Vicieuze cirkel

 

Afbeelding via Unsplash

Een lezer was in een vicieuze cirkel terechtgekomen en deelde zijn relaas met mij, met als openingszin: “Mogelijk heb ik een leuke input voor je blog.” Nou, dat klopt inderdaad. Zijn ervaringen zijn vooral leerzaam en kunnen andere lezers ervoor behoeden in dezelfde situatie terecht te komen.

De iPhone van collega Mark de Wals was stuk. Dat is op zichzelf al vervelend genoeg, maar het was voor Mark nog maar pas het begin van een draaikolk waar hij zich slechts met moeite uit wist te redden. Die draaikolk werd gek genoeg mede veroorzaakt door twee uitstekende beveiligingsmaatregelen die Mark had getroffen: hij gebruikte een password manager en hij paste tweefactorauthenticatie toe (2FA, ook wel MFA, met de M van multi). Hoe kunnen deze maatregelen, die ik iedereen van harte aanbeveel, je zo in de nesten werken? En, belangrijker: hoe blijf je uit de nesten? Lees en huiver, maar vooral: leer ervan.

Mark wilde z’n iPhone laten repareren (het ding was overigens niet helemaal dood). Alvorens het toestel af te geven voerde hij een reset uit. Dat zorgt ervoor dat alle gegevens, inclusief alle accounts, gewist worden – het is dan alsof het toestel vers uit de fabriek komt. Wel zo fijn dat je zeker weet dat de reparateur niet in jouw gegevens kan rondneuzen, nietwaar? Nadeel is natuurlijk wel dat je het toestel na de reparatie opnieuw moet inrichten. Veel mensen hebben daar een broertje dood aan; bij menigeen is dat de belangrijkste reden om de aanschaf van een nieuw toestel uit te stellen totdat het oude toestel écht niet meer mee kan. Maar aangezien de reparateur in de vaak toegang tot het apparaat zal moeten hebben, kom je niet om zo’n reset heen.

Toen het toestel terugkwam, ging Mark er eens voor zitten. Een van de eerste dingen waar de iPhone om vroeg was het wachtwoord van zijn Apple ID (“Uw Apple ID is de account waarmee u toegang hebt tot alle Apple voorzieningen en die al uw apparaten feilloos laat samenwerken.”) Dat wachtwoord zat in Marks password manager – en die was nog niet toegankelijk omdat het toestel nog niet ingericht was. Maar geen nood: dankzij de cloud was de wachtwoordkluis ook via de laptop te benaderen.

Mark typte zijn wachtwoord in, waarop de iPhone reageerde met: prima, en nu moet je deze login nog even goedkeuren in je 2FA-app. Ai ai ai, die app zat óók op de iPhone – en dus onbereikbaar! Voilà een schoolvoorbeeld van een vicieuze cirkel: om het toestel te starten heb je die app nodig, maar de app draait op hetzelfde toestel.

Dan maar een reset aanvragen bij Apple. Daar kwamen een e-mail en een sms-bericht aan te pas. Gelukkig kon Mark de code uit het sms’je nog wel ontvangen en uitlezen. Apple laat er om veiligheidsredenen een paar dagen overheen gaan als je bij hen een reset aanvraagt. Dat waren twee bange dagen, maar toen ontving Mark een mailtje en een sms’je met verificatiecodes. Daarmee kon hij weer bij zijn account.

Mark heeft een paar tips voor ons. De eerste heeft ermee te maken dat hij in dit toestel geen echte simkaart gebruikt, maar een e-sim – dat staat voor embedded sim en betekent dat de kaart in het toestel ingebouwd is. Je provider stuurt dus geen simkaart op, maar maakt gebruik van de e-sim. Wat nu als je een sms’je moet ontvangen met een verificatiecode, maar geen toegang hebt tot je telefoon? Een fysieke simkaart kun je dan in een ander toestel stoppen om het bericht daar te lezen, maar dat kan niet met een e-sim. Als die laatste met een pincode is beveiligd, dan zie je de ontvangen code niet op het vergrendelscherm zolang je niet bent ingelogd. Mark had die pincode uitgezet aangezien het toestel zélf beschermd is en je de e-sim toch niet uit het toestel kunt halen.

De volgende tip is de belangrijkste: zorg dat je je belangrijkste wachtwoorden ergens bewaart waar je altijd bij kunt. Marks password manager (LastPass) biedt de mogelijkheid om wachtwoorden te delen met anderen. Via deze optie kan hij altijd de wachtwoorden van zijn e-mail en zijn Apple ID achterhalen. En als een ander gezinslid ook een Apple ID heeft, dan kun je elkaar machtigen om elkaar te helpen bij het resetten van je wachtwoord.

Android werkt ook met mailadressen en telefoonnummers voor het herstellen van accounts. Daarbij geef je een ander e-mailadres op dan het adres dat aan het account gekoppeld is. Maar pas op dat dat niet een adres is dat alleen maar wordt gebruikt om de daar binnenkomende mail door te sturen naar je primaire account – daar kun je in zo’n situatie immers niet bij.

De ervaringen van Mark leren ons dat het belangrijk is om vooraf maatregelen te treffen om uit zo’n situatie te ontsnappen. Check dit weekend even of je je zaakjes orde hebt.

 

En in de grote boze buitenwereld …

• zijn password managers nog volop in ontwikkeling.
• kon de 2FA-functie van Facebook omzeild worden.
• blokkeert deze kassamalware de contactloos betalen-functie, om vervolgens de gegevens van de betaalpas uit te kunnen lezen.
• verminderde het aantal gevallen van betaalverzoekfraude op Marktplaats fors.
• manipuleren veel webwinkels hun klanten.
• hebben de makers van ChatGPT nu een tool om AI-teksten te herkennen.
• is cybercrimineel tegenwoordig een gewone baan.