“Behandel de toegangscode van je telefoon hetzelfde als die van je bankpas”
Hoe voorzichtig ga jij om met je toegangscode? Veel mensen delen die zomaar met vrienden of familie, of schermen hun telefoon niet af als ze hun code intoetsen. Toch is die code heel belangrijk, met alleen die toegangscode kan iemand namelijk veel meer dan je misschien vermoedt.
Toegangscode geeft toegang tot al je wachtwoorden
Een van de dingen die iemand met je toegangscode kan, is inloggen in je Wachtwoorden app. Vanaf de iOS 18 update van Apple kun je gebruikmaken van deze app, waarin al je wachtwoorden worden opgeslagen, alsof het een digitale kluis is. Maar die kluis blijkt toch iets makkelijker te openen dan je denkt. De app is weliswaar vergrendeld met een biometrisch kenmerk, zoals Face ID of Touch ID. Alleen als dat niet werkt, dan kan er na het weigeren van biometrische toegang alsnog worden ingelogd met je toegangscode.
Jaap-Henk Hoepman, Universitair hoofddocent Digital Security aan de Radboud Universiteit was, net als veel anderen, verrast dat dit mogelijk is: “Ik had me nooit gerealiseerd dat de app ook met de toegangscode van de telefoon te openen is, omdat ik zelf altijd Face ID gebruik. Maar dat is wel een dingetje, want die code hoeft maar vier cijfers lang te zijn en dat is eigenlijk best kort. Als je geen Face ID of vingerafdruk gebruikt, zou je juist een veel langer wachtwoord moeten kunnen kiezen om de Wachtwoorden app te beschermen.”
Nog een beveiligingsprobleem: je Apple Account
Als dieven je toegangscode hebben, zou je iPhone volgens Eric Staats, Chief Information Security Officer, in principe nog goed beschermd moeten zijn. “Een bijkomend voordeel van de integratie met iCloud is dat een gestolen toestel via ‘Find My’ makkelijk te blokkeren is.”
Maar met dezelfde toegangscode kunnen ze ook je Apple Account (voorheen Apple ID) wachtwoord veranderen. En daar zit het echte probleem. Je Apple Account is het centrale account waarmee je al je Apple diensten en apparaten beheert, inclusief de functie ‘Zoek mijn Iphone’, waarmee je een iPhone op afstand kunt blokkeren.
Zodra jij of iemand anders je Apple Account wachtwoord wilt veranderen, verschijnt de optie om al je apparaten uit te loggen. Als dat is gebeurd kan Apple je telefoon ook niet meer blokkeren. In theorie is je iPhone dus goed beveiligd, maar zodra je Apple Account wachtwoord is veranderd, ben je machteloos.
Fors geldbedrag gestolen
Iemand die hier grote problemen mee had, is Pepijn*. Tijdens zijn vakantie werd zijn telefoon gestolen. Kort daarna ontdekte hij dat er veel geld van zijn rekening was gehaald. Zijn eerste vraag was: hoe konden ze dat doen?
Pepijn vermoedt dat de dieven hem ergens zijn toegangscode hebben zien intoetsen, waardoor ze toegang konden krijgen tot zijn telefoon. Eenmaal binnen konden ze met dezelfde code ook zijn Apple Account wachtwoord wijzigen en ook in zijn Wachtwoorden app komen. Apple kon in dat stadium weinig doen, omdat zijn telefoon niet meer te blokkeren was. Hierdoor hadden de daders alle tijd en konden ze ook bij zijn bank.
Reactie Apple
Radar vroeg Apple waarom je niet een apart wachtwoord kunt instellen voor de Wachtwoorden app, en waarom het Apple Account wachtwoord is te wijzigen met je toegangscode. De fabrikant geeft aan dat deze keuze is gemaakt om een balans te vinden tussen veiligheid en gebruiksgemak.
Radar vroeg ook welke opties er zijn om je iPhone beter te beschermen tegen situaties zoals die van Pepijn. Ze raden gebruikers aan om Stolen Device Protection (beschikbaar sinds iOS 17.3) in te schakelen. Als die optie aanstaat, is Face ID vereist om opgeslagen wachtwoorden te openen zodra je je buiten vertrouwde locaties bevindt. Pepijn had Stolen Device Protection wel aanstaan, maar niet op de strengste stand en dat bleek onvoldoende.
Het veiligste is om Stolen Device Protection op ‘Altijd’ te zetten. Dan moet je altijd inloggen met een biometrisch kenmerk (zoals je gezicht of je vingerafdruk) om je Wachtwoorden app te openen of je Apple Account te wijzigen. Bovendien geldt er een wachttijd van een uur voor het wijzigen van wachtwoorden. Eerst gebruik je Face ID of Touch ID om toegang te vragen en na een uur wachten is een tweede biometrische bevestiging nodig voordat je toegang krijgt en iets kunt wijzigen.
Tips om je iPhone beter te beveiligen
- Kies een sterke toegangscode. Gebruik bij voorkeur een lange, alfanumerieke code (letters, cijfers en eventueel speciale tekens) in plaats van een korte 4 of 6 cijferige code.
- Een privacy screenprotector kan voorkomen dat iemand je code ziet.
- “Behandel de toegangscode van je telefoon hetzelfde als die van je bankpas", zegt Eric Staats.
- Schakel Stolen Device Protection in op ‘Altijd’. Zo is Face ID of Touch ID altijd verplicht bij openen van je Wachtwoorden app en voor het wijzigen van je Apple Account moet je dit na een uur nogmaals doen.
- En zoals universitair hoofddocent Hoepman benadrukt: “de belangrijkste beveiligingsmaatregel is dat een aanvaller eerst de telefoon van het slachtoffer in handen moet krijgen.” Zorg er dus voor dat je je telefoon niet uit het oog verliest.
*Echte naam bekend bij de redactie