CovPass App - QR Code wird nicht erkannt

[Mihahn]

Inwiefern ist ein sicheres Passwort am iPhone relevant?

Wie würde ein Dieb denn vorgehen, um an die Daten zu kommen? Hat der denn überhaupt die Möglichkeiten,
um das iPhone anzuschließen und die Software, und das zu „knacken“?

Ein numerisches Passwort ist m.E. aus mindestens zwei Gründen relativ unsicher:

• Viele Leute verwenden als Passwörter gerne ihren Geburtstag, den Geburtstag der Ehefrau, der Kinder oder auch den Hochzeitstag. Über Social Engineering kann ein potentieller Angreifer so einigermaßen schnell an das Passwort kommen.
• Noch viel einfacher aber: Zuschauen. Wenn ich sehe, wie offensichtlich andere Leute ihr Passwort z.B. in der U-Bahn eingeben, ist das keine große Hürde.

Ich denke also bei der Sicherheit am iPhone nicht primär an ein "knacken" mit externen Hilfsmitteln, sondern einfach an Alltagssituationen. Der Kollege, der erzählt, dass er heute Hochzeitstag hat. Oder der Sitznachbar im Zug, der sein Passwort eingibt, weil Touch ID oder Face ID mal wieder nicht richtig funktioniert.

Wenn man erstmal drinnen ist im iPhone, dann kann man ja ganz einfach:

• Fotos/Mails/Nachrichten etc. abgreifen
• Gesicherte Passwörter in der iCloud Keychain einsehen (alle Login Daten sind dort gesichert und die kann man sich einfach in den Einstellungen des iPhones anzeigen lassen, wenn man den Code zum Entsperren kennt)
• Sogar das Passwort der Apple ID lässt sich allein (!) mit dem Code des iPhones ändern.

Klar, wenn der Dieb mein Smartphone im Schwimmbad aus der Tasche zieht, dann ist es auch so relativ sicher. Aber wenn der Dieb mich im Zug beobachtet und es mir aus der Tasche klaut oder es ein Bekannter ist, dann schützt ein alphanumerisches Passwort deutlich besser.

 

[picknicker1971]

dann schützt ein alphanumerisches Passwort deutlich besser.

Lässt sich genauso ausspähen

Noch viel einfacher aber: Zuschauen. Wenn ich sehe, wie offensichtlich andere Leute ihr Passwort z.B. in der U-Bahn eingeben, ist das keine große Hürde.

 

[MacEnroe]

Ein numerisches Passwort ist m.E. aus mindestens zwei Gründen relativ unsicher:

• Viele Leute verwenden als Passwörter gerne ihren Geburtstag, den Geburtstag der Ehefrau, der Kinder oder auch den Hochzeitstag. Über Social Engineering kann ein potentieller Angreifer so einigermaßen schnell an das Passwort kommen.
• Noch viel einfacher aber: Zuschauen. Wenn ich sehe, wie offensichtlich andere Leute ihr Passwort z.B. in der U-Bahn eingeben, ist das keine große Hürde.

Ich denke also bei der Sicherheit am iPhone nicht primär an ein "knacken" mit externen Hilfsmitteln, sondern einfach an Alltagssituationen. Der Kollege, der erzählt, dass er heute Hochzeitstag hat. Oder der Sitznachbar im Zug, der sein Passwort eingibt, weil Touch ID oder Face ID mal wieder nicht richtig funktioniert.

Wenn man erstmal drinnen ist im iPhone, dann kann man ja ganz einfach:

• Fotos/Mails/Nachrichten etc. abgreifen
• Gesicherte Passwörter in der iCloud Keychain einsehen (alle Login Daten sind dort gesichert und die kann man sich einfach in den Einstellungen des iPhones anzeigen lassen, wenn man den Code zum Entsperren kennt)
• Sogar das Passwort der Apple ID lässt sich allein (!) mit dem Code des iPhones ändern.

Klar, wenn der Dieb mein Smartphone im Schwimmbad aus der Tasche zieht, dann ist es auch so relativ sicher. Aber wenn der Dieb mich im Zug beobachtet und es mir aus der Tasche klaut oder es ein Bekannter ist, dann schützt ein alphanumerisches Passwort deutlich besser.

Ja, Ausspähen ist ein Argument ... wenn auch ein schwaches.

Sonst wären EC-Karten längst aus dem Verkehr. Denn da weiß der Angreifer sogar, dass es genau 4 Zahlen sind.

Da ist man mit jeder anderen einfachen Kombination am iPhone sicherer. Zumal man das überall Tippen kann,
auch versteckt. An der Kasse / Automat weiß der Angreifer genau, wo du tippst. Das Gerät ist ja immer an der
festen Stelle.

 

[Mihahn]

dann schützt ein alphanumerisches Passwort deutlich besser.

Lässt sich genauso ausspähen

Mag sein, aber bei einem Blick in der Bahn ist es wohl leichter, sich "071967" oder "010869" zu merken (allein wegen der Bewegung und dem Muster, das es auf dem Touchscreen ergibt) als "E&Vsb32Jv!1989" (Elisabeht & Volker sind bereits 32 Jahre verheiratet!1989). Das könnte ich mir (und viele andere wohl auch) auch bei dreimaligem Hinsehen nicht länger als ein paar Sekunden merken.

Ja, Ausspähen ist ein Argument ... wenn auch ein schwaches.

Sonst wären EC-Karten längst aus dem Verkehr. Denn da weiß der Angreifer sogar, dass es genau 4 Zahlen sind.

Da ist man mit jeder anderen einfachen Kombination am iPhone sicherer. Zumal man das überall Tippen kann,
auch versteckt. An der Kasse / Automat weiß der Angreifer genau, wo du tippst. Das Gerät ist ja immer an der
festen Stelle.

Klar, das stimmt. Aber bei der EC Karte ist es der Allgemeinheit deutlich bewusster, dass die PIN geheim bleiben muss und so zeige ich die EC Karten PIN niemandem. Normalerweise zahle ich mit Apple Pay und Touch ID; wenn ich mal die Karte samt PIN mit 4 Ziffern brauche, dann halte ich eine Hand über das Eingabefeld und gebe mit der anderen die Nummer ein – wie viele andere auch. Wenn man Geld abhebt, ist man allein vor dem Terminal und verdeckt mit dem Körper schon das Eingabefeld. Ich würde also behaupten bei der EC Karte ist ein Bewusstsein für die Wichtigkeit der Geheimhaltung der PIN da. Genauso weiß denke ich jeder, dass man bei der Bank per Hotline die Karte innerhalb kürzester Zeit sperren lassen kann; die "Wo ist?" Funktion des iPhones ist dagegen wohl bedeutend weniger bekannt.

Das Smartphone wird von vielen entsperrt, ohne dass sich Gedanken darüber gemacht werden, ob der Code von anderen gesehen oder auch so einfach erraten werden könnte. Und mit dem Code kann man an so viele persönliche Daten bis hin zu Bank/PayPal (wenn man diese Passwörter – was ich nie empfehlen würde – auch in der Keychain speichert); das ist erstaunlich, wenn man sich das mal so vor Augen führt. Für mich persönlich ist mir mehr Sicherheit da lieber, weil ich nicht immer vermeiden kann, dass in der völlig überfüllten U-Bahn andere sehen können, wie ich mein Passwort eintippe. Muss aber letztlich jeder für sich wissen – bisher wurde mir auch noch kein Gerät geklaut, sodass sich das Mehr an Sicherheit bewähren hätte müssen. Ist also nur meine persönliche Einschätzung

 

[geWAPpnet]

Ein numerisches Passwort ist m.E. aus mindestens zwei Gründen relativ unsicher:

• Viele Leute verwenden als Passwörter gerne ihren Geburtstag, den Geburtstag der Ehefrau, der Kinder oder auch den Hochzeitstag. Über Social Engineering kann ein potentieller Angreifer so einigermaßen schnell an das Passwort kommen.
• Noch viel einfacher aber: Zuschauen. Wenn ich sehe, wie offensichtlich andere Leute ihr Passwort z.B. in der U-Bahn eingeben, ist das keine große Hürde.

1. Dann sollte man eben keine Datumsangaben nehmen.
2. Zuschauen geht ja nur, wenn man es denn eingibt. Das passiert ja nun dank TouchID und FaceID sehr selten bis nie.

 

[MacEnroe]

2. Zuschauen geht ja nur, wenn man es denn eingibt. Das passiert ja nun dank TouchID und FaceID sehr selten bis nie.

Das wollte ich auch grad schreiben. Man entsperrt doch mit dem Daumen oder Face ID ...
Und wenn ein Dieb alle Kombinationen versuchen will, muss er nach jeder 3. falschen Eingabe
ziemlich lange warten ...

 

[Mihahn]

1. Dann sollte man eben keine Datumsangaben nehmen.

Sehe ich ja genauso – der Großteil der User, für die Passwörter im Alltag eher lästig sind ("Wie, ich hätte mir das Passwort bei der Einrichtung anschreiben sollen?"; "Kann ich hier nicht mein Standardpasswort nehmen, das ich überall habe?"), denken bei einem 4-6 stelligen Zahlencode eben häufig einfach an Datumsangaben.

2. Zuschauen geht ja nur, wenn man es denn eingibt. Das passiert ja nun dank TouchID und FaceID sehr selten bis nie.

Man entsperrt doch mit dem Daumen oder Face ID ...

Klar, habe ich oben ja auch gesagt – wenn allerdings Touch ID (z.B. mit feuchten Fingern, Verletzungen, Dreck auf dem Homebutton ...) oder Face ID (z.B. mit Maske) mal wieder nicht funktioniert, dann ist man auf den Code angewiesen.

Muss ja jeder selbst wissen, welches Level an Sicherheit er sinnvoll findet – mir ist da ein sicheres und komplexes Passwort einfach wichtig, weil ich viele persönliche Daten habe, die ich unbedingt schützen möchte (v.a. Passwörter und sichere Notizen in der Keychain). Andere sehen vielleicht nicht die Notwendigkeit; ein komplexes Passwort ist auf jeden Fall nie ein Nachteil (außer man vergisst es ).

 

[MacEnroe]

Das ist OK. Mir ging es um die Frage, ob das PW irgendwie „geknackt“ werden kann. Die Frage
hatten wir auch schon beim Admin-PW des Mac. Da habe ich auch ein ganz einfaches PW und wurde
dafür hier verwundert angegangen. OK, der iMac hängt ständig im Internet, aber auch da ist die Frage,
wieso das PW zum Einloggen relevant sein soll. Wenn der Mac ausgespäht wird, kann man jedes PW
ausspähen, egal wie kompliziert. Aber evtl. habe ich wieder etwas übersehen.

 

[THEIN]

Wie landet denn der Impfnachweis in der Wallet App?
Bei mir ist das Impfzertifikat in der Corona Warn App und in der Cov Pass App.
In der Wallet ist nichts.

https://covidpass.marvinsextro.de/de-DE

Nachdem ich heute meine zweite Impfung bekommen habe, habe ich die Impfnachweise - die ich netterweise direkt in meiner Hausarztpraxis ausgedruckt bekommen habe - sowohl in der CovPass-App aus auch in der Corona-Warn-App hinterlegt. Soweit so gut. Über die Seite 'covidpass.marvinsextro.de' habe ich die Nachweise auch in die Wallet laden können. Das hat auch geklappt... ABER, warum werden mir die Zertifikate nicht auch in der Wallet-App auf meiner Watch angezeigt?! Ich hoffe nicht, dass es daran liegt, dass ich noch eine AW2 mit WatchOS 6.3 nutze?!

 

[TSMusik]

Ich hoffe nicht, dass es daran liegt, dass ich noch eine AW2 mit WatchOS 6.3 nutze?!

Möglich. Hier auf der Watch 5 mit OS 7.6.1 funktioniert es.

Wobei ich https://covidpass.eu/de verwendet habe, könnte also auch daran liegen.

 

[THEIN]

Möglich. Hier auf der Watch 5 mit OS 7.6.1 funktioniert es.

Wurden die Zertifikate automatisch in der Wallet-App auf der Watch angezeigt oder musstest du da irgend etwas machen, z.B. Neustart oder so?!

 

[TSMusik]

Kann ich mich echt nicht mehr dran erinnern. Versuch vielleicht auch mal die andere Seite.

//EDIT: Hab jetzt auch mal https://covidpass.marvinsextro.de/de-DE getestet. Wird sofort in der Watch-Wallet angezeigt.

 

[THEIN]

Kann ich mich echt nicht mehr dran erinnern. Versuch vielleicht auch mal die andere Seite.

//EDIT: Hab jetzt auch mal https://covidpass.marvinsextro.de/de-DE getestet. Wird sofort in der Watch-Wallet angezeigt.

Ich habe es auch mit beiden Seiten versucht, das hat aber keinen Unterschied gemacht. Scheint tatsächlich ein Problem mit meinem "alten" WatchOS zu sein, aber mehr Updates gibt's für die AW2 ja leider nicht. Vielleicht kann das jemand mit der gleichen Watch/OS-Kombi ja mal bestätigen?!

 

[THEIN]

Update: nach einem Neustart des iPhones werden die QR-Codes nun doch auch in der Wallet-App auf der Watch angezeigt - warum auch immer.

Zusätzlich kann man die QR-Codes übrigens auch über die Stocard-App erfassen und diese bietet dann auch eine Möglichkeit, die QR-Codes in die Wallet zu kopieren. (Letzteres habe ich mir aber verkniffen, da ich die QR-Codes dort mittlerweile ja schon angezeigt bekomme.)
Witzigerweise zeigt mir die Stocard-App auf der Watch die QR-Codes, die ich (zusätzlich) in der Stocard-App auf dem iPhone erfasst habe, allerdings nicht an.

 

[THEIN]

Nachtrag: nach ca. einem Tag Warten zeigt die Watch nun tatsächlich doch auch die QR-Codes in der Stocard-App an. Warum auch immer...

Seit heute 0 Uhr verfüge ich nun über den vollständigen Impfschutz (14 Tage nach der Zweitimpfung). Die CovPass-App hat die Farbe des Zertifikats auch entsprechend geändert. Es sieht also alles gut aus. Allerdings sagt mir die CovPass-Check-App, wenn ich das Zertifikat den QR-Code scanne, dass es ungültig ist. Dauert es vielleicht etwas länger, bis auch die Daten, die von der Check-App zur Überprüfung des Zertifikats genutzt werden, aktualisiert sind?

 

[oneOeight]

Dauert es vielleicht etwas länger, bis auch die Daten, die von der Check-App zur Überprüfung des Zertifikats genutzt werden, aktualisiert sind?

Eigentlich nicht.
Das Zertifikat, mit dem signiert wurde, sollte der ja schon bekannt sein.

 

[THEIN]

Es scheint doch ein gewisser zeitlicher Versatz da zu sein - wo auch immer der herkommt. Heute morgen wird das Zertifikat nun anstandslos von der CovPassCheck-App akzeptiert. Witzigerweise hat sich an den Zeiten den letzten Updates nichts geändert (1:18 Uhr). Egal, Hauptsache es funktioniert endlich.

 

[walfreiheit]

Leute, die Covpass-Check-App ist für Leute, die den Impfstatus zum Beispiel von Gästen ihrer Veranstaltung prüfen wollen. Wenn ihr euer Zertifikat auf dem iPhone haben wollt, braucht ihr die Covpass-App (ohne Check). Die Check-App ist quasi dafür da, den Code der Leute zu prüfen, die ohne mit der Covpass-App (ohne Check) vorzeigen.

 

[THEIN]

Leute, die Covpass-Check-App ist für Leute, die den Impfstatus zum Beispiel von Gästen ihrer Veranstaltung prüfen wollen. Wenn ihr euer Zertifikat auf dem iPhone haben wollt, braucht ihr die Covpass-App (ohne Check). Die Check-App ist quasi dafür da, den Code der Leute zu prüfen, die ohne mit der Covpass-App (ohne Check) vorzeigen.

Das ist mir schon klar. Mir ging es darum, dass ich heute Abend (Tag 1 des vollen Impfschutzes) in ein Restaurant möchte und evtl. meinen QR-Code mittels der CovPass-App vorzeigen muss. Da wollte ich einfach mal wissen, was die Gegenseite dann zu sehen bekommt. Als mein QR-Code heute Nacht noch als ungültig klassifiziert wurde, da war ich doch ein klein wenig nervös. Wäre ja blöd, wenn das unmittelbar vor dem Restaurant passiert wäre.

 

[walfreiheit]

Das ist mir schon klar. Mir ging es darum, dass ich heute Abend (Tag 1 des vollen Impfschutzes) in ein Restaurant möchte und evtl. meinen QR-Code mittels der CovPass-App vorzeigen muss. Da wollte ich einfach mal wissen, was die Gegenseite dann zu sehen bekommt. Als mein QR-Code heute Nacht noch als ungültig klassifiziert wurde, da war ich doch ein klein wenig nervös. Wäre ja blöd, wenn das unmittelbar vor dem Restaurant passiert wäre.

Ja klar, getestet habe ich das natürlich auch. Musst halt immer zwingend den Code von einem anderen Gerät testen, nicht von den gedruckten Zertifikaten.