Igår slog nyheten ner att en lång rad kändisars privata bilder hade läckt ut på nätet. Stulna nakenbilder på kändisar är inte något vi på MacWorld vanligtvis skulle skriva om, men nu hände det sig att de som kom över bilderna gjorde det genom att hacka sig in på personernas privata iCloud-konton.

Även om du inte är kändis lär du vilja ha dina privata bilder i fred och ett hackat iCloud-konto kan inte bara ge tillgång till foton – i själva verket är det för de flesta en av de smärre konsekvenserna, jämfört med åtkomst till e-post och Hitta min iPhone (Find my iPhone).

Vad har hänt?
Det är inte officiellt bekräftat hur hacket gick till men enligt The Next Web kom hackarna över kändisarnas iCloud-konton via ett python-skript som lades ut på Github på måndagen. Skriptet utnyttjade en bugg i de servrar som hanterar Apple ID-förfrågningar, och lät hackarna utföra en brute force-attack mot lösenordet utan några hinder.

Genom att utnyttja en lista över de 500 vanligaste lösenorden från en tidigare läcka av kontouppgifter från Rockyou och sortera bort de lösenord som inte godkänns av Apple verkar skriptet ha fungerat alldeles för bra och gav hackarna tillgång till iCloud-kontona.

Flera av de hackade personerna har uppgett att de hade raderat bilderna från telefonen. Det betyder att iClouds fotodelningsfunktion måste ha snappat upp dem innan dess och inte raderat dem.

I skrivande stund har Apple uppdaterat sina servrar så att skriptet inte längre fungerar. Användare som använde tvåstegsverifiering var också säkra eftersom det inte räcker med lösenord för att komma in på kontot från en ny dator eller mobil.

Så skyddar du ditt eget konto


iCloud är en smidig funktion för att hålla Macen, iPhone och iPad synkade men med så mycket känslig data som foton, e-post och inte minst Hitta min iPhone är det viktigt att du håller kontot säkert.

Lösenordet
Det första steget på vägen till ett säkert konto är så klart lösenordet. Du vet så klart redan om att du inte ska använda lösenord som ”1234567890” och ”password”, och att lösenord aldrig bör innehålla verkliga uppgifter om dig som barns födelsedagar eller favoritlaget.

Lika viktigt är att använda ett unikt lösenord. Inte ens ett lösenord som QuiXgjQ2WxZ9qk}gTnPF är säkert om du har använt det på två olika sajter och den andra sajten har hackats. Nyligen hackades exempelvis Adobe och över hundra miljoner användare blev tvungna att se över om de hade använt samma lösenord på andra sajter.

Det enklaste sättet att komma ihåg ett långt och därmed säkert lösenord är att skapa en mening som inte egentligen betyder något, till exempel ”gröna apor flyger till Malmö” eller ”stek inte sparvar på tegelsten”. Så länge det inte är en strof ur en känd bok, pjäs eller film kan inget datorsystem gissa sig fram till en sådan kombination av ord snabbare än att bara rågissa på alla möjliga kombinationer av tecken.

Apple ID lösenord
Lösenordet ”gröna Apor flyger till Malmö1025” möter alla Apples krav, samtidigt som det är enkelt att komma ihåg och rejält säkert.

Det finns dock ett krux med denna lösning; många företag, inklusive Apple, kräver numera att lösenord innehåller versaler och gemener samt både siffror och specialtecken. Det gör det tyvärr svårare att komma ihåg lösenorden du skapar, och ett längre lösenord med bara gemener är fortfarande säkrare än ett kortare lösenord med specialtecken.

Ett bra knep för att komma runt detta hinder är att alltid haka på 2-4 siffror på slutet av en vanlig mening du har valt, och att skriva vissa ord med versaler (till exempel alla substantiv). Eftersom själva meningen är säker gör det inget om du hakar på till exempel ditt telefonnummer från barndomshemmet eller ditt första barns födelsedag. Mellanslag räknas som specialtecken så det räcker med dem.

Med det senare exempel kan vårt första lösenord bli exempelvis: ”gröna Apor flyger till Malmö1025”. Det lösenordet möter alla Apples krav på gemener, versaler, siffror och specialtecken, och går betydligt enklare att komma ihåg än ett betydligt mindre säkert lösenord som ser konstigare ut, som ”e8Z3]nRkjm”.

iCloud tvåstegsverifiering

Tvåstegsverifiering
Apple aktiverade nyligen stöd för tvåstegsverifiering av Apple ID-konton, vilket inkluderar iCloud och iTunes Store/App Store. Tvåstegsverifiering gör ditt konto ännu säkrare, genom att kräva ett kort lösenord som skickas till din iPhone eller annan mobiltelefon när du försöker logga in från en ny telefon eller dator.

För att aktivera denna funktion går du till appleid.apple.com och loggar in på ditt konto. Under Lösenord och säkerhet klickar du sedan på Kom igång under Tvåstegsverifiering, och följer stegen därefter.

iCloud bildström
Stäng av iClouds bildbibliotek och bildström om du inte använder funktionerna. Då kan inga foton läcka ens om ditt konto kapas.

Stäng av bildströmmen
Apple aktiverar automatiskt privat delning av foton så att bilderna hamnar på alla dina Apple-prylar, men du behöver inte ha denna funktion aktiverad. För att stänga av den på iPhone går du till Inställningar -> iCloud -> Bilder och stänger av Min bildström och iCloud-bildbibliotek.

Funktionen iCloud-bilddelning kan du lämna aktiverad eftersom den kräver att du manuellt väljer vilka bilder som ska delas och privata foton kan du lämna på telefonen utan åtkomst för varken dig själv eller andra över nätet.

Använd separat mejladress
Om du vill ta ännu ett steg för att skydda ditt iCloud-konto kan du skapa kontot med ett nytt Apple ID som du sedan inte använder för e-post. Det kräver lite pill men fungerar oavsett vilka enheter du använder. Om du redan har ett iCloud-konto som du använder för mejlen men inte har stora mängder annan data på kan du behålla det enbart för mejl och skaffa ett nytt för sykronisering.

Hur hjälper detta för säkerheten? Jo, om du aldrig delar med dig av adressen – som även är loginnamnet på iCloud – så går det inte att ens försöka hacka sig in på kontot.

Börja med att skapa ett nytt iCloud-konto och logga in på telefonen. Under Inställningar -> iCloud trycker du sedan ur E-post, så att det kontot inte är aktivt i Mail-appen. Du kan fortfarande logga in på din mejl via icloud.com om du ibland vill kolla om Apple har skickat något, men annars bör du lämna det orört.

iCloud ingen e-post
Skapa ett iCloud-konto som du inte använder för e-post så slipper du avslöja ditt loginnamn.

Gå sedan till Inställningar -> E-post, kontakter, kalendrar och lägg till ett nytt konto. Välj iCloud och logga in på ditt gamla iCloud-konto men välj enbart e-post och om du vill kalendrar och kontakter.

Det går så klart även bra att bara avaktivera e-post för iCloud-kontot och sedan använda ett annat e-postkonto, till exempel Gmail eller Yahoo Mail. Glöm inte att ha riktigt säkra lösenord och helst tvåstegsverifiering även för dessa, och för den delen alla andra riktigt viktiga konton du har.

Är du riktigt noga kan du även välja att stänga av iMessage för din iCloud-adress. Du kan faktiskt lägga till andra adresser som du kan nås på via iMessage, till exempel en Gmail-adress.