iPhone: Waarom je moet stoppen met 6-cijferig password

Geschreven door

Franke Koornneef

Gecontroleerd door

Bram

Bijgewerkt op

13 oktober 2018

[addtoany] ×

Een berekening om te illustreren hoe gemakkelijk jouw 6-cijferige wachtwoord te kraken is.

Hoewel het misschien een ‘leentelefoon’ zou kunnen zijn, toonde Kanye West zijn iPhone-wachtwoord aan de hele wereld toen hij tegen Trump aan het liegen was. Dat wachtwoord was ‘000000’, waarschijnlijk het meest simpele iPhone-wachtwoord dat er is. Het is daarentegen doodsimpel: het is totaal niet veilig.

Okay, als je een beetje met computers bekend bent, weet je dat een wachtwoord als ‘000000’ of ‘1234’ totaal niet veilig is, maar waarom precies dat kunnen we je gemakkelijk uitleggen. Heb jij een iPhone met een wachtwoord van 6 (of zelfs maar 4) cijfers? Lees dan zorgvuldig.

Je hebt misschien al wel eens gehoord van een exploit waarmee hackers een viercijferige PIN-code kraken door middel van een kabel, om zo de ‘afkoelperiode’ van het veelvuldig verkeerd intoetsen van het wachtwoord te omzeilen. Een programma probeert alles tussen ‘0000’ en ‘9999’ en komt dus uiteindelijk op je PIN-code uit.

Apple heeft maatregelen genomen om het kraken van iPhones moeilijker te maken. Hoewel gebruikers tegenwoordig per se een 6-cijferig wachtwoord moeten kiezen van Apple, is dit nog steeds totaal niet veilig. Ook de afkoelperiode en een functie om alle informatie van de telefoon te verwijderen na 10 mislukte pogingen zijn dun.

Er is namelijk een techniek genaamd GrayKey die de afkoelperiode en blokkering omzeilt. Een werknemer van het Johns Hopkins Information Security Institute liet er een portie wiskunde op los en toont aan hoe makkelijk het met die techniek is om cijfer-wachtwoorden te kraken.

Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):

4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)

— Matthew Green (@matthew_d_green) April 16, 2018

Daaruit blijkt dat een wachtwoord van 6 cijfers (de standaard op moderne iPhones) gemiddeld binnen 11 uur gekraakt is. Laten we het vooral niet hebben over de 6,5 minuten die gemiddeld nodig zijn voor een 4-cijferig wachtwoord.

Ter vergelijking, 8 cijfers kosten met deze methode gemiddeld 46 dagen om te kraken, terwijl 10 cijfers een ‘hacker’ gemiddeld ruim 12 jaar zullen kosten. Kortom, met ieder nummertje gaat de tijd die het kost om je telefoon te kraken exponentieel omhoog.

Dezelfde beveiligingsexpert raadt overigens aan om een ‘alphanumerical’ wachtwoord te maken, als ze maar niet zoals deze slechtste wachtwoorden ooit zijn. We hebben het tegenwoordig volgens mij allemaal, wachtwoorden als ‘$NippelTwister69$’. Hoewel wachtwoorden die door middel van een kruisverwijzing met een woordenboek niet zo sterk zijn, voegen nummers, leestekens en een combinatie van kleine- en hoofdletters allemaal toe aan de complexiteit van het kraken van een wachtwoord. Nu maar hopen dat je niet de bak in moet omdat je je code niet wilt delen met de politie.