26 berichten aan het bekijken - 1 tot 26 (van in totaal 26)
  • Q:
    Bijdrager
    leopard

    Sleutelhanger niet veilig?

    In een artikel op de site van Apple tips waarschuwen ze op de onveiligheid bij het opslagen van je paswoord via safari om. Ben je dan beter af met een ander programma om je wachtwoorden van safari op te slaan. Thans handig om je paswoord niet telkens hoeft te typen op je favorieten websites.

    Pas op met wachtwoorden en automatische formulieren in Safari!

    Moderator
    unSOUND

    Het gaat dus alleen op voor mensen die direct aan jouw Mac kunnen op het moment dat je even weg bent… Daar heb je toch een screensaver met wachtwoord voor, of het vergrendelen van het bureaublad ?

    Bijdrager
    Damio

    Dat is ook de reden waarom ik een wachtwoordvenster laat verschijnen nadat mijn schermbeveiliging aanspringt. En de wachtwoordenbeheerder in Firefox4 is ook nog steeds niet veilig. Ik kan via de instellingen gewoon al mijn wachtwoorden bekijken. Dus iedereen die toegang heeft tot mijn Mac, als ik net wegloop en mijn schermbeveiliging nog niet aan is, die heeft toegang tot ál mijn opgeslagen wachtwoorden. Heeft iemand hier een oplossing voor? Bestaat er niet een add-on voor ofzo?

    Bijdrager
    Pieterr

    Je screensaver (in Exposé) aan een van je 4 hoekpunten koppelen, en je cursor die hoek inknallen als je wegloopt.

    Bijdrager
    SunKeeper

    Als ik in de Sleutelhanger een wachtwoord van mijzelf wil opvragen, moet ik toch eerst mijn beheerderswachtwoord invoeren.

    Er hangt wel een slot in je bovenbalk wat je open en dicht kan zetten. Probeer dat eens?

    Bijdrager
    Damio
    Pieterr op 10 april 2011

    Je screensaver (in Exposé) aan een van je 4 hoekpunten koppelen, en je cursor die hoek inknallen als je wegloopt.

    Bedankt, alleen ik zit omdat ik een Bamboo tablet gebruik nogal automatisch snel in de hoeken. Maar toch bedankt hoor;-)

    Bijdrager
    tinus_omt

    Als je het programma “Keychain Access” start en de preferences opent, is er een optie om de status in de menubalk te zetten. Dan krijg je een slotje in de menubalk. Onder dat slotje zit een menuutje waarmee je onder andere je Mac meteen kunt locken.

    Bijdrager
    Damio
    tinus_omt op 10 april 2011

    Als je het programma “Keychain Access” start en de preferences opent, is er een optie om de status in de menubalk te zetten. Dan krijg je een slotje in de menubalk. Onder dat slotje zit een menuutje waarmee je onder andere je Mac meteen kunt locken.

    Ok, maar de simpelste oplossing heb ik zelf gevonden;-) Als ik wegloop, klik ik gewoon op mijn naam en dan op ‘Inlogvenster’ ;p

    Moderator
    unSOUND
    tinus_omt op 10 april 2011

    Als je het programma “Keychain Access” start en de preferences opent, is er een optie om de status in de menubalk te zetten. Dan krijg je een slotje in de menubalk. Onder dat slotje zit een menuutje waarmee je onder andere je Mac meteen kunt locken.

    Dat is dan ook de functie “vergrendel bureaublad” waar ik het in mijn eerste post over had.

    Bijdrager
    leopard

    Ik heb het artikel eens beter gelezen, inderdaad als ik mijn iMac even verlaat en er is bezoek in mijn kot, dan zorg ik altijd dat ik mijn Mac veilig heb ingesteld zodat ze eerst mijn paswoord moeten kennen om te kunnen inloggen om boven in mijn balk op het slotje te klikken en de boel veilig te vergrendelen.

    Bijdrager
    defores

    Volgens mij klopt het niet wat Apple Tips zegt.

    Bij mij leest ie niks uit.
    En wat uitgelezen wordt op het moment van wijzigen van het wachtwoord wordt volgens mij uit het veld in het formulier opgehaald en niet uit de sleutelhanger, immers heb je daar een wachtwoord voor nodig.

    Apple Tips is te voorbarig om meteen het probleem met de sleutelhanger te associëren.

    Bijdrager
    Oppie

    Het gaat dus NIET erom dat het hulpprogramma ‘Sleutelhangertoegang’ onveilig zou zijn.

    En wat Damio zegt: het is ongelofelijk, maar FF is met versie 4 nog steeds zeer onveilig.
    Want waar het bij Safari om een soort bug gaat, met dus een ingewikkelde manier om een ww te achterhalen, kun je bij FF er gewoon om vragen, en dan krijg je ‘m, zomaar…
    Daar zou beter een tip aan gewijd kunnen worden!

    Bijdrager
    Damio
    Oppie op 10 april 2011

    Het gaat dus NIET erom dat het hulpprogramma \’Sleutelhangertoegang\’ onveilig zou zijn.

    En wat Damio zegt: het is ongelofelijk, maar FF is met versie 4 nog steeds zeer onveilig.

    Want waar het bij Safari om een soort bug gaat, met dus een ingewikkelde manier om een ww te achterhalen, kun je bij FF er gewoon om vragen, en dan krijg je \’m, zomaar…

    Daar zou beter een tip aan gewijd kunnen worden!Nou, dan bij deze:

    In Firefox is het mogelijk om een hoofdwachtwoord in te stellen. Wil je voortaan toegang hebben tot de wachtwoordbeheerder, dan zul je eerst het hoofdwachtwoord moeten intypen voordat je toegang hebt tot al je wachtwoorden. Je moet dit wachtwoord eens per sessie invoeren om Sleutelhangertoegang te activeren.

    Is dus nog steeds niet helemaal veilig, aangezien mensen nog steeds kunnen inloggen als je je computer even alleen laat. Maar ze kunnen dan niet meer je wachtwoorden bekijken;-) Bij Safari heb ik een dergelijke functie nog niet ondekt helaas, maar ik gebruik geen Safari. Misschien heeft iemand anders deze functie al wel ontdekt? Maar bij Safari kun je dan ook niet de wachtwoorden bekijken. Ze worden gewoon ingevuld, dus even sterk aan beveiliging als Firefox. Alleen heb je bij Firefox de mogelijkheid om de wachtwoorden te bekijken, mocht je ze vergeten zijn. Dit heb je bij Safari dus niet. Je moet hierbij bij Firefox dus wel iedere keer dat hoofdwachtwoord intypen… (Maar dat heb ik er wel voor over, aangezien ik vaak dingen vergeet :eek:)

    Bijdrager
    Oppie

    Ja, en dat hoofdwachtwoord staat standaard uit, dus daar ga je.

    Safari maakt gebruik, net als elke andere Apple app, van Sleutelhangertoegang.
    En daar kun je al die wachtwoorden bekijken, NA intoetsen van het account-wachtwoord.

    Bijdrager
    SunKeeper

    Dus wat is er dan onveilig aan? Volgens mij niets hoor.

    Er wordt wel veel kritiek gegeven op Apple en Safari, maar evengoed werkt het volgens mij zo slecht nog niet.

    Bijdrager
    Oppie

    Op welke uitspraak reageer je?
    Want Safari is naar mijn idee veilig; FF daarentegen niet, dat is wat ik meld.

    Bijdrager
    SunKeeper

    Ik reageer op de topictitel.

    Bijdrager
    macpro

    De topictitel past niet bij het topic zelf. Zou beter zijn als die wordt aangepast om verdere misverstanden te voorkomen.

    Bijdrager
    tinus_omt

    Het is natuurlijk onzin om te zeggen dat Firefox onveilig is omdat je je eigen wachtwoorden kunt lezen. In alle browsers die wachtwoorden onthouden kun je gewoon een pagina openen waar hij zo’n wachtwoord op invult en dan met javascript het veld waar hij dat heeft ingevuld uitlezen of veranderen in een gewoon veld, zodat je het kunt lezen.

    De ontwikkelaars van Firefox hebben er voor gekozen om geen namaak beveiliging te maken, maar je twee keuzes te geven:

    1. De wachtwoorden worden met base64 codering opgeslagen, zodat je wachtwoord niet meteen over het scherm scrollt als je de bestanden waar de instellingen in zitten opent.
    2. Je kiest een hoofdwachtwoord en dan worden de wachtwoorden op een veilige manier gecodeerd zodat je ze echt alleen met dat hoofdwachtwoord kunt achterhalen.

    Eigenlijk zijn er geen andere mogelijkheden, je kunt een gebruiker nou eenmaal niet met behulp van programma’s die als die gebruiker draaien tegen hemzelf beschermen. De gebruiker kan gewoon een debugger starten en het programma alles laten doen wat hij wil. Dat kan ook als je bijvoorbeeld de sleutelhanger gebruikt.

    Bijdrager
    Oppie

    Het is natuurlijk onzin om te zeggen dat het onzin is om te zeggen dat Firefox onveilig is omdat je je eigen wachtwoorden kunt lezen.
    Want die workaround met Java ken ik niet, maar ik wil best geloven dat je gelijk hebt.
    Dan nog is het achterhalen van een aantal wachtwoorden een aardig karwei, omdat je dit voor elke ww opnieuw moet doen.
    In FF echter kun je in een paar seconden ALLE wachtwoorden zien, screenshot maken en klaar ben je.
    Dus als iemand een kleine minuut op jouw Mac kan doorbrengen, ben je al het haasje.
    Schijnveiligheid?!

    Bijdrager
    Damio

    Het probleem is denk ik dat als je in Firefox geen hoofdwachtwoord hebt ingesteld, dat je dan gewoon bij de wachtwoorden kunt, en dat je die wachtwoorden kunt kopiëren en kunt gaan proberen op andere login’s. Dit kan dus ook bij PayPal zijn, of bij wat dan ook. Dat is denk ik het echte gevaar. Ik denk dat het gewoon helemaal niet handig is, die wachtwoordbeheerder, en dat er gewoon eens een écht goed programma op de markt moet komen waar over na is gedacht. Bijvoorbeeld dat je een toetscombinatie moet invoeren op het moment dat je de wachtwoordbeheerder wilt gebruiken (die stel je zelf in) en dat je daarna nog het hoofdwachtwoord moet intypen. Daarmee onthoud hij wel je wachtwoorden, en raak je ze dus niet kwijt.

    Bijdrager
    tinus_omt

    Als iemand een kleine minuut op je Mac kan werken kan hij ook een trojan installeren zodat hij later van afstand op zijn gemak alles kan doen wat hij wil. Als iets ingewikkeld is betekent het niet dat het niet binnen een minuut kan, het is niet moeilijk een programma of script te maken wat de stappen razendsnel uitvoert.

    Beveiliging die er alleen maar op gebaseerd is dat jij zelf niet snapt hoe het werkt, dat is schijnveiligheid. Het werkt niet omdat er, zeker op de lange duur, altijd mensen zijn die wel weten hoe het werkt en hoe je het kunt misbruiken, en omdat jij denkt dat je veilig bent terwijl je het eigenlijk niet bent werkt het zelfs tegen je.

    Bijdrager
    Damio

    In principe is geen enkele beveiliging écht veilig. Een inbreker heeft meestal helemaal geen zin in stress en neemt gewoon je Mac mee. En dan is niets meer veilig, aangezien hij gewoon al je bestanden kan wissen en de Mac kan doorverkopen. Of hij verkoopt hem door met gegevens, of hij vindt wel ergens een ‘wachtwoord-vergeten’ programmaatje.

    Niets is echt veilig, zelfs MacOSX niet. Daarom is er FireVault voor de mensen die zich genoodzaakt voelen. Maar ik ben niet zo iemand die dat gaat gebruiken voor samenvattingen van geschiedenis:innocent:

    Bijdrager
    Oppie

    Nee Tinus, ik zie het anders.
    Jij redeneert vanuit een ‘nerd-perspectief’; het gaat me juist om de ‘toevallige toeschouwer’, zoals collega’s, huisgenoten en dat soort mensen. Die kunnen in FF dus met een paar klikken al jouw (www) wachtwoorden in een mooi overzicht zien, en dat blijft onwenselijk. Dat is toch nog wel heel wat anders dan een Trojaan installeren, vind je zelf ook niet?!

    Het is net als bij alle andere zaken die je wilt beveiligen: 100% bestaat niet, 90% is vaak al te moeilijk en te veel gedoe, maar met wat kleine en logische handelingen het je snel 80% afgedekt.
    Ook in de ‘echte wereld’ zijn kwaadwillenden liever lui dan moe, en zoeken hun heil wel elders, daar waar de deur bijna open staat of zo…

    Bijdrager
    iep
    Oppie op 10 april 2011

    Want Safari is naar mijn idee veilig; FF daarentegen niet, dat is wat ik meld.

    En dat is dus je reinste flauwekul. Want wat doen webbrowsers die je gebruikersnaam en wachtwoord opslaan voor een site? Jawel, automatisch invullen zodra je de website bezoekt. Hoef je als gebruiker alleen nog maar op enter te drukken, lekker makkelijk. Is Safari daar een uitzondering op? Neen! Is Safari dus veiliger? Neen. In Firefox kun je nog een master password instellen. Deze moet je correct invoeren anders vult hij de velden niet eens in. Bij Safari heb je alleen de optie om autovullen aan of uit te zetten. Er is dus geen beveiligingsoptie! Waar de webbrowsers hun gebruikersnaam/wachtwoord combinaties in opslaan (eigen bestand of Sleutelhanger) is hier dus totaal niet aan de orde.
    Dan is er echter nog iets. Safari gebruikt de login Sleutelhanger om de gebruikersnaam/wachtwoord combinaties in op te slaan. Deze wordt zodra je inlogt opengezet maar inhoud van de items blijven nog wel geheim. Pas na het invoeren van je login wachtwoord worden ze geopend. En daar wringt de schoen want de gemiddelde gebruiker (of 90% van de mensen) doet niet aan wachtwoorden. Er wordt dan ook niet voor niets continu geroepen dat een systeem zo veilig is als degene die erachter zit. Dit is iets wat heel mooi demonstreert dat je altijd gebruik moet maken van een wachtwoord en wat tinus_omt je ook probeert duidelijk te maken.

    Maar goed, de hoofdzaak is dat het hier om een probleem in Safari ging (en dus niet Sleutelhanger!) en waar AppleTips voor waarschuwde. Dit betrof een probleem dat er voor zorgde dat men in Safari alle automatische formulieren kon achterhalen waaronder ook de in Sleutelhanger opgeslagen gebruikersnamen/wachtwoorden van de diverse websites. Het gebruik van Sleutelhanger is om deze reden dan ook een wassen neus beveiliging, had het in een onbeveiligde tekstbestand gestaan was het net zo veilig geweest. Dat is ook de reden waarom AppleTips de waarschuwing af gaf. AppleTips was beslist niet de enige site die er voor waarschuwde, dat deden er heel veel waarbij vaak Firefox als alternatief naar voren werd geschoven. Ook de makers van 1Password speelden hier goed op in en schoven op o.a. Twitter hun applicatie als oplossing naar voren (staat los van webbrowsers en Sleutelhanger en daardoor ook niet gevoelig voor exploits in deze applicaties). Hun applicatie maakt gebruik van een betere encryptie dan Sleutelhanger en het is in te stellen dat hij altijd om een wachtwoord moet vragen.

    Dit is echter maar een klein deel van het security verhaal. Safari heeft een hele slechte reputatie wat security betreft. Het kent enorm veel problemen waar ook misbruik van wordt gemaakt. Safari is de hoofdreden waarom OS X op die security events/wedstrijden altijd de sjaak is. Inmiddels is zelfs Internet Explorer veiliger dan Safari. Firefox heeft hier een veel betere reputatie: het wordt veel minder geplaagd door security bugs, men houdt zogenaamde bug hunts (men gaat dus actief opzoek naar problemen) en er zijn diverse security maatregelen die men in de webbrowser implementeert. Doordat de browser los staat van het OS heeft het OS eigenlijk geen last van de security problemen in de applicatie. Bij Safari is dat niet zo en de hoofdreden waarom men OS X kan hacken. Omdat de beveiliging bij andere webbrowsers (Chrome, Firefox, Opera) beter is geregeld worden deze dan ook vaak als alternatief naar voren geschoven.

    Wat betreft het kunnen vinden van je wachtwoorden op een systeem…dat vereist wel dat degene actief er naar op zoek gaat en weet waar hij ze moet vinden. Die kennis ontbreekt bij de gemiddelde gebruiker. Je moet het e.e.a. wel goed weten te plaatsen.

    Bijdrager
    Oppie

    Zeg Iep, je ouwehoert er altijd lustig op los in hele epistels, maar ik ben het helemaal met je eens: “en dat is dus je reinste flauwekul”!

26 berichten aan het bekijken - 1 tot 26 (van in totaal 26)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.