Account-Sicherheit: Passwort-Änderung erschweren?

[lisanet]

Oft beschreibt man 2FA auch mit: "1 Faktor den du hast und 1 Faktor den du weißt" Ein Faktor ist somit dein iPhone, der andere Faktor dein Passcode.

Klar hast du recht, wenn du verlangst, dass jede kritische Aktion separat mit unabhängigen 2 Faktoren gesichert ist. Also der Zugang z.B. zu 1 Password nicht nur mit einem entsperrten iPhone / FaceID / TouchID, sondern zusätzlich zum entsperrten iPhone mit einem eigenen Passwort und einem zusätzlichen weiteren Faktor (z.B. einer SMS o.a)

Du siehst aber auch, dass die Implementation auf iOS von 2FA nahezu immer mit dem iPhone als 1. Faktor und FaceID/TouchID/Passcode als 2. Faktor vorgenommen wird. Ein Angreifen benötigt halt beides: Passcode und Gerät. Es ist also auch definitv 2FA.

Dein Beispiel war aber sogar noch weniger riskant: ein entsperrtes iPhone und der Versuch des Angreifes, den Passcode mit brute-force zu knacken / erraten.

Edit:
mein vorheriges Psoting war echt nicht korrekt geschriebn. Ich dachte dabei immer an ein entsperrtes iPhone. Das nur mit TocuID / FaceID zu beschrieben ist natürich nicht ganz korrekt.

 

[Schubladenzieher]

Ihr habt mich dazu bewogen, meinen ehemaligen Passcode auf meinem iPhone und iPad zu ändern, danke!

Welches Gerätepasswort wird eigentlich abgefragt, wenn man Änderungen am iCloud-Account vornehmen möchte? Würde das sozusagen bedeuten, dass man mit jeweils zwei verschiedenen Codes auf iPhone und iPad iCloud-Änderungen durchführen könnte?

Was haltet ihr vom Wiederherstellungsschlüssel?

 

[martincho]

Das sehe ich aber ein bisschen anders – für mich ist Touch ID / Face ID dasselbe wie der Passcode. Denn wenn Face ID scheitert, dann gibst du ja auch den Passcode ein bzw. statt des Passcodes nutzt du Face ID. Bei 2FA geht es ja gerade darum, dass man 2 unabhängige Faktoren hat. Hier hat man nur einen Faktor, nämlich den Passcode – denn Face ID und Touch ID machen den Passcode nur bequemer, sind aber nicht wirklich Pflicht. Wer den Passcode kennt kommt ins Gerät und kann damit das iCloud Passwort ändern; unabhängig vom "Faktor Face ID".

Ja, das hatte ich dann in dem Edit verstanden. Sehe ich genauso! Die meisten "normalen User", die ich kenne, kennen ihr Gerätepasswort auswendig, wogegen das iCloud Passwort auf einem Zettel aufgeschrieben im Sekretär verschlossen liegt.

So ist es, FaceID und Passcode sind gerätespezifisch. Das ist ein und dasselbe Sicherheitslayer.

 

[martincho]

Ist das nicht faktisch eine 2-Faktor-Authentifizierung? Also die Kombination aus altem iCloud Passwort (das muss man bestimmt immer noch eingeben, oder?) und dem Entsperr-Code des iPhones?

Wenn dem so ist, dann ist das sogar noch sicherer als die klassische 2FA über eine TAN, die per SMS kommt. Denn die SMS kann jeder lesen, deinen alphanumerischen Entsperr-Code für das iPhone kennst nur du.

Edit: Stimmt nicht, was ich sage – scheinbar kann ja wirklich jeder, der den Code zum Entsperren des iPhones kennt, das Passwort der Apple ID ändern. Denn Apple schreibt:


Habe es eben mal getestet und konnte wirklich mein Passwort der Apple ID nur mithilfe des iPhone Codes ändern. Das wundert mich doch ein wenig – spricht aber erst recht dafür, dass es wichtig ist, ein sicheres Passwort für iPhone/iPad (und natürlich auch einen Mac) zu verwenden.

Genau jetzt weiss ich wieder was mich initial an der ganzen Sache gestört hat! Das ist es, man muss das aktuelle iCloud-Passwort nicht eingeben sondern ändert es direkt. Hier wird es möglichem Missbrauch zu einfach gemacht.

 

[martincho]

Du meinst, es gibt tatsächlich Menschen, die ihre wichtigen Daten nicht lokal gesichert haben?

Spar dir doch bitte deinen süffisanten Spruch.

Ja, ich sichere.

Nein, ich habe keine Time Capsule oder andere NAS Lösung die mir täglich Backups zieht.