Slakter Apples tofaktor-passord

Sikkerhetseksperter mener Apples nye sikkerhetsløsning er brukervennlig, men lite gjennomtenkt. Blant annet vises beskyttelseskoder selv på låste mobiltelefoner.

Frank Johnsen
Publisert Sist oppdatert

Apple har nylig rullet ut såkalt tofaktor-autentifisering, en ny passordløsning som skal være ekstra sikker og beskytte brukerne mot store konsekvenser av datainnbrudd.

- Det er jeg glad for. Vi trenger tofaktor-autentisering for å bedre sikkerheten, og vi kan gjøre mye for at passord skal bli bedre sikret enn det er i dag. Det sier sikkerhetseksperten Per Thorsheim til Computerworld.

Men løsningen er forhastet og lite gjennomtenkt, og det virker som Apple har lagt mer tanke i brukervennlighet enn faktisk sikkerhet.

Det mener i hvert fall Vladimir Katalov i sikkerhetsselskapet Elcomsoft, som spesialiserer seg på sikkerhet, dataetterforskning og avansert passordcracking. Han får også støtte av norske Thorsheim.

Valgfri sikkerhet

Ifølge Apples retningslinjer er tofaktor valgfritt, og når det er satt opp vil løsningen kreve et ekstra steg når man vil logge inn hos Apple for å endre kontoinformasjon, handle i Itunes eller App Store fra en ny enhet eller for å motta kontorelatert brukerstøtte fra Apple.

Så langt høres det nokså bra ut, og det er heller ingen tvil om at initiativet til sikrere tilgang til Apple-kontoen er kjærkommen.

Men selv om initiativet er bra, er gjennomføringen mangelfull, og ifølge Katalov gjør Apples nye tofaktor-løsning ingenting for å sikre tilgang til dine kritiske data.

KRITISK: Per Thorsheim er kritisk til Apples to-faktor implementasjon.

- Tydeligvis har Apple bestemt seg for å opprettholde sitt image som "brukervennlig" istedet for et "sikkert" selskap, skriver Katalov i sikkerhetsbloggen sin.

Slik løsningen er implementert i dag, gjør den ingenting for å hindre uvedkommende i å gjenopprette en sikkerhetskopi til en ny IOS-enhet. I tillegg beskytter den heller ikke Apples skyløsning Icloud, som fortsatt bare krever brukernavn og passord.

Det mener sikkerhetsekspertene blir feil.

- Apples tilnærming til implementering av tofaktor autentisering ser ikke ut som et ferdig produkt, skriver Katalov, og legger til at selv om løsningen gjør alt Apple hevder, så beskytter den ikke personlig informasjon som er lagret i Icloud.

- Apple påstår ikke noe de ikke lover, men de har lansert en tofaktor-løsning som er fryktelig tynn i forhold til det Google, Facebook og Dropbox har, sier Thorsheim.

Lite gjennomtenkt

Det er hovedsaklig to årsaker til at Katalov og Thorsheim går ut mot Apples tofaktor-løsning. For det første er det veldig begrenset hva løsningen faktisk beskytter.

Thorsheim mener at løsningen er helt fin når det gjelder å sørge for at ingen kjøper Justin Beibers samlede verker i Itunes med din konto, men kommer til kort når det gjelder å beskytte kritiske data som keychain og backup i Icloud.

- Tofaktor autentiseringen til Apple beskytter bare kontoadministrasjon hos Apple. Den beskytter ikke dine data på enhetene eller i Icloud. Så får jeg tak i brukernavnet og passordet ditt kan jeg likevel logge meg inn på kontoen din, laste ned en backup av både telefon og keychain, forteller Thorsheim.

Det er spesielt viktig i bedriftsammenheng, mener han, og mener virksomheter som har direktører som løper rundt med Iphone eller Ipad ikke bør bruke Icloud til lagring av sensitiv informasjon.

- Apple er jo nødt til å være klar over det, og de lover jo ikke noe annet enn at de beskytter kontoen din.

En annen årsak til kritikken er implementasjonen Apple har valgt for å formidle engangskoder for autentisering. Valget har nemlig falt på protokollen "Find My Phone", som sender tekstmeldinger via trådløst nett når slikt er tilgjengelig. En slags gratis SMS.

Problemet er at sikkerhetskoden vises selv på en låst IOS-enhet, uten at man trenger å låse opp for å lese den.

- Utfordringen er at ettersom de bruker den funksjonen, så vil tofaktor-koden vises på låseskjermen. Det lukter rask implementering, og det virker som det har vært viktigere å få ut løsningen enn å lage en god løsning, mener Thorsheim.

Årsaken til teknologivalget virker opplagt, for som Katalov skriver, fungerer ikke SMS på Ipod- eller Ipad-er.

- FindMyPhone-tjenesten fungerer på tvers av alle enhetene. Men Apple burde ha implementert en måte å forhindre slike meldinger fra å vises på låsekjermen, påpeker han.

Det mener de to sikkerhetsekspertene er for dårlig.

- Hastearbeid med brukeropplevelse i høysetet. Apple holder det de lover, men de lover så veldig lite, avslutter Thorsheim.

Ikke i Norge

Den nye tofaktor-løsningen er foreløpig begrenset til bestemte områder, mye på grunn av implementasjonen som krever samarbeid med lokale teleoperatører.

Det er ikke kjent når løsningen blir tilgjengelig i Skandinavia, selv om kunder i Irland, Storbritannia, Nederland, Tyskland og Polen kan sette i gang med tofaktor allerede i dag.

Europeiske banker har benyttet to-faktor autentisering lenge, og flere nettjenester har også kastet seg på, blant annet Blizzard, Google, Facebook og Twitter.

computerworld sikkerhet