#1649: Meer details over de LastPass-inbreuk en overstap naar 1Password, probleem met macOS schermbeveiliging, tvOS 16.3.3 repareert bug in Siri Remote
Als je problemen hebt gehad met je Apple TV Remote op een derdegeneratie-Apple TV 4K raden we je aan om te updaten naar het zojuist uitgebrachte tvOS 16.3.3. Wachtwoordenbeheerdienst LastPass heeft beduidend meer informatie uitgegeven over de cyberaanval in 2022, maar dit nieuws komt voor Adam Engst te laat. Hij deelt een aantal van zijn ervaringen met het overstappen naar 1Password. Verder buigt Adam zich deze week over een probleem, zeg maar een twijfelachtige ontwerpbeslissing, waardoor de schermbeveiliging in macOS gekantelde en bewerkte foto’s negeert ten gunste van de originelen, zodat afbeeldingen op hun kant worden afgebeeld. Er zijn alternatieven, maar die zijn niet zo fraai. Belangrijke nieuwe versies van Mac-apps deze week zijn GraphicConverter 12, SoundSource 5.5.8, Zoom 5.13.10, CleanMyMac X 4.12.6, Pixelmator Pro 3.3, DEVONagent Pro 3.11.7, Timing 2023.2 en Photos Workbench 1.0.2.
- tvOS 16.3.3 lost problemen met Siri-afstandsbediening op voor derde generatie Apple TV 4K
- LastPass publiceert meer details over zijn datalekken
- macOS schermbeveiligingen met Foto's geven gedraaide of bewerkte afbeeldingen nog steeds niet goed weer
- Volglijst: Mac app-updates
- ExtraBITS
De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.
Dit nummer werd uit het Engels vertaald door:
• Joek Roex
• Paul Bánsági
• Jos van den Berg
• Thierry Kumps
• Henk Verhaar
• Johan Olie
• Nico Seine
Verder werkten mee:
• Coördinatie: Renate Wesselingh
• Montage: Elmar Düren
• Eindredactie: Renate Wesselingh, Sander Lam & Elmar Düren
Hoe je ons kunt bereiken kun je lezen op <de contactpagina>
tvOS 16.3.3 lost problemen met Siri-afstandsbediening op voor derde generatie Apple TV 4K
[vertaling: PAB]
Blijkbaar hebben sommige eigenaren van de nieuwe derde generatie Apple TV 4K problemen gehad waarbij de USB-C Siri Remote geen betrouwbare verbinding maakt. Met een beetje geluk behoren die problemen tot het verleden zodra gebruikers de zojuist uitgebrachte tvOS 16.3.3 installeren, die belooft dit probleem op te lossen. De update is alleen beschikbaar voor de derde generatie Apple TV 4K en je kunt het meteen installeren via “Instellingen > Systeem > Software-updates > Software bijwerken” of laat het zichzelf installeren.
LastPass publiceert meer details over zijn datalekken
[vertaling: JWB, PAB, TK, HV, JR]
In 2022 kreeg de wachtwoordenbeheerdienst LastPass te maken met de recentste significante inbreuk, die resulteerde in het verlies van klantkluisgegevens. (Zie “LastPass deelt details van cyberaanval”, 24 december 2022.) Maanden later heeft het bedrijf eindelijk aanzienlijk meer informatie verstrekt over de inbreuk, welke gegevens zijn aangetast en hoe gebruikers moeten reageren. De nieuwe informatie is nuttig, maar doet me niet betreuren dat ik ben overgestapt op 1Password.
In een zorgvuldig geformuleerde blogpost schetst Karim Toubba, algemeen directeur van LastPass, een gedetailleerdere tijdlijn van twee aaneengesloten incidenten, waarbij het eerste de weg vrijmaakte voor het tweede. Vervolgens wijst hij lezers op een paar beveiligingsbulletins met aanbevolen acties: een voor LastPass Free-, Premium- en Families-gebruikers en een andere voor LastPass Business-gebruikers. Ten slotte vat hij samen welke maatregelen LastPass heeft genomen om zijn systemen beter te beveiligen. Ik waardeerde vooral de uitgebreide lijst van alle datatypes waartoe toegang werd verkregen, met aantekeningen over welke velden versleuteld waren en welke niet.
Het bedrijf zegt met name dat het niets van de aanvaller heeft gehoord en ook geen indicatie heeft gezien dat de gegevens zijn gebruikt.
Er is geen contact geweest of eisen gesteld, en er zijn geen geloofwaardige ondergrondse activiteiten gedetecteerd die erop wijzen dat de dreiger actief bezig is met het op de markt brengen of verkopen van informatie die tijdens een van beide incidenten is verkregen.
Als je geïnteresseerd bent in beveiligingszaken zijn de verschillende berichten het lezen waard, en LastPass heeft deze keer veel beter gecommuniceerd, ook al is het aan de late kant. In het bijzonder raad ik je, als je LastPass nog steeds gebruikt, aan het advies van het bedrijf op te volgen om:
- de sterkte van jouw hoofdwachtwoord te waarborgen
- het aantal wachtwoord-versleutelstappen verhogen
- multifactor-verificatie in te schakelen of opnieuw in te stellen
- het beveiligingsdashboard te bekijken
- darkweb-monitoring in te schakelen
LastPass heeft de laatste twee opties nog niet beschikbaar gemaakt voor LastPass Free-gebruikers, maar het bedrijf zegt dat het ze binnenkort zal inschakelen. Interessant is dat LastPass het aantal wachtwoordherhalingen drastisch heeft verhoogd. Sommige oude gebruikers waren nog steeds ingesteld op wat nu een absurd lage 5.000 is, terwijl nieuwere gebruikers 100.000 iteraties hadden. De standaardwaarde is nu 600.000, dat is een grote verandering.
Ik vraag me af wat Karim Toubba moet doormaken. Hij kwam als CEO bij LastPass in april 2022 en de eerste inbreuk vond slechts enkele maanden later plaats, in augustus 2022. Het bedrijf is sindsdien waarschijnlijk in crisismodus geweest en de omvang van de veranderingen (in combinatie met de feitelijke inbreuk, natuurlijk!) suggereert dat hun vorige beveiligingsinstelling problematisch was. We hopen dat de volwassenen nu de leiding hebben en de juiste stappen nemen om toekomstige inbreuken te voorkomen.
Overschakelen naar 1Password van LastPass en Authy
Na mijn irritatie over de interface, functionaliteit en betrouwbaarheid van LastPass was de inbreuk de druppel, dus ik ben overgeschakeld naar 1Password en heb mijn gegevens van LastPass geïmporteerd. Ik koos de methode met exporteren van gegevens uit LastPass en importeren in 1Password omdat de directe importmogelijkheid van 1Password niet werkt als je multifactor-verificatie hebt ingeschakeld in LastPass. Ik voelde me er niet prettig bij om dat uit te schakelen, zelfs niet tijdelijk.
Ik ben nog niet helemaal klaar om al mijn gegevens van LastPass te verwijderen, maar het staat op mijn lijst zodra ik er zeker van ben dat 1Password alle mogelijkheden heeft die ik wil. Ik realiseer me dat sommige mensen niet blij zijn met de veranderingen in 1Password 8, maar omdat ik de vorige versies niet echt gebruikte, ben ik niet verontrust. 1Password mag dan wel niet perfect zijn, maar het was altijd al behoorlijk eleganter dan LastPass, dat nooit iets bood dat leek op een native Mac- of iOS-ervaring. Dat was vooral het geval in de laatste paar weken dat ik LastPass gebruikte, toen het voelde alsof het bedrijf snelle veranderingen aanbracht in een poging om gebruikers te laten zien dat ze iets deden.
Wat ik vooral fijn vind, is dat ik mijn Apple Watch kan gebruiken om 1Password te ontgrendelen op mijn 27 inch-iMac uit 2020 en mijn horloge of Touch ID op mijn M1 MacBook Air. LastPass introduceerde al enige tijd geleden multifactor-verificatie via een app, maar dat werkte nooit goed samen met de bijbehorende watchOS-app, zodat ik toch nog steeds elke keer mijn iPhone tevoorschijn moest halen om mijn login te bevestigen in de iOS-app. Daarom heb ik de multifactor-verificatie van LastPass ingesteld om een normaal tijdgelimiteerd wegwerpwachtwoord (time-based one-time password, TOTP) te gebruiken dat ik in 1Password opsloeg, dat het automatisch invult als ik in LastPass inlog op mijn Mac, een hele vooruitgang ten opzichte van het indrukken van een knop in de iPhone-app van LastPass.
De ondersteuning van 1Password voor TOTP was een grote stap voorwaarts. Ik was er al vroeg bij met wachtwoord-apps, toen Google Authenticator de enige optie was. Toen ik erachter kwam dat Google Authenticator-gegevens niet overgezet konden worden naar een nieuwe iPhone (dat kan tegenwoordig wel, als je een QR-code scant op het oude apparaat), maakte ik de overstap naar Authy, het gratis ecosysteem van apps, dat best redelijk werkte, en op mijn Macs, iPhone en iPad gesynchroniseerd kan worden. (Ik heb ook LastPass Authenticator nog even uitgeprobeerd, maar dat draait alleen op de iPhone en iPad, en ik houd er niet van om mijn iPhone tevoorschijn te moeten halen als ik wil inloggen op mijn Mac.)
Authy heeft ook de app Authy Desktop voor de Mac, maar elke keer dat ik wil inloggen bij een account dat tweefactorverificatie vereist moet ik Authy Desktop opstarten, vervolgens de website opzoeken (ik heb 28 accounts), op een knop klikken om de code te kopiëren, en teruggaan naar mijn webbrowser om de code in te plakken. Ik heb even overwogen om dat hele proces te automatiseren via Keyboard Maestro, maar dat blijft toch een vorm van willekeurig klikken, en daarmee breekbaar. De manier waarop 1Password de TOTP automatisch invult in de volgende stap van het inlogproces is een hele verbetering.
(Glenn Fleishman merkt op dat je ook Apples multi-platformondersteuning voor TOTP's kunt gebruiken, maar dat werkt op de Mac alleen met Safari. Als je andere browsers of apps op de Mac gebruikt, moet je eerst naar Safari > Preferences > Passwords of naar het Passwords-voorkeurenvenster, verifiëren, zoeken, klikken, en kopiëren. Zie “Twee-factor-authenticatie toevoegen aan wachtwoordinvoer in iOS 15, iPadOS 15 en Safari 15”, 7 oktober 2021. En dan is er ook nog de hele iCloud Keychain-kwetsbaarheid als je iPhone en wachtwoord zijn gestolen, zie “Hoe een dief je digitale leven kan ruïneren als hij eenmaal je iPhone-wachtwoord heeft”, 26 februari 2023.)
Het verhuizen van mijn tweefactorverificatie van Authy naar 1Password was omslachtig en tijdrovend. Amazon Web Services was de enige dienst waarvoor ik 1Password als een extra verificatiemethode kon registreren. Voor alle andere accounts heb ik tweefactorverificatie opnieuw moeten instellen of uit en weer aan moeten zetten. Het gevaar om volledig van een account buitengesloten te worden is beangstigend, daarom zorg ik ervoor dat ik de nieuwe TOTP aan 1Password en (weer) aan Authy toevoeg voordat ik het oude account in Authy verwijder. Hoewel ik niet verwacht dat ik Authy nog zal gebruiken nadat ik alles in 1Password ingesteld heb, lijkt het toch een bruikbare back-up als je het opslaan van de TOTP naast de accountgegevens in 1Password problematisch vindt. Vergeet niet om eenmalige of tijdelijke codes te bewaren wanneer een site die aanbiedt bij het inschakelen van tweefactorverificatie, ze kunnen bij een TOTP-fiasco je redding zijn.
Net als bij de rapportage van de Wall Street Journal over de diefstal van iPhone-wachtwoorden ben ik de inbraak bij LastPass gaan zien als een mogelijkheid om mijn wachtwoorden op een andere manier te beveiligen. Vóór de aanval was ik al niet helemaal tevreden met LastPass, maar ik kon de animo niet opbrengen om over te stappen. Door één voor één kopieën en andere rommel in 1Password op te ruimen (wanneer ik de betreffende sites moet gebruiken) kan ik geleidelijk werken aan een taak die te groot zou zijn om in één keer aan te pakken: ik heb namelijk meer dan 900 logins. Uiteindelijk zal ik mijn wachtwoorden beter op orde hebben dan ooit tevoren.
Ik zal echter blij zijn als ondersteuning voor passkeys (zie “Waarom passkeys eenvoudiger en veiliger zijn dan wachtwoorden”, 27 juni 2022) snel populairder wordt, zodat ik die rotwachtwoorden niet meer nodig heb!
macOS schermbeveiligingen met Foto's geven gedraaide of bewerkte afbeeldingen nog steeds niet goed weer
[vertaling: TK, JO]
In de tijd van After Dark, bij de start van TidBITS in het begin van de jaren negentig, waren schermbeveiligingen een belangrijk onderwerp - ze kwamen regelmatig in het nieuws. After Dark was modulair en ondersteunde een vruchtbaar ecosysteem van onafhankelijke ontwikkelaars naast gelicentieerde opties van franchises als Star Trek, Disney en Marvel Comics. Helaas hebben After Dark en zijn iconische vliegende broodroosters nooit de overstap naar Mac OS 9 gemaakt. Hoewel het pakket nieuw leven werd ingeblazen voor Mac OS X, heeft het nooit meer iets van zijn vroegere glorie teruggekregen (zie “After Dark keert terug naar Mac OS X”, 9 juni 2003). VOor wie zijn visueel geheugen van de belangrijkste After Dark-modules wil opfrissen, zie “Een terugblik op de vliegende broodroosters via CSS” (12 juni 2015).
Aan het begin van de jaren 2000 was de wereld alweer verder en Apple hielp daarbij door Mac OS X zijn eigen modulaire schermbeveiligingsmogelijkheden te geven, met schermbeveiligingen die ofwel mooie patronen ofwel selecties uit je foto's weergeven. Vooral de Ken Burns-schermbeveiliging van Apple, die door je foto's schuift en zoomt, was erg populair, en het bedrijf heeft in de loop der jaren talloze andere op foto's gebaseerde schermbeveiligingen aan macOS toegevoegd.
Maar hier ligt dan ook meteen het oudste probleem: een onopgeloste bug die al jaren bestaat. Het grote voordeel aan de schermbeveiligingen van Apple is dat ze je foto's laten selecteren uit je Fotobibliotheek of uit een map. Volgens de auteur van ArtSaver, een onafhankelijke macOS-schermbeveiliging met veel meer opties, biedt Apple apps van derden geen toegang tot je Fotobibliotheek.
Wat is de bug? Laten we zeggen dat jullie mijn ouders zijn. (Ze zijn speciaal, maar in dit scenario niet ongewoon.) Hoewel digitale fotolijsten populair zijn en steeds groter worden - je kunt betaalbare krijgen tot 15 inch - zijn ze nog steeds niet te vergelijken met een 27-inch iMac. En dan zijn er nog de problemen met het beheren van albums en het overzetten naar een digitale lijst. Waarom zou je je iMac niet gebruiken om door tientallen jaren familiefoto's te bladeren die toch al op je computer staan?
Je kiest dan een van de standaard fotoschermbeveiligingen van Apple - mijn ouders zijn niet dol op de hyperkinetische rondvliegende dingen waar foto's heen en weer stuiteren - en stelt deze in om de foto's uit een bepaald album weer te geven. Dat werkt prima, totdat je een foto tegenkomt die staand is genomen en die je in Foto's naar liggend hebt gedraaid. Die foto wordt nog steeds hardnekkig weergegeven in staande oriëntatie, niet liggend, zodat het beeld op zijn kant ligt.
Dit is geen subtiele bug, maar toen mijn ouders erover klaagden, duurde het even voordat ik doorhad wat er anders was aan de getroffen afbeeldingen. Het probleem is eenvoudig: de fotoschermbeveiligingen van Apple tonen alleen originele, onbewerkte afbeeldingen in Foto's. Als je een afbeelding hebt bewerkt, inclusief het draaien ervan, negeert de schermbeveiliging je wijzigingen en gebruikt in plaats daarvan de originele afbeelding die apart is opgeslagen in Foto's.
Het is geen geheim, maar Foto's slaat je originele afbeeldingen op in een map (genaamd "originelen") binnen het pakket Fotobibliotheek. Wanneer je een afbeelding in de app bewerkt, worden die wijzigingen toegepast als een reeks transformaties die bovenop het origineel worden weergegeven en in voorbeeld in miniaturen worden getoond. Wanneer de schermbeveiligingsmodule echter naar een albumafbeelding verwijst, start deze niet wat een rekenkundig zware operatie zou kunnen zijn om de afbeelding weer te geven zoals je die in Foto's zou zien. Maar er zullen weinig andere apps significante CPU-cycli verbruiken wanneer de schermbeveiliging actief is.
Mijn ouders lopen een paar Mac-besturingssystemen achter, omdat ze nog een 27-inch iMac uit 2014 gebruiken. Deze kan je niet upgraden naar macOS 12 Monterey, laat staan macOS 13 Ventura. Het kostte me maar een paar minuten om erachter te komen dat deze fout ook in Ventura nog steeds bestaat. Ik zette een paar foto's in een nieuw album, roteerde er een paar en maakte bij wat andere erg opvallende veranderingen in hun kleuren. Daarna testte ik dit album in verscheidene onderdelen van Schermbeveiliging die met foto's kunnen werken, via Instellingen > Schermbeveiliging. Bij het aanklikken de knop Voorvertoning zag ik dat steeds de originele foto's gebruikt werden en niet mijn geroteerde of bewerkte versies.
Tijdelijke oplossingen
Er zijn een paar tijdelijke oplossingen, maar je zult ze niet leuk vinden, want er wordt daarmee een boel schijfruimte verspild en je moet er steeds opnieuw tijd aan besteden om nieuwe foto's toe te voegen.
De eerste manier bestaat eruit dat je je bewerkte foto's exporteert en opnieuw in Foto's importeert, zodat het systeem ze als origineel ziet. Bij het exporteren van een foto naar Finder "brandt" Foto's de wijzigingen in nieuwe bestanden, waardoor ze permanent zijn. Die kan je opnieuw in Foto's importeren. De eerder uitgevoerde foto's kan je vernietigen om schrijfruimte te besparen, en iedere verwarring te voorkomen. Je kunt ze ook behouden, als je er verder nog eens iets mee wilt. Alle manieren leveren weer hun eigen probleem op.
Deze oplossing kent de volgende nadelen:
- Het is een hoop gedoe. Je kunt wel een slim album creëren dat al jouw bewerkte foto's bevat, zodat je daar uit kunt exporteren. Maar daar zullen al gauw enorme hoeveelheden foto's in terecht komen. Bij mij gaat het om zo'n 7000 in de fotobibliotheek. Als deze methode gebruikt en hieruit importeert, stop ze dan meteen in een eigen album met een sleutelwoord, zodat je ze later gemakkelijk weer terugvindt.
- Je hebt tijdelijk een flinke hoeveelheid extra schijfruimte nodig. Het ex- en opnieuw importeren van al die foto's kost tijd en schijfruimte, en ook je back-ups zullen snel groter worden - tenzij je Time Machine en online back-upsystemen zoals Backblaze tijdelijk uitschakelt.
- Je verliest een deel van je metadata. Je kunt ervoor kiezen bij het uitvoeren ook alle metadata als titels, notities, sleutelwoorden en locaties mee te exporteren. Maar zelfs als je na het selecteren van foto's netjes kiest voor Archief > Exporteer > Export xx foto's, dan nog raak je de informatie kwijt tot welke albums en projecten een afbeelding behoort. Sleep foto's niet gewoon uit Foto's naar de Finder, want dan verlies je ook titels, bijschriften en sleutelwoorden.
- De geïmporteerde afbeeldingen kunnen groter zijn. Als je originele foto's in het HEIF-formaat staan, kost het vervangen ervan met JPEG-versies waarschijnlijk extra schijfruimte. Ik begon zelf bijvoorbeeld met een origineel van 3,2 MB in HEIF-formaat, dat ik als proef exporteerde op drie manieren: door het naar Finder te verslepen, via het export-menu met de kwaliteitsinstelling Hoog en tenslotte met de instelling Maximum. Gesleept werd de bestandsgrootte 5,5 MB, bij de kwaliteit Hoog werd het 4,4 MB, en bij Maximum zelfs 12,4 MB. Als je een geëxporteerd bestand wilt bewaren om er later nog verder mee te kunnen, kies dan alleen voor de bestandsgrootte die het best past bij je de schermgrootte van je monitor, anders verlies je nog meer ruimte.
- Je kunt niet meer terug naar het orgineel. Als je jouw originele afbeeldingen vervangt door ge&eml;xporteerde en daarna opnieuw geïmporteerde versies, dan werkt de Herstel origineel-functie natuurlijk niet meer. Voor foto's die je alleen maar roteerde maakt dat niet zoveel uit, maar het verlies van meerdere complexe aanpassingen is waarschijnlijk wel vervelend.
- Het hebben van duplicaten kan verwarrend werken. Als je (om schijfruimte te sparen) besluit om foto's te exporteren op een lagere resolutie en daarna bij het opnieuw importeren ook het origineel behoudt, dan krijg je veel duplicaten, die kunnen zorgen voor problemen op verschillende momenten in het werken met je fotobibliotheek.
Zelf ben ik nogal een purist, ik gooi niet graag informatie weg die later handig zou kunnen zijn, dus ik voel me zeer ongemakkelijk bij deze methode. Het alternatief om zowel de originelen als kleine geïmporteerde versies te bewaren maakt me nog bezorgder om het verspillen van schijfruimte en het gedoe met duplicaten.
De tweede omweg die je zou kunnen bewandelen is deze: exporteer alleen de foto's die je daadwerkelijk wilt gebruiken in een schermbeveiliging. Stop deze in een map in Finder en koppel die map aan het bedoelde onderdeel in de instellingen voor schermbeveiliging. Maar zelfs als je hiervoor afbeeldingen zo klein mogelijk opslaat, met precies met de resolutie van je scherm en een laag JPEG-compressieniveau, dan gaat het nog om veel verspilde schijfruimte. Bovendien moet je er ook weer veel tijd aan besteden om deze map handmatig bij te houden met nieuwe afbeeldingen. Je werkt dan immers niet met een eenvoudig bij te werken map of een slimme map die zichzelf vult. Het is allemaal even onbevredigend.
Mijn ouders zullen waarschijnlijk nog wat langer balen van de foutief geroteerde afbeeldingen in hun schermbeveiliging, net zolang totdat Apple de fout repareert. Maar als ik zie hoe lang het probleem al bestaat, dan heb ik er weinig vertrouwen in dat het ooit nog gebeurt. Zelf blijf ik bij mijn eigen screensaver van Electric Sheep, waar ik al jaren blij mee ben, maar ik werd bij het schrijven van de alinea aan het begin van dit artikel meegesleept naar de verzamelingen schermbeveiligers van vroeger, zoals Pure Mac Screen Savers, XScreenSaver en Screensavers Planet. Er valt daar veel visueel te smullen.
Wij leggen uit wat je weten moet over Apple-technologie. |
Vorige aflevering | TidBITS Nederlands | Volgende aflevering