Ryska Elcomsoft går nu ut i ett blogginlägg och hävdar att Apple medvetet gjort iOS 11 osäkrare och kallar det för en “horror story”. Dessbättre så handlar mycket om det ryska företagets inlägg om ett försök att skapa uppmärksamhet om sig själv och det egna företaget.
Säkerhet är ofta en balansakt mellan tillgänglighet, användarvänlighet och säkerhetskrav. För hård säkerhet kan leda till det rakt motsatta, sämre säkerhet, därför att användarna hittar genvägar och struntar i de krav och de restriktioner som systemen försöker tvinga på dem.
För många lösenord, för hårda krav och för mycket krångel kan leda till enheter som inte skyddas av något lösenord överhuvudtaget. Det kan sluta med enheter där ingen säkerhetskopierar informationen därför att det är för omständigt.
Säkerhet handlar om balans.
Kryptera och skydda allt
Frågar du en säkerhetsexpert så kommer svaret vara givet – skydda allt, kryptera allt, förse allt med tvåstegs-verifiering och se till att ha allt skyddat med minst tio tecken långa lösenord med blandade tecken. Se också till att tvinga på användaren olika lösenord för olika delar.
Det är det säkraste – i teorin.
Verkligheten kan se annorlunda ut.
Användare som ska göra säkerhetskopior vill inte behöva ange lösenord, pinkoder och bekräfta en tvåstegs-verifiering. De vill göra säkerhetskopior snabbt, enkelt och smidigt. Kan de inte göra det så gör de inga säkerhetskopior.
Resultatet blir en långt osäkrare miljö trots att du till punkt och spricka följt expertens råd.
Ska användare skydda sina enheter med lösenord, pinkoder, fingeravtryck, ansiktsigenkänning och andra verifieringsfunktioner så får det inte bli för krångligt. Då slår användaren av alla inloggningar och det leder inte till bättre säkerhet, tvärtom.
När Apple introducerade Touch ID så kom kritiken direkt från säkerhetsexperter. Biometriska data är sämre än lösenord därför att ditt fingeravtryck inte kan bytas ut om det stjäls men det kan ett lösenord. I teorin så hade och har experterna rätt men i praktiken så ledde det till att dramatiskt fler iPhones skyddades med lösenord/fingeravtryck.
Säkerhet handlar om balans.
Klickbete
Elcomsofts blogginlägg är ett klickbete och ett försök att skapa uppmärksamhet runt det egna företaget.
The passcode. This is all thats left of iOS security in iOS 11. If the attacker has your iPhone and your passcode is compromised, you lose your data; your passwords to third-party online accounts; your Apple ID password (and obviously the second authentication factor is not a problem). Finally, you lose access to all other Apple devices that are registered with your Apple ID; they can be wiped or locked remotely. All that, and more, just because of one passcode and stripped-down security in iOS 11.
Notera nu att Elcomsoft hävdar att du riskerar att bli av med din information om:
. någon kommer över din iPhone
. har ditt lösenord/pinkod
. har övriga uppgifter om ditt Apple ID
Någon sitter alltså med din iPhone i sin hand och denne någon har all nödvändig information om ditt Apple ID och ditt konto.
För att citera den store filosofen John Belushi i Blues Brothers:
– I guess you’re up shitcreak
Lättat
Det Apple har gjort är att lätta på säkerheten något, mot tidigare. En gissning är att Apple har noterat att legitima, riktiga användare inte har kunnat komma åt sina säkerhetskopior, återställa enheter och helt enkelt komma åt sin egen information därför att de glömt pinkoder och andra uppgifter som krävdes tidigare som ett extra säkerhetslager.
I så fall kan för strikt säkerhet, för många lösenord och skydd ha lett till det rakt motsatta.
Så ja, Apple har lättat på vissa säkerhetskrav som gäller användare som har tillgång till sina Apple-prylar. Alltså du, jag och alla andra.
Nej, det behöver inte alls ha lett till sämre säkerhet, tvärtom, så kan det resultera i att användare faktiskt använder de säkerhetsfunktioner som finns tillgängliga.
För att citera Blues Brothers igen, om Elcomsofts blogginlägg:
– Its just bullshit
0 kommentarer