se s tím, že Apple je v bezpečnosti naprosto katastrofální, viz další články:"I can make you call a phone number by clicking a link in any app that didn't implement custom handling for tel links"
"President Obama Cannot Use Apple’s iPhone Due To Security Reasons"
Hackers: "Do not use iPhones. I mean, you can use them, but do not store your personal data there"

Ty koukám bojuješ každej den

Tumas neco, abys mel co psat :D
http://nakedsecurity.sophos.com/2014/07/10/google-drive-s... ...

jednou za rok se aspoň zasměješ ty, ale u Applu je díra každý týden

Hmm, co třeba odkaz?

už jsem ti poslal 3 citáty (stačí dát do goolu, první odkaz), ale dám ti plno dalších, na Apple toho jsou tuny :)"iPhone is most vulnerable, least secure smartphone in the market, security firm finds"
"40% of iOS popular apps invade your privacy without any permission"
"Apple iOS Apps Leak More Personal Info Than Android"
"Remotely Assembled Malware Blows Past Apple’s Screening Process"Huffington Post: "iPhones, iPads Hacked And Held For Ransom"
"iOS 7 Security Flaw Leaves Stored Email Attachments Unencrypted"
"iPhone Security Flaw Can Let Apps Act as Keyloggers"

"Most Mobile Banking iPhone Apps Are Full of Security Flaws"
"Foxconn's iPhone 5 devices fall below agreed standards"
"IPHONE APPS ACCEPTING SELF-SIGNED SSL CERTIFICATES" - Almost every app in the App Store has almost no security about your personal data.
"App that sneaks into App store can be used to steal data"
"How Apple and Amazon Security Flaws Led to My Epic Hacking"

Nemyslím si, že by šlo o to jak často k tomu dochází. Každý sw má nějaké díry (kromě hello-world programu) a rychlost objevování těch chyb závisí jen na tom, kolik lidí se na to soustředí.
Mnohem důležitější mi přijde, jak se k chybám jednotlivé firmy staví. Apple chybu popře případně nálezce (kterému rupnou po čase nervy) zažaluje. Poté chybu opraví a případně znovu zopakuje, že k žádné chybě nedošlo.
Google naopak má vlastní program na podporu lidí, kteří chyby v jeho sw hledají. Když se chyba objeví, google to přizná, chybu opraví a nálezce odmění. Pokud místo oznámení dojde k zneužití, pak sice nálezce neodmění ale přesto google nepopírá, že k chybě došlo.Takový rozdíl podle mě mnohem víc popisuje rozdíly ve vnímání chyb v jednotlivých společnostech.

1. Mnohem důležitější mi přijde, jak se k chybám jednotlivé firmy staví. Apple chybu popře případně nálezce (kterému rupnou po čase nervy) zažaluje.Pokud vím, tak byl problém v tom, že byl někdo schopen obejít aktivační systém nebo něco podobného.Pokud to někdo zneužije, tak mají pravo ho vést k zodpovědnosti.2.Google naopak má vlastní program na podporu lidí, kteří chyby v jeho sw hledají. Když se chyba objeví, google to přizná, chybu opraví a nálezce odmění. Pokud místo oznámení dojde k zneužití, pak sice nálezce neodmění ale přesto google nepopírá, že k chybě došlo.Tahle metoda je dobrá, ale otázka je jestli to platí pořád, mám pocit, že FB měl něco podobného, a nakonec musel hacker oupdatovat FB profil Markovi, aby se začalo něco dít ...Ke Googlu, bezpečnostní problémy a chyby na Androidu jsou v řádově uplně v jiných hladinách. Mluvím o známých exploitech a nemožnosti aktualizovat telefon. Nic ve zlém, je to dáno i větší otevřeností systému.,3. Takový rozdíl podle mě mnohem víc popisuje rozdíly ve vnímání chyb v jednotlivých společnostech.Já si myslím, že to je trošku jednostranný pohled. Dokonce bych si tipnul, že fungujete na věcech od Googlu.Další věc je, že načasování týden před vydáním iPhonu není náhoda.No a přemýšlím, komu by to pomohlo ...

tipnul jste si špatně. Androidí telefon jsem nikdy neměl a vzhledem k známým problémům s nenažraností systému po něm zatím netoužím. A moje hodnocení je čistě objektivní - důvody jsem již popsal. Pro Vaše potěšení je rád popíšu znovu:
Pokud vidím dvě firmy, z nichž jedna po prolomení chybu opraví a přizná, má u mě větší sympatie než druhá, která po prolomení chybu opraví a popře. Proč lžou? Vám přijde lhaní sympatické? Přijde vám lepší tvrdit, že žádná chyba v jejich SW nebyla, než si přiznat že udělali chybu?
Na mě osobně takové nepravdivé vyjádření působí velmi negativním dojmem a nedovedu si představit jaký člověk by byl nadšený z toho, že mu firma lže jen aby se na oko tvářila jako že jsou neomylní.

Na stranu druhou, když se mi u googlu nějaký bot snažil ulovit heslo, google mě na to při dalším loginu upozornil a (vzhledem k tomu že jsem ho měl nastavené) požádal o potvrzení identity přes telefonní číslo.

Po mně Google chtěl telefonní číslo, i když jsem se k účtu snažil dostat sám (s překlepem v heslu)...Nicméně co mi vadí je, že potrvrzení přes telefon nastavené nemám, nechci a stejně ho google vyžaduje, ne že by to nešlo obejít...

Zase?Ty si prostě nedáš pokoj, tak co kdyby si sem misto toho tvého výplodu hodil linky, aby si mohl člověk udělat názor sám.

když je pro tebe těžké "copy paste google - máš zdroje", tak tobě nepomůže ani druhý mozek :)

Já ale nic z toho nezpochybnil. Ano, Apple tam měl mít nastaven limit pro maximální počet pokusů zadání hesla. Je to jejich chyba, o tom žádná. Já zpochybnil předešlý článek publikovaný na mobilmanii, kde bylo tvrzení o nabourání se do systému iCloudu, k čemuž nedošlo. Došlo jen a pouze k prolomení hesel k účtům. Vinu bych v tomto případě rozdělil 50/50 mezi uživatele a chybu Applu.

Mno ono je to de facto stejná redakce, stejní lidé. Ostatně tentýž článek vyšel i zde na Živě. Takže sice jde o nezaujatý článek, ale popravdě jde o "omluvný" článek.
Ostatně, co lze čekat od médii. Ženou se za každou senzaci, aniž si ověří fakta. V tomto případě nečekali na stanovisko od Apple. Místo toho to hned označili za "možný" útok na službu.

Problém je, že kdekoliv jinde v relevantních zdrojích bylo již v pondělí k nalezení, že byla prolomena hesla, ne samotné zabezpečení služby.

50\50???
Jasně, nanynky měli blonďatá hesla, ale s tím musí Apple počítat a systém tomu přizpůsobit. Když patery dveře zabezpečí a jedny ne, tak to je chyba Apple.
Nebýt té slabiny, tak k žádnému masivnímu (automatizovanému) prolamování a úniku nedošlo.

No jasně, teď to vypadá jako školácká chyba, jenže kdo napsal větší věc než "hello world" ví, že se něco vždycky opomene. Nikdo nemyslí vždycky na vše a tím je právě prostor pro útok.Mě třeba k útoku na web stačilo, že jsem tam mohl nahrát přílohu . Výsledek byl, že jsem jim poslal jejich databázi a upravil default.asp přidáním alert okna

tohle opomenou "profesionálové" u Applu? ježiši, pak musí být vše od Applu VELMI nebezepčné!
tohle, se vsadím, neopomene žádná větší IT firma, KROM APPLE

Jasně a auditoři na ISO 27001 nebudou mít co žrát. To by jste se divil pane, na jaké úrovni je zabezpečení systémů

Jsem rad, ze se mezi nami vzdycky objevi nejaky ten inzenyr z MIcrosoftu, ktery vzdy pohotove predhodi ty nejpadnejsi argumenty o mizernem zabezpeceni ze strany Apple. (Diky bohu) Bez toho bychom se snad nemeli cemu zasmat. Btw. Jak moc je bezpecny system, ze ktereho nam zrovna pises? Snad pouzivas dobry antivirus, firewall a nejake srajdy na odstraneni spyware... A uz jsi cetl o tom, co vsechno nemuze Obama pouzivat pro volani? Pokud vim, tak mu puvodne zakazali i jeho oblibeny Blackberry.

no, třeba já píšu z chromebooku, žádné firewally, antiviry ani jiné srajdy nepotřebuju...

Nic ve zlém, ale zrovna tebe jsem se neptal. :) Jinak je fajn, že se začíná Chromebook rozšiřovat i v české kotlině...

To je ale dané spíš tím, že ChromeOS má tak minoritní podíl na trhu, tak se nikomu nevyplatí do něj nabourávat. No a jestli se někdo umí dostat ke tvým datům uloženým u Googla se spíš nedozvíš, protože nejcennější je bug, o kterém nikdo jiný neví. Data se pak kradou mnohem líp a ve větším měřítku.

Když bude někdo chtít na něco zaůtočit, tak to udělá. Útoky bývají většinou cílené na konkrétní systém, službu někdy dokonce i na konkrétní účet. Protože chci data, prachy nebo administrátorský účet. Opačně bych se choval, když budu chtít vytvořit botnet, to zaůtočím na nejrozšířenější platformu (nejlépe přes uživatele)...

Jsou dva typy útoků (no ono je to složitější), ale buď na konkrétního člověka (účet) nebo plošný, kdy zkusím heslo 'heslo' na milionu účtů a posléze budu zkoumat, co na tom 0.1% (pořád nějakých 1000 účtů), kde uspěji, je zajímavého. Plošný útok se vyplatí dělat jen na masově rozšířené služby/systémy... čím vyšší je počet uživatelů, tím více dat lze získat i při mizivé úspěšnosti.

Tebe někdo po ránu místo budíčku tluče něčím hodně těžkým o hlavě?

tak si zatlač modřinu nožem :)