Apple bekräftar intrång i kändisars användarkonton på molntjänsten Icloud

Xkcds idé är väl att även med en ordlista, så har du högre entropi eftersom det finns fler ord än tecken, eller? Men en ordlisteattack med bra regler kan nog sätta stopp för det ändå (vilket var väl vad ni båda menade iofs).

Det bästa, om man inte använder en password manager, skulle väl dock vara en felstavad mening med ett specialtecken här och där. Betydligt lättare att komma ihåg än slumpdata, och svårt för en ordlisteattack.

Men två-faktors-autentisering utan lösenordshantering på servern är väl den enda säkra vägen (typ SQRL-liknande, fast med unika privata nycklar).

OnT: Är inte förvånad att det inte verkar vara säkerhetsbristen i Find my Iphone som var problemet. En online-brute-force lär ta alldeles för lång tid. Möjligtvis att hackern, lyckats bygga upp individuella ordlistor för varje offer (sånt som offren skulle kunna ha som lösenord; samma/liknande lösenord till en annan site, husdjursnamn, personnr, sånt som folk ofta har som lösenord fast specifikt för varje offer alltså), och sedan lyckats brute forcea online.

EDIT: Shockwaves förslag på lösenord kanske är snäppet bättre.

Fast, man måste skilja på själva intrånget i deras privatliv, med vad de tjänar på detta.
Det är ju inte direkt så de går lottlösa ur detta rent ekonomiskt, då troligen försäljningen av deras verk ökar nu när de uppmärksammas.

Ja, det är ett intrång, men vems fel är det? Apple´s? deras egna? någon annans?

Det finns ju ingen säker källa som kan säga att det beror på x eller beror på y. Login uppgifter till deras konton kan likväl ha blivit tagna i något annat hack, eller databasläcka på en sida. Saken är ju den att de flesta återanvänder samma mailadress, lösenord etc till fler sidor/inloggningar, och har sida Z då en säkerhetsbrist så kommer resterande X eller Y sidor med på "köpet", oavsett om sida X eller Y inte har en säkerhetsbrist i sig utan att de kom åt sida X eller Y genom de uppgifterna de fått från sida Z.

Och de har ju "själva valt" de yrket de har, och då så vet de att det är en hets/efterfrågan på vissa saker, klarar de inte med det så välj inte det yrket. Rätt enkelt.

Sen borde ju de som har mer uppmärksamhet kring sig vara ännu mer försiktigare än vad en "vanlig svensson" är.
Som att de ex borde ha separat inloggning till synkning mot vad de har till mailen, tänka på att inte synka sådana bilder med sin mobvil, surfplatta, dator eller ens ta dessa bilder från första början.

För de som blivit drabbade är ju inte nyfödda och borde således veta att:
1. Tjänster är aldrig 100% säkra.
2. Tänk på vad du har för material i exempelvis telefon, surfplatta, dator, eller annan lättåtkomlig elektronik som kan "få fötter" och hamna i orätta händer.
3. Tänk på vilka tjänster som du nyttjar, är man kändis så kanske man inte ska registrera sig på alla möjliga tjänster som finns. (vilket leder till punkt 4.)
4. De tjänsterna som nyttjas, ha då separat inloggning för exempelvis synkning av bilder, dokument, och liknande saker än vad som används för mailadress då du tar emot / skickar mail.

Bara att ha separata inloggningar enligt punkt 4 skulle sänka sannolikheten för att drabbas av intrång till rätt låga nivåer.
Så istället för att ha: kate.upton@icloud.com (eller vilken tjänst det nu är) för att synka dina bilder, dokument och liknande så skulle ett byte till något randoom som exempelvis: y2VyVUDCTKWgA8Xt4fTEdsTvRb9DYd@icloud.com ge ett stort lyft i att minska sannolikheten för intrång mot just din synknings inloggning sker.
(y2VyVUDCTKWgA8Xt4fTEdsTvRb9DYd kommer ur en randoom password generator).

Så:
Det är inte synd om dem egentligen, då de säkerligen inte lider av detta utan snarare vinner på detta. Men det är på ett sätt ett intrång mot deras personliga integritet. Vilket de skulle kunna motverkat till en stor del genom lite högre säkerhetstänkande själva.
Och det får även upp ögonen världen runt om säkerheten ännu en gång, vad gäller inloggningar till online tjänster att ha bra, säkra och olika lösenord på olika sidor.

Helkorkat att skylla på användarna, om deras lösenordsprinciper tillåter värdelösa lösenord eller att de inte kräver två-faktors autentisering så är det ingen annans fel än Apple. Säkerheten är nu ytterligare ett område där jag inte litar på Apple för fem öre.

Såna här intrång brukar snarare ske genom sk "social engineering", än att man faktiskt hackar kod.

Tex kan man utöver lösenord även ha sk "säkerhets-frågor", tex "vad heter din katt" edyl,
som även ska släppa in dig om du har glömt ditt lösen ord. (KORKAT 1 !)

Ibland kräver systemet att man SKA fylla i minst en sån "säkerhets-fråga" (KORKAT! 2)

Och en del människor fyller faktiskt i dessa uppgifter med korrekt info (KORKAT 3!)

Och vad dom som designar dessa system, och dom som fyller i frågorna, inte tänker på, är att det kanske även finns andra som vet namnet på din katt (eller vad det nu kan vara) speciellt om du är kändis och minsta lilla detalj om ditt liv ligger ute på nätet.
(KORKAT 4!)

Och vissa företag har "hjälpsam" kundtjänst som gladeligen lämnar ut ett stycke superhemlig info (inloggningsuppgifter) till vem-fan-som-helst som kan läsa upp ut ett stycke ANNAN superhemlig info (namnet på din katt)
(KORKAT 5!)

Det sistnämnda har faktiskt hänt i verkligheten, flera gånger, på ett visst fruktigt företag som är exremt glada för att stämma andra för att "kopiera" deras fantastiskt felfria idéer...

Det är alltså inte frågan om trasig kod, utan trasiga hjärnor, på dom som designar systemen, och i viss mån på dom som använder dom.
Men mest det förstnämnda.

Ironi när man försöker framställa microsoft som ett säkrare alternativ då det dras med väsentligt mycket mer skit än Apple men vad annars kan man vänta sig av vissa. För övrigt så tycks ju intrånget haft fina regerings verktyg http://www.appleexaminer.com/iPhoneiPad/EPPB/EPPB.html framtagna för att kunna knäcka sig igenom det mesta lätt och smidigt. Det lär ju finnas liknande verktyg till andra operativ med för den delen innan någon ställer sig och pekar med pinne. The Fappening bilderna hade dessutom ett gäng Android/WP selfies (Mobiler med kamera placering mitt på telefonens baksida.)

Kontentan av det hela ingen går säker när USA med flera anser sig behöva spionage utrustning speciellt framtagen för att få fri passage genom allt vad lösenord och säkerhet heter.

När skall folk på allvar börja använda lasspass.com? I princip så borde allt data man har på sina enheter vara krypterat och när det sedan backas upp i molnet, så är det bara de krypterade filerna man kommer åt? Bättre lösenord går att lösa utan större problem, men att allt skall vara krypterat, kräver både bättre hårdvara samt tjänsteutveckling.

Skulle Microsoft eller Google bli hackade så hade det varit lika helkorkat om de skyllde på användarna. Fast nu har de ju inte blivit hackade vad jag vet.

Dumt att kräva. I det fallet vet en hackare att minst ett tecken är _, =, ?, !, ', ^, eller §.

Långa lösenord är i princip värdelösa då majoriteten av alla hack sker genom phishing, virusinfekterade maskiner och återanvändning av lösenord på flera siter. Inget av detta hjälper ett långt lösenord emot.

Källa på det?

Det jag inte förstår är varför folk väljer att lagra sådana bilder i molnet/på Internet.

Och jag förstår inte hur folk törs använda kreditkort eller banker på internet. Man kan ju bli hackad!!