Account-Sicherheit: Passwort-Änderung erschweren?

M

martincho

Aktives Mitglied
Thread Starter
Dabei seit
24.09.2009
Beiträge
373
Reaktionspunkte
20
Sehe ich das richtig, um das Passwort des Accounts zu ändern muss auf dem iPhone NUR der Sicherheitscode des Geräts eingegeben werden? Dann kann man sich mit dem neuen Passwort direkt am Gerät einloggen und hat komplett Zugriff auf den Account, kann diesen also auch löschen?

Finde ich sehr unsicher, wenn ich drüber nachdenke.

Apple scheint das Problem zu kennen "should the worst happen and someone manages to change your password using one of your trusted devices and your passcode, Apple will no longer be able to help"

Lässt sich das also irgendwie erschweren?

Wenn ich nämlich nachdenke dann könnte jemand wenn er das schafft den Passcode auf einem fremden Handy zu ändern (bevor es gesperrt werden kann) dich damit erpressen dass er deinen Account löscht und das war's dann mit allen Kontakten, Daten, Fotos etc., wenn man sie nicht lokal als Backup hat.
 
martincho schrieb:
Lässt sich das also irgendwie erschweren?

Wenn ich nämlich nachdenke dann könnte jemand wenn er das schafft den Passcode auf einem fremden Handy zu ändern (bevor es gesperrt werden kann) dich damit erpressen dass er deinen Account löscht und das war's dann mit allen Kontakten, Daten, Fotos etc., wenn man sie nicht lokal als Backup hat.
Zum Vergrößern anklicken....
Zum Ändern des Codes muss zuerst der Alte eingegeben werden. Ein entsperrtes iPhone reicht nicht aus.
 
Da bietet es sich an, lieber ein komplexes Passwort (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) auf dem iPhone zu verwenden, als den eigenen Geburtstag. Denn wer im iPhone drin ist, der hat schließlich auch Zugriff auf gespeicherte Passwörter, Kontakte, Kalender, ...

Wenn man sich dessen bewusst wird, dann steht hier die Sicherheit eines komplexen Passworts über dem Komfort (ein paar Sekunden bei der Eingabe sparen, weil 123456 das Passwort ist). Außerdem regelt das in den meisten Fällen ja Touch ID/Face ID.
 
Zitieren
  • Gefällt mir
Reaktionen: Blaubeere2 und dg2rbf
Ja schon aber was ist wenn Passcode durch ausprobieren geknackt wird, sehr kreativ ist meiner nicht. Auch FaceID kann überlistet werden.
 
martincho schrieb:
Auch FaceID kann überlistet werden.
Zum Vergrößern anklicken....
Also wenn du jetzt jede theoretische Angriffsmöglichkeit derart hochhängen willst, dann gib das Gerät lieber zurück, wickle dich in Alufolie ein und geh nicht mehr aus dem Haus.

Es gibt immer irgendwelche theoretischen Angriffmöglichkeiten. Du musst immer einen für dich passenden Kompromiss zwischen Bequemlichkeit und Sicherheit finden.
 
Zitieren
  • Gefällt mir
  • Love
Reaktionen: borland, ekki161, lulesi und 4 andere
martincho schrieb:
Ja schon aber was ist wenn Passcode durch ausprobieren geknackt wird, sehr kreativ ist meiner nicht. Auch FaceID kann überlistet werden.
Zum Vergrößern anklicken....
um mal deine an den Haaren herbei gezogenen theroetischen Sicherheitrisiken ad absurdum zu führen: Wenn dir jemand eine Waffe an den Kopf hält, braucht er sicherlich nicht versuchen dein iPhone zu knacken oder FaceID zu überlisten.

Und wenn dein Passcode so schwach ist, dann stelle halt ein, dass bei mehrmaligen Versuch das iPhone gelöscht wird. Oder reglementiere mit einem MDM die Zugriff weiter, oder ....
 
Zitieren
  • Gefällt mir
  • Haha
Reaktionen: borland, ekki161, dg2rbf und 2 andere
martincho schrieb:
Ja schon aber was ist wenn Passcode durch ausprobieren geknackt wird, sehr kreativ ist meiner nicht.
Zum Vergrößern anklicken....
Das kannst du ja leicht nachbessern. Der bekannte Tipp "Überlege dir einen Satz, nimm die Anfangsbuchstaben und häng eine Zahl dran, auf die man nicht allzu leicht kommt", hilft da meistens.

Bspw.: "Martin & Cho nutzt ab heute (17.04.) ein sicheres Passwort!" = "M&Cnah(17.04.)esP!" -> Da brauchst du keine Angst haben, dass durch Probieren (oder auch über die Schulter schauen) jemand dein Passwort knackt.
 
Warum alle so schlecht gelaunt?

Es wäre doch denkbar, das die 2-Faktor-Auth auch angewendet werden müsste um auf einem Endgerät Passwort des iCloud-Accounts zu verändern.
 
Mihahn schrieb:
Das kannst du ja leicht nachbessern. Der bekannte Tipp "Überlege dir einen Satz, nimm die Anfangsbuchstaben und häng eine Zahl dran, auf die man nicht allzu leicht kommt", hilft da meistens.

Bspw.: "Martin & Cho nutzt ab heute (17.04.) ein sicheres Passwort!" = "M&Cnah(17.04.)esP!" -> Da brauchst du keine Angst haben, dass durch Probieren (oder auch über die Schulter schauen) jemand dein Passwort knackt.
Zum Vergrößern anklicken....
geht das? Passcode sind doch 6 Zahlen?
 
martincho schrieb:
Warum alle so schlecht gelaunt?

Es wäre doch denkbar, das die 2-Faktor-Auth auch angewendet werden müsste um auf einem Endgerät Passwort des iCloud-Accounts zu verändern.
Zum Vergrößern anklicken....
Wir sind nicht schlecht gelaunt. Du kramst aber irgendwelche unwahrscheinlichen Szenarien raus, um damit eine Unsicherheit herbeizureden, die de facto so nicht besteht. Also: Bequemlichkeit vs. Sicherheit. Such dir den für dich passenden Kompromiss.
martincho schrieb:
geht das? Passcode sind doch 6 Zahlen?
Zum Vergrößern anklicken....
Du kannst auch Buchstaben verwenden.
 
martincho schrieb:
geht das? Passcode sind doch 6 Zahlen?
Zum Vergrößern anklicken....
Ja, so mache ich das, ich nutze einen alphanumerischen Code – scheint mir sicherer. Apple schreibt dazu:
Code ändern: Gib einen neuen sechsstelligen Code ein. Über die Code-Optionen kannst du zu einem vierstelligen oder benutzerdefinierten numerischen Code oder auch zu einem benutzerdefinierten alphanumerischen Code wechseln.
Zum Vergrößern anklicken....
Dass es nach einem Neustart des iPhones oder wenn Touch ID mal wieder nicht funktioniert, ein bisschen nervig ist, den Code einzugeben, steht außer Frage. Für das Mehr an Sicherheit ist es mir das aber wert. Und es handelt sich dabei ja wirklich nur um Sekunden...
 
Zitieren
  • Gefällt mir
Reaktionen: dg2rbf und martincho
Du kannst auch ein normales Passwort mit Buchstaben erstellen.
 

Anhänge

  • B136F43E-6BDE-4D50-919D-2CC83EFDDFEB.jpeg
    B136F43E-6BDE-4D50-919D-2CC83EFDDFEB.jpeg
    31,2 KB · Aufrufe: 37
martincho schrieb:
Es wäre doch denkbar, das die 2-Faktor-Auth auch angewendet werden müsste um auf einem Endgerät Passwort des iCloud-Accounts zu verändern.
Zum Vergrößern anklicken....
Ist das nicht faktisch eine 2-Faktor-Authentifizierung? Also die Kombination aus altem iCloud Passwort (das muss man bestimmt immer noch eingeben, oder?) und dem Entsperr-Code des iPhones?

Wenn dem so ist, dann ist das sogar noch sicherer als die klassische 2FA über eine TAN, die per SMS kommt. Denn die SMS kann jeder lesen, deinen alphanumerischen Entsperr-Code für das iPhone kennst nur du.

Edit: Stimmt nicht, was ich sage – scheinbar kann ja wirklich jeder, der den Code zum Entsperren des iPhones kennt, das Passwort der Apple ID ändern. Denn Apple schreibt:
Gib dein bisheriges Passwort oder den Gerätecode ein. Gib dann ein neues Passwort ein, und bestätige dieses.
Zum Vergrößern anklicken....

Habe es eben mal getestet und konnte wirklich mein Passwort der Apple ID nur mithilfe des iPhone Codes ändern. Das wundert mich doch ein wenig – spricht aber erst recht dafür, dass es wichtig ist, ein sicheres Passwort für iPhone/iPad (und natürlich auch einen Mac) zu verwenden.
 
Es ist eine 2 Faktor Authentifizierung: 1. Faktor FaceID / ToucID, 2. Faktor Passcode.

Wenn man natürlich den 1. Faktor schon eingegeben hat (= iPhone entsperrt), dann bleibt halt nur noch 1 Faktor übrig.
 
martincho schrieb:
Wenn ich nämlich nachdenke dann könnte jemand wenn er das schafft den Passcode auf einem fremden Handy zu ändern (bevor es gesperrt werden kann) dich damit erpressen dass er deinen Account löscht und das war's dann mit allen Kontakten, Daten, Fotos etc., wenn man sie nicht lokal als Backup hat.
Zum Vergrößern anklicken....
Du meinst, es gibt tatsächlich Menschen, die ihre wichtigen Daten nicht lokal gesichert haben?
 
Mihahn schrieb:
Ist das nicht faktisch eine 2-Faktor-Authentifizierung? Also die Kombination aus altem iCloud Passwort (das muss man bestimmt immer noch eingeben, oder?) und dem Entsperr-Code des iPhones?
Zum Vergrößern anklicken....
Nein, das ist das hier diskutierte Problem. Man muss auf dem iPhone, wenn man das Account-Passwort ändern will, nur den Geräte-Code eingeben, aber nicht das alte Account-Passwort.
Ich versteh auch nicht, wieso man bei manchen iCloud-Dingen Gerätepassworte eingeben soll, denn die sind (jedenfalls bei einigen, die ich kenne) unsicherer als Onlinepasswörter :noplan:
 
Zitieren
  • Gefällt mir
Reaktionen: dg2rbf und Mihahn
lisanet schrieb:
Es ist eine 2 Faktor Authentifizierung: 1. Faktor FaceID / ToucID, 2. Faktor Passcode.

Wenn man natürlich den 1. Faktor schon eingegeben hat (= iPhone entsperrt), dann bleibt halt nur noch 1 Faktor übrig.
Zum Vergrößern anklicken....
Das sehe ich aber ein bisschen anders – für mich ist Touch ID / Face ID dasselbe wie der Passcode. Denn wenn Face ID scheitert, dann gibst du ja auch den Passcode ein bzw. statt des Passcodes nutzt du Face ID. Bei 2FA geht es ja gerade darum, dass man 2 unabhängige Faktoren hat. Hier hat man nur einen Faktor, nämlich den Passcode – denn Face ID und Touch ID machen den Passcode nur bequemer, sind aber nicht wirklich Pflicht. Wer den Passcode kennt kommt ins Gerät und kann damit das iCloud Passwort ändern; unabhängig vom "Faktor Face ID".
BalthasarBux schrieb:
Nein, das ist das hier diskutierte Problem. Man muss auf dem iPhone, wenn man das Account-Passwort ändern will, nur den Geräte-Code eingeben, aber nicht das alte Account-Passwort.
Ich versteh auch nicht, wieso man bei manchen iCloud-Dingen Gerätepassworte eingeben soll, denn die sind (jedenfalls bei einigen, die ich kenne) unsicherer als Onlinepasswörter :noplan:
Zum Vergrößern anklicken....
Ja, das hatte ich dann in dem Edit verstanden. Sehe ich genauso! Die meisten "normalen User", die ich kenne, kennen ihr Gerätepasswort auswendig, wogegen das iCloud Passwort auf einem Zettel aufgeschrieben im Sekretär verschlossen liegt.
 
Zurück
Oben Unten