2FA - Erlaubnis kann auf allen Geräten erteilt werden!?

[Pinguin777]

Hallo,
irgendwie frage ich mich, welchen Schutz die 2FA eigentlich hat, wenn die Frage nach Erlaubnis und der anschließende 6-stellige Code auf allen Geräten angezeigt wird.
Beispiel: Habe mich auf meinem MacBook Pro eingeloggt. Dann kam die Frage (irritierend genug, weil die IP-Adresse nicht diejenige ergab, die mir mein Router anzeigt, sondern eine in 500 km Entfernung) und nachdem ich die Erlaubnis erteilt hatte, wurde auf dem MacBook Pro der 6-stellige Code angezeigt. Nun frage ich mich, was passiert wäre, wenn mein MacBook Pro in falsche Hände gelangt wäre und ich nicht schnell genug auf einem anderen Gerät die Erlaubnis hätte verweigern können!
Eigentlich müsste die Frage und der Code doch auf einem anderen(!) Gerät angezeigt werden, keinesfalls aber auf dem, mit dem man sich einloggt!

 

[Matrickser]

Der Code wird auf allen vertrauenswürdigen Geräten angezeigt.
Angenommen dein MacBook kommt in falsche Hände und der Dieb will sich einen Zugang zur iCloud verschaffen, dann erhältst du auf allen Geräten diese Meldung.

 

[Pinguin777]

Der Code wird auf allen vertrauenswürdigen Geräten angezeigt.
Angenommen dein MacBook kommt in falsche Hände und der Dieb will sich einen Zugang zur iCloud verschaffen, dann erhältst du auf allen Geräten diese Meldung.

Aber was passiert, wenn der Dieb die Meldung bestätigt und ich gerade ohne iPhone/iPad unterwegs bin und daher nicht schnell genug ablehnen kann: Dann hat er alle Möglichkeiten und eh ich mich versehe, ist der Apple Account gekapert!

 

[Matrickser]

Aber was passiert, wenn der Dieb die Meldung bestätigt und ich gerade ohne iPhone/iPad unterwegs bin und daher nicht schnell genug ablehnen kann: Dann hat er alle Möglichkeiten und eh ich mich versehe, ist der Apple Account gekapert!

Um vom gestohlenen MacBook aus auf die iCloud zuzugreifen, müsste der Dieb auch noch den MacOS-Login überwinden.

 

[pc-bastler]

Um vom gestohlenen MacBook aus auf die iCloud zuzugreifen, müsste der Dieb auch noch den MacOS-Login überwinden.

Zum Einen das (es sollte halt kein zu leicht zu erratendes Kennwort genutzt werden) und zum Anderen sollte man den iCloud Vertrauensstatus sofort entziehen, sobald man merkt, dass sein Gerät "weg" ist. Dann kommt auch keine Abfrage mehr auf das entsprechende Gerät.

 

[maba_de]

Um vom gestohlenen MacBook aus auf die iCloud zuzugreifen, müsste der Dieb auch noch den MacOS-Login überwinden.

was ja nicht wirklich ein Problem ist, so lange kein Firmware Passwort vergeben ist.

 

[tocotronaut]

Der sinn der 2FA ist nicht, Geräte vor Diebstahl zu schützen, sondern den unbemerkten Zugriff auf deinen iCloud Account zu verhindern.

Ein Angriff aus dem Netz (social engineering) wird erschwert, weil du jeden fremden zugriff erst manuell auf deinen geräten bestätigen musst.

Hintergründe: Fappening
Die Einführung der 2FA ist auf dieses Ereignis zurückzuführen...

 

[medeman]

was ja nicht wirklich ein Problem ist, so lange kein Firmware Passwort vergeben ist.

FileVault..?

 

[maba_de]

FileVault..?

nützt dir nichts, wenn du kein Firmware Passwort vergeben hast.

 

[Blaubeere2]

Hallo Pinguin777,
ich sehe das genau so kritisch wie du. Vor einiger Zeit hatte ich das ebenfalls hier im Forum angesprochen, stand aber mit meiner Meinung alleine auf weiter Flur. Die Mehrheit betrachtet das nicht als Schwachstelle der 2FA.

Gruß
Blaubeere

 

[Pinguin777]

Hallo Pinguin777,
ich sehe das genau so kritisch wie du. Vor einiger Zeit hatte ich das ebenfalls hier im Forum angesprochen, stand aber mit meiner Meinung alleine auf weiter Flur. Die Mehrheit betrachtet das nicht als Schwachstelle der 2FA.

Gruß
Blaubeere

Dürfte für eine Firma wie Apple doch kein Problem sein, die 2FA so einzurichten, dass immer grundsätzlich von einem anderen Gerät die Bestätigung erfolgen muss! Klar, ich muss ein sicheres Passwort vergeben und und und. Aber wenn schon 2FA, dann auch konsequent und richtig. Die Banken schaffen es doch auch, ihre Banking-Apps so einzurichten, dass man in der Regel nie auf ein und demselben Gerät die Banking-App ausführen und das Passwort erhalten kann.

 

[pc-bastler]

Im Prinzip habt ihr Recht, das ist eine Schwachstelle. Allerdings muss man hier abwägen:

- Die Akzeptanz der User für die 2FA steigt mit der Bequemlichkeit:
Wenn du erst von der Couch hoch musst, weil du mit dem Laptop auf dem Schoß eine Abfrage der 2FA bekommst, dann erst in den Flur laufen und das iPhone aus der Jacke kramen, dann wird die 2FA eben abgeschaltet (spätestens nach dem 2. Mal).
- Das Plus an Sicherheit:
Für den von euch geschilderten Fall muss schon eine gezielte Absicht zum Datendiebstahl vorliegen. Jemand muss ein ganz bestimmtest Gerät in seinen Besitz bringen, muss das Adminstratorkennwort zurücksetzen, das Benutzerkennwort zurücksetzen, iCloud aufrufen, dort das Kennwort für die AppleID eingeben so dass er überhaupt erstmal an die Stelle kommt, an der der Code angezeigt wird.
Die Praxis sieht aber eher so aus, dass der Dieb keine Ahnung vom Mac hat und das Book nur verkaufen will. Oder aber er stiehlt es zum "Eigenbedarf", dann hat er aber eher Interesse daran, das Book plattzumachen, als auf irgendwelche Daten zuzugreifen.

 

[medeman]

nützt dir nichts, wenn du kein Firmware Passwort vergeben hast.

Na klar. Mein Betriebssystem kann dann ohne Passwort nicht gestartet werden. Da wird der Dieb dann niemals eine 2FA Anfrage sehen. Nur mit Firmware-Passwort könnte er die SSD/HDD ausbauen/-löten und könnte zumindest meine Installation starten. 2FA würde dann wohl trotzdem nicht funktionieren in einem anderen Gerät.

 

[maba_de]

@medeman mit dem Firmware Passwort bootet er in die Recovery Konsole und setzt dein User Passwort ganz einfach zurück. Dann hat er vollen Zugriff auf deinen User Account.

Edit: ich glaube, du hast Recht, wenn FileVault aktiviert ist kann man über die Recovery Konsole das PW nicht zurücksetzen:
macOS: So könnt ihr ein vergessenes Mac-Passwort wiederherstellen

 

[Lor-Olli]

Dürfte für eine Firma wie Apple doch kein Problem sein, die 2FA so einzurichten, dass immer grundsätzlich von einem anderen Gerät die Bestätigung erfolgen muss!

Schon mal überlegt was passiert, wenn jemand nur EIN Apple Gerät nutzt? Oder auch nur mit einem Gerät unterwegs ist? (der iMac steht dann ja zu Haus, d.h.Du kommst dann gar nicht an Deine icloud!?)

 

[medeman]

@medeman mit dem Firmware Passwort bootet er in die Recovery Konsole und setzt dein User Passwort ganz einfach zurück. Dann hat er vollen Zugriff auf deinen User Account.

Edit: ich glaube, du hast Recht, wenn FileVault aktiviert ist kann man über die Recovery Konsole das PW nicht zurücksetzen:
macOS: So könnt ihr ein vergessenes Mac-Passwort wiederherstellen

Was wäre denn der Sinn von FileVault, wenn man das Passwort einfach zurücksetzen könnte? Es dient ja der Verschlüsselung, das würde sich widersprechen^^

 

[Meeseeks]

Entschuldigt meine Unwissenheit, ich nutze 2FA nur auf iOS Geräten, vielleicht läuft es unter MacOS anders:

Wenn ich ein bei iCloud registriertes Gerät gestohlen und den Login überwunden habe, habe ich doch in der Regel schon vollen Zugriff auf alle iCloud Daten.
Für die Löschung eines Gerätes oder Deaktivieren von "iPhone finden" für den Weiterverkauf wird auch nur das iCloud Passwort ohne 2FA gebraucht.
Für das Entfernen aus der iCloud Geräteliste nicht mal das.

Warum interessiere ich mich dann noch für die 2FA auf dem entsprechenden Gerät?

 

[medeman]

2FA schützt vor Accountdiebstahl, nicht vor Gerätediebstahl. Wenn wer physischen Zugriff auf deine unverschlüsselten Daten hat...ja, dann steht man dumm da.

 

[Meeseeks]

Deshalb verstehe ich die Ausgangssituation nicht.
Sobald ich unbefugten Zugriff auf ein 2FA registriertes Gerät habe ist es vollkommen unerheblich, auf welchem Gerät die 2FA angezeigt wird.
Es könnten dann schnell problemlos alle restlichen Geräte aus der iCloud Geräteliste entfernt werden und damit müsste notgedrungen auf dem selben Gerät die 2FA angezeigt werden, weil der Passcode ja auf einem Gerät erscheinen muss.

 

[David X]

Ich zitiere mich mal selbst:

Was sind denn die Alternativen?

• Nur Apple-ID und Passwort verwenden

• Klar, wer beides, woher auch immer kennt, kann sich einloggen und sich mit Euren Daten austoben.

• 2-stufige Bestätigung mit SMS

• Schon besser, aber, wie O2-Kunden vor Kurzem erst im Zusammenhang mit Online-Banking und SMS-TAN feststellen durften, nicht wirklich das Gelbe vom Ei.

• 2-stufige Bestätigung mit "Mein iPhone suchen" aktiviert

• Das bisher Beste, da eigentlich schon auf dem Level von 2FA, jetzt wird die 4-stellige PIN über den Datenkanal des Mobilfunkers oder über WLAN übertragen und nicht mehr per SMS. Bedeutet aber, dass man ein iPhone haben muss. Wer keins hat oder "Mein iPhone suchen" nicht aktivieren will, dem bleibt nur die SMS-Methode.

• 2-Faktor-Authentifizierung

• Hier reicht ein Gerät mit mind. iOS 9 oder OS X El Capitan, das mit iCloud verbunden und als vertrauenswürdiges Gerät registriert wurde. Standardmäßig wird jetzt über die iCloud-Sync-Funktion ein 6-stelliger Code gesendet. Weder erhält man im Normalfall eine SMS, noch muss die Suchfunktion für ein Apple-Gerät aktiviert sein. Außerdem erscheint die Nachricht auf allen vertrauenswürdigen Apple-Geräten gleichzeitig und nicht nur auf einem registrierten Telefon. M.M.n. ganz klar die zu favorisierende Variante - 6- statt nur 4-stelliger Code, alle meine mit der iCloud verbundenen Geräte machen mich auf den Versuch aufmerksam und es landet standardmäßig erstmal nix auf den unsicheren SMS-Kanälen der Mobilfunker. Nachtrag: Zusätzlich muss man noch eine vertrauenswürdige Telefonnummer hinterlegen. Wenn man nicht will, dass man in Zukunft eine SMS bekommt, muss man beim Einrichten die Telefonanruf-Option wählen.

Anscheinend haben einige ja nun ein Problem damit, dass der 6-stellige Code auch auf dem Gerät angezeigt wird, mit dem man sich in der iCloud anmelden möchte. Dies wäre ja dadurch nicht sicher, da ja ein Dieb des vertrauenswürdigen Gerätes sich mit dem Code in der Cloud anmelden könnte, weil er ja jetzt den Code zugesendet bekommt.

Dazu habe ich nun 2 Fragen:

1. Woher kennt der Dieb das zur Apple-ID gehörende Passwort?
2. Der Code wird nur auf einem entsperrten iPhone bzw. in einem eingeloggten User-Account eines Mac angezeigt. Er hat dadurch doch schon Zugriff auf den Großteil der in der Cloud zur Verfügung stehenden Daten. Er kann, wenn er den Sperrcode des iPhone bzw. das Passwort des Mac-User-Accounts kennt und im Besitz Eures Apple-ID-Passwortes ist, doch über die Systemeinstellungen des Phones oder Macs die iCloud so konfigurieren, wie er will. Eure Daten inkl. der bei der Apple-ID hinterlegte Zahlungsmethode kennt er doch jetzt ebenfalls. Wozu muss sich ein Dieb noch in der iCloud einloggen, wenn er Zugriff auf das entsperrte iPhone oder einen mit der Apple-ID verbundenen User-Account hat?