In navolging van onder meer Google en Facebook heeft Apple een extra beveiliging ingebouwd in zijn clouddienst iCloud en bij de inlog via Apple ID. Gebruikers kunnen bij het beheren van hun Apple ID een extra 4-cijferige code opvragen die ter controle naar een gekozen iDevice wordt verzonden.

Met deze pincode is toegang tot het Apple-account mogelijk. De extra verificatie is handig wanneer gebruikers inloggen vanaf 'vreemde' apparaten, en komt bovenop het huidige wachtwoord van het Apple ID.

Gebruikers krijgen bij de aanvraag een 'Recovery Key' achter de hand, in het geval zij de 4-cijferige code vergeten of een apparaat zijn verloren. Apple adviseert om deze 14-cijferige code uit te printen en niet digitaal te bewaren.

Klik voor groot

De dienst wordt momenteel uitgerold, te beginnen in Amerika, Australië, Ierland en Groot-Brittannië. Het is niet duidelijk wanneer Nederlandse accounts de extra beveiliging krijgen. Webwereld heeft hierover vragen uitgezet bij Apple.

Social engineering

Tweetraps-authenticatie wordt steeds populairder. Grote spelers als Google, Facebook, Dropbox hebben het al, terwijl ook Twitter werkt aan de extra verificatiestap. Het voordeel is dat gebruikers niet meer afhankelijk zijn van beveiligingsvragen. Deze bleken in het verleden vaak gemakkelijk te kraken.

Ook het resetten van wachtwoorden door de beheerder - in dit geval Apple - is niet langer nodig. Dat dit systeem niet veilig is bleek in augustus 2012. Toen gaf telefonisch personeel van Apple een hacker toegang tot het iCloud-account account van Wired-journalist Mat Honan na een gewiekste social engineering-truc.

Daarbij werden uiteindelijk zijn iPhone, iPad en MacBook Air op afstand gewist en nam iemand zijn Gmail en Twitter account over. Ook de Twitter-feed van technologieblog Gizmodo werd tijdelijk gekaapt.

Niet waterdicht

Toch is al gebleken dat ook tweetraps-authenticatie geen waterdicht systeem is. In februari demonstreerden beveiligingsonderzoekers van Duo Security hoe de tweetrapsbeveiliging van Google kan worden omzeild met een geavanceerde aanvalstechniek.

Dat gat is inmiddels gedicht in Chrome 25, maar legde de kwetsbaarheid van het systeem bloot. Desondanks waren ook deze security-expert overtuigd dat tweetraps-authenticatie als extra slot op de deur een sterk beveiligingssysteem is.