Sinn und Unsinn von Sicherheitsschlüsseln für Apple-IDs

Debianer

Debianer

Aktives Mitglied
Thread Starter
Dabei seit
21.06.2020
Beiträge
191
Reaktionspunkte
144
Ich habe für meine Apple-ID zwei Sicherheitsschlüssel hinterlegt.

Login über Firefox:

Dieser Browser unterstützt keine Sicherheitsschlüssel​

Versuche, dich in einem anderen Browser mit deinem Sicherheitsschlüssel anzumelden.


Login unter Safari:
Login erfolgt ohne Sicherheitsschlüssel mit Touch-ID, obwohl 2FA aktiviert ist.


Was ist hier der tiefere Sinn?
 
Die Challange des Keys kann man auslösen, wenn man beim Dialog "Mit Touch-ID anmelden" wo die korrekte Apple-ID vorgeschlagen wird, auf "andere Apple-ID verwenden" klickt, um anschließend nochmal die gleiche Apple-ID einzugeben.
Erst dann wird der Key gefragt. o_O
 
  • Gefällt mir
Reaktionen: lulesi
Debianer schrieb:
Was ist hier der tiefere Sinn?
Zum Vergrößern anklicken....
Zu Firefox kann ich nichts sagen, bei Safari ist das Apple-Gerät selbst erst mal der zweite Faktor und dabei dann via Face-ID bzw. Touch-ID nochmal abgesichert.

Der Zweck der Sicherheitsschlüssel ist zusätzliche Sicherheit für die Apple-ID. Wenn Du die auf einem neuen Gerät oder irgendwo anders als auf deinen Apple-Geräten verwenden willst, brauchst Du zusätzlich zum Passwort einen der beiden Sicherheitsschlüssel. Oder anders gesagt, überall dort, wo nicht dein Apple-Gerät als zweiter Faktor genutzt werden kann, springt dein Yubikey ein.
 
  • Gefällt mir
Reaktionen: dg2rbf und Debianer
Ich hatte erwartet, dass der Yubikey auf dem Apple-Gerät zum zweiten Faktor wird. Da bin ich wohl von einer falschen Erwartung ausgegangen.
Da Firefox nicht funktioniert habe ich es gerade mal mit Chromium unter Linux versucht.
Funktioniert!
Danke für den Hinweis, verhält sich genau so wie von dir beschrieben.
 
Debianer schrieb:
Ich hatte erwartet, dass der Yubikey auf dem Apple-Gerät zum zweiten Faktor wird. Da bin ich wohl von einer falschen Erwartung ausgegangen.
Zum Vergrößern anklicken....
Wenn ich das richtig durchdenke, ist der Yubikey bei Apple IDs sowieso quatsch weil er null zusätzlichen Schutz bietet. Wüsste nicht, wo der Vorteil gegenüber 2FA mit anderen Apple Devices liegt?!
 
  • Gefällt mir
Reaktionen: Stargate und dg2rbf
jedicopter schrieb:
Wenn ich das richtig durchdenke, ist der Yubikey bei Apple IDs sowieso quatsch weil er null zusätzlichen Schutz bietet. Wüsste nicht, wo der Vorteil gegenüber 2FA mit anderen Apple Devices liegt?!
Zum Vergrößern anklicken....
Die muss man dann erstmal haben und die sind halt für Phishing anfällig, z.B. das Anfrage Bombing bis der Benutzer genervt zustimmt damit Ruhe ist.
 
  • Gefällt mir
Reaktionen: dg2rbf
oneOeight schrieb:
Die muss man dann erstmal haben und die sind halt für Phishing anfällig, z.B. das Anfrage Bombing bis der Benutzer genervt zustimmt damit Ruhe ist.
Zum Vergrößern anklicken....
Zustimmen reicht ja nicht, den 6-stelligen Code vom anderen Gerät kann der Angreifer trotzdem nicht lesen (ausgenommen er hat auf einem Mac vorher nen Screencast ans laufen gebracht).
 
sailingHobbit schrieb:
Zustimmen reicht ja nicht, den 6-stelligen Code vom anderen Gerät kann der Angreifer trotzdem nicht lesen (ausgenommen er hat auf einem Mac vorher nen Screencast ans laufen gebracht).
Zum Vergrößern anklicken....
MFA Fatigue
"Viele 2FA-Anbieter ermöglichen es den Benutzern, eine Push-Benachrichtigung einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken", schreiben Forscher der Sicherheitsfirma Mandiant. "Der Bedrohungsakteur [Nobelium] nutzte dies aus und stellte mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte."

"Doch mit Fido beziehungsweise Webauthn gibt es eine sicherere und phishingresistente Alternative, die auf Public-Key-Kryptographie setzt. Die Technik ermöglicht dabei sogar ein passwortloses Anmelden per Knopfdruck. Das ist beispielsweise mit sogenannten Fido-Sticks oder Android-Smartphones möglich. Allerdings muss der entsprechende Dienst Fido/Webauthn unterstützen."

https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html
 
@Cassiuzz du hast schon gelesen, dass es hier um 2FA für die Apple ID geht? Da muss man am bestehenden Gerät bestätigen UND den auf dem bestehenden Gerät angezeigten Code auf dem neuen Gerät eingeben. Spamming von Anfragen nutzt also nichts, weil die Bestätigung am bestehenden Gerät alleine nicht ausreicht.
 
  • Gefällt mir
Reaktionen: mh2019 und dg2rbf
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten