icloud-Konto mit mehr als einer Person nutzen - trotz 2FA

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
Moin.

Die 2FA ist z.B. nötig um von einem Android-Gerät via CardDAV auf die Kontakte eines iCloud-Kontos zugreifen zu können.

Das iCloud-Konto um welches es mir geht, wird jedoch von mehr als einer Person benutzt.

Auf https://support.apple.com/de-de/HT204915 werden die Methoden/Geräte zur 2FA genannt.

Verstehe ich es richtig, dass es keinerlei Weg gibt, die 2FA zu nutzen ohne jemanden mit einem registrierten Gerät oder jemanden mit einer registrierten Telefonnummer/Mailadresse zu belästigen?

Ich frage, weil es ja von anderen Anbietern auch Methoden gibt, wo z.B. eine App (BSP Authenticator) als zweiter Faktor verwendet werden kann.

Falls jemand noch eine Lösung kennt, wenn mehrere Personen ein iCloud-Konto nutzen, freue ich mich über Hinweise. Danke.
 

MiketheBird

Aktives Mitglied
Dabei seit
07.02.2021
Beiträge
1.552
Punkte Reaktionen
1.174
? Ich versteh dich leider nicht genau.

2FA heisst alle die Zugriff auf diesen Service haben bekommen eine Nachricht wenn eine Autorisierung angefordert wurde. Wenn das dann mehr als eine Person ist, werden halt bei jeder Abfrage alle angepingt - was ein Sicherheitsfeature ist, denn alternativ könnte man die 2FA damit umgehen.
 

walfreiheit

Aktives Mitglied
Dabei seit
06.06.2004
Beiträge
36.652
Punkte Reaktionen
15.886
Nein, iCloud ist nicht für die Benutzung durch mehrere Personen gedacht. Folglich machst dies an allen Ecken und Enden Probleme.
 
Zuletzt bearbeitet:

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
Ich verstehe den Sinn von 2FA und heiße das natürlich gut.

Sobald mehr als eine Person ein Konto nutzen, es geht um ca. 30, kann man 2FA über Geräte oder eine Telefonnummer logischerweise nicht mehr sinnvoll nutzen. Ich kann später nochmal antworten. Bin gerade unterwegs.
 

OmarDLittle

Aktives Mitglied
Dabei seit
21.05.2017
Beiträge
3.121
Punkte Reaktionen
1.838
Ich frage, weil es ja von anderen Anbietern auch Methoden gibt, wo z.B. eine App (BSP Authenticator) als zweiter Faktor verwendet werden kann.
Apple nutzt nur den eigenen Service. Wozu willst du 2FA andrehen? 2FA ist ja genau dazu gedacht, Zugriffe anderer Leute zu verhindern, sogar selbst wenn das Passwort bekannt ist. Das ist das Gegenteil von dem was du willst. Bei 30 Leuten würd ich auch bedenken, dass Apple vielleicht Zugriffe von verschiedensten Standorten registriert und das Konto zur Sicherheit sperrt. Ich würde da Kontaktlisten am Mailserver nutzen und jeder Person ein eigenes Konto geben.

Bei 30 Leuten ist es sowieso nur eine Frage der Zeit bis irgendjemand mal unabsichtlich alle anderen ausloggt, zB weil Passwort vergessen oder sonstwas, oder eben eine automatisierte Sicherheitsfunktion.
 

MiketheBird

Aktives Mitglied
Dabei seit
07.02.2021
Beiträge
1.552
Punkte Reaktionen
1.174
Ich verstehe den Sinn von 2FA und heiße das natürlich gut.

Sobald mehr als eine Person ein Konto nutzen, es geht um ca. 30, kann man 2FA über Geräte oder eine Telefonnummer logischerweise nicht mehr sinnvoll nutzen. Ich kann später nochmal antworten. Bin gerade unterwegs.
30 Leute greifen gemeinsam auf ein Kontaktverzeichnis zu? Das klingt mir nach einer klassischen Serveranforderung für Workgroups und nicht nach etwas was man mit einem iCloud Account lösen sollte. Alleine die datenschutzrechtlichen Probleme würden da schon zu Gehirnverrrenkungen führen.
 

walfreiheit

Aktives Mitglied
Dabei seit
06.06.2004
Beiträge
36.652
Punkte Reaktionen
15.886
Vor allem kann man das anders lösen, wenn es um Kontakt geht. iCloud ist für diese Anwendung nicht geeignet. Es bedarf einer Apple-ID pro Person.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
5.964
Punkte Reaktionen
6.364
Vor allem kann man das anders lösen, wenn es um Kontakt geht. iCloud ist für diese Anwendung nicht geeignet. Es bedarf einer Apple-ID pro Person.
klar kann man das anders auch lösen. Wenn aber ein Team auf eine gemeinsame Kalender- und Kontakte-Basis zugreifen soll, dann ist es vollkommen egal, ob das durch einen Nicht-Apple-CardDAV/CalDAV-Server (wie z.B. Baikal) realisiert wird, oder ob der CardDAV/CalDAV-Server namens iCloud zum Einsatz kommt.

Man muss auch die Apple-ID des betreffenden iCloud-Account nicht an alle Team-Mitgleider geben. Dafür gibt es eben diese anwendungs-spezifischen
Passwörter. Damit kann man genau das machen, was der TE will, nämlich mit Android-Geräten auf iCloud-Kontakte zugreifen.

Ob nun 1 User mit x anwendungsspezifischen Passwörtern, mit Linux, Windows- oder Android-Clients, auf iCloud-CardDAV zugreift oder x User ist vollkommen egal. Die Sicherheit der AppleID wird nicht beeinflusst.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
wenn es nur darum geht CardDAV / CalDAV mit Nicht-Apple -Apps zu nutzen sind app-Spezifische Passwörter der Lösungsweg.
Genau das war das Motiv für meine Frage. Aber solche Passwörter lassen sich nur einrichten, wenn man die 2FA aktiviert.
Man muss auch die Apple-ID des betreffenden iCloud-Account nicht an alle Team-Mitgleider geben. Dafür gibt es eben diese anwendungs-spezifischen
Passwörter. Damit kann man genau das machen, was der TE will, nämlich mit Android-Geräten auf iCloud-Kontakte zugreifen.
Genau, für ein Android-Gerät reicht das app-spezifische PW.
Aber die Familienmitglieder mit iOS- oder macOS-Geräten benötigen die Apple-ID.
Ich habe es auf macOS mal versucht ein CardDAV-Konto mit dem app-spezifischen PW anzulegen, es scheitert.
 
Zuletzt bearbeitet:

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
30 Leute greifen gemeinsam auf ein Kontaktverzeichnis zu? Das klingt mir nach einer klassischen Serveranforderung für Workgroups und nicht nach etwas was man mit einem iCloud Account lösen sollte. Alleine die datenschutzrechtlichen Probleme würden da schon zu Gehirnverrrenkungen führen.
Richtig, das Ziel ist das Teilen eines Kontaktverzeichnisses mit 30 Sippenmitgliedern, in Zukunft sicher noch mit weit mehr Mitgliedern.

Datenschutzrechtliche Probleme gibt es nicht. Das iCloud-Konto enthält nichts als das Kontakteverzeichnis. Das ist so mit allen vereinbart.

Gerne liste ich alle Anforderungen für die Aufgabe auf. Meiner bisherigen Kenntnis nach ist sie unlösbar.
Heute Mittag habe ich noch mit einem befreundeten Admin dazu geschrieben.

Vor allem wegen der Gruppen. Da kochen die Anbieter ihre jeweiligen Suppen und sie lassen sich nicht von iOS nach Android bzw. umgekehrt synchronisieren.


  1. Adressverwaltung für eine Sippe
  2. 30 Personen, in näherer Zukunft vermutlich doppelt so viele
  3. Synchronisation: 
Alle Mitglieder können editieren
  4. Freier Standard: z.B. CardDAV
  5. In Standard-Kontakte-Apps von Android, iOS und macOS nutzbar
  6. In einem Web-Interface nutzbar
  7. Gruppen 
sind möglich (dieser Punkt ist sehr wichtig, weil ich die Abstammung über Namensmuster der Gruppen transportiere)
  8. Portraitfotos 
sind möglich
  9. Datenschutz
  10. Kostengünstig
Ja, alle, nicht nur wenige sollen erfüllt sein.

Wie Kontaktgruppen in Exchange gehandhabt werden, habe ich noch nicht recherchiert.

Falls jemand eine gute Idee hat, wie man Kontakte mit Kontaktgruppen plattformübergreifend teilen kann: ich freue mich über eure Hinweise : )
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
5.964
Punkte Reaktionen
6.364
@thulium

Du hast in deinem Ausgangsposting nur von Android-Geräten gesprochen. Dafür funktionieren app-spezifische Passwörter.

Für die weiteren Punkte, lies bitte nochmals meine Antworten.

a) Ich habe von Nicht-Apple-Clients gesprochen, bei denen app-spezifische Passwörter funktionieren. Bei Apple-Clients geht das nicht
b) Wenn du also auch Apple-Clients verwendest, benötigst du eine andere Lösung, wie z.B. diejenige, die ich oben erwähnt habe: Baikal. Anleitung findest du hier: https://lisanet.de/baikal-kontake-und-kalender-auf-eigenem-webspace/
Diese Anleitung kann auch analog auf einem lokalen Mac / Windows / Linux-Rechner installiert werden. Muss halt ein Webserver drauf laufen.
c) zu deiner Frage im Eröffnungsposting:
Verstehe ich es richtig, dass es keinerlei Weg gibt, die 2FA zu nutzen ohne jemanden mit einem registrierten Gerät oder jemanden mit einer registrierten Telefonnummer/Mailadresse zu belästigen?
Nein, du verstehst das nicht richtig.

Es gibt einen Weg, die 2FA zu nutzen ohne jemanden mit einem registrierten Gerät oder jemand mit einer registrierten Telefonnummer/Mailadresse zu belästigen.

Die Lösung nennt sich z.Bsp: Baikal

Du kannst auch jeden anderen CardDAV komaptiblen Server oder Serverdienst nehmen. Wichtig ist lediglich die CardDAV-Kompatibilität. Baikal lässt sich halt extrem einfach einrichten und ist zugleich wunderbar kompatibel.

Edit:

Deine im letzten Posting ergänzten Anforderungen kann Baikal, soweit ich mich erinnere, umsetzen.

Ein Hinweis:

Das Thema Datenschutz ist sehr pauschal gehalten. Da spielen sehr viele Punkte mit rein, wie z.B. die Sicherheit des Webproviders oder des Rechners, auf dem Baikal läuft, ob du Adressen privat oder gewerblich verwendest (wegen der Foglen der DSGVO), wie die Sicherheit der einzelnen Clients geregelt ist (da liegen bei CardDAV immer lokale Kopien der Daten vor und somit muss dort auch für den "Datenschutz" gesorgt werden)

Sofern du Datenschutz tatsächlich im Sinne der DSGVO benötigst, wirst du um die Dinge eines DSGVO-konformen Anbieters für solche Lösungen und um Vollverschlüsselung der Clients und DSGVO-kompatible Bestimmungen zur Nutzung auf den Clients nicht herum kommen.

Baikal und "kostengünstig" scheiden dann aus.
 
Zuletzt bearbeitet:

tocotronaut

Aktives Mitglied
Dabei seit
14.01.2006
Beiträge
29.821
Punkte Reaktionen
9.442
Man kann (nur) bis zu 25 App-Spezifische Passwörter bei Apple einrichten.

Ich muss mich den anderen Anschließen.
Warum willst du gerade eine iCloud-Adresse nur für Kontakte nutzen?
iCloud erscheint mir als eine der ungeeignesten Lösungen für diese Aufgabe.


Da würde ich eher ein Posteo Konto einrichten.
(gibt sicherlich auch kostenfreie anbieter)
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
@lisanet
Vielen Dank für Deine ausführliche Antwort und die gut verständliche Anleitung zu Baikal auf Deiner Website!

Zu den Gruppen:
In meiner Testeinrichtung habe ich wie erwähnt auf einem Androidgerät erfolgreich ein iCloud-CardDAV-Konto hinzugefügt.
Für dieses iCloud-Testkonto ist also die 2FA aktiviert und es ist das dazugehörige appspezifische PW eingerichtet.

Leider sind die auf icloud.com eingerichteten Gruppen im Androidgerät nicht verfügbar.

Wäre das bei der Verwendung von Baikal anders?

Ich hatte es bisher so verstanden, dass Apple in Bezug auf CardDAV ganz anderes mit Gruppen umgeht als Google auf Android.

Sofern du Datenschutz tatsächlich im Sinne der DSGVO benötigst, wirst du um die Dinge eines DSGVO-konformen Anbieters für solche Lösungen und um Vollverschlüsselung der Clients und DSGVO-kompatible Bestimmungen zur Nutzung auf den Clients nicht herum kommen.
Nein, es geht allein um die Kontakte einer sehr großen Sippe, also um rein private Kontakte. Wir wünschen uns lediglich Diensteanbieter, deren Geschäftsmodell nicht die Weitergabe unserer Kontaktdaten ist.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
Warum willst du gerade eine iCloud-Adresse nur für Kontakte nutzen?
iCloud erscheint mir als eine der ungeeignesten Lösungen für diese Aufgabe.
Als ich nach einer Lösung gesucht habe, wußte ich nicht, dass auf Android CardDAV nicht integriert ist. Ich wußte auch nicht, dass Gruppen nicht über die Plattformgrenze transportiert werden.
Und als ich das "Projekt" begonnen habe, gab es bei Apple noch kein Drängeln zur 2FA.

Gäbe es diese Widrigkeiten nicht, wäre die icloud.com Lösung ideal.

Alle hätten diesselben Zugangsdaten. Es gäbe ein extrem einfach zu bedienendes Webinterface. Die Lösung wäre kostenlos.

Ich bin gespannt, ob es eine Weg gibt, die Anforderungen 5 und 7 auf beiden Plattformen zu realisieren.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
5.964
Punkte Reaktionen
6.364
- iCloud ist CardDAV kompatibel, Baikal ist CardDAV kompatibel.
- wie Clients mit Gruppen umgehen ist Sache des Clients, nicht die von CardDAV-Servern (iCloud, Baikal). Da musst du halt suchen.

Um es ganz deutlich zu sagen: Gruppen sind kein CardDAV-Feature.

- CardDAV-Clients gibt's für alle Plattformen. Mal mit vielen, mal mit weniger Features. Manche sind implementieren alle CardDAV-Möglichkeiten, manche weniger. Es gibt halt leider auch weniger interessierte Entwickler.

- Wenn Standard-Apps von anderen Plattformen ein seit Ewigkeiten eingeführtes Protokoll wie CardDAV tatsächlich nicht unterstützen, dann sind die Plattformen leider Mist.

Da selbst der Google-Kalender / Kontakte mit CalDAV und Card-DAV Clients bedient werden kann, kann ich mir nicht vorstellen, dass mit Android gelieferte Google Apps für Kontakte kein CardDAV "sprechen". Da muss du halt mit Android-Usern die Sache klären.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
Hat denn Apple Gruppen standardkonform zum CardDAV-Standard implementiert?
Im RFC https://datatracker.ietf.org/doc/html/rfc6352 fand ich keine Hinweise zu "Groups".

Auch in einem aus icloud.com exportierten einzelnen Kontakt (VCF), der eine Gruppe zugewiesen wurde, steht im Quelltext kein Element, welches auf die Gruppe hindeutet.

Ich werde aus Neugier in einem Android-Forum nachfragen, ob es irgendeinen CardDAV-Client gibt, der Kontaktegruppen, die auf iCloud erzeugt wurden, lesen/editieren kann.

Meinem Bekannter, dem weiter oben erwähnte Admin, ist kein solcher Client bekannt.

Vorerst lässt sich nur festhalten: Anforderungen 5 und 7 sind gemeinsam wohl nicht realisierbar. Bitte korrigiert mich, wenn ich damit falsch liege.

Unabhängig davon, werde ich meinen Freund mal fragen, ob er mir Baikal auf meinem Webspace bereitstellen kann. Du hast mich neugierig gemacht : )

Erlaube mir bitte noch eine Frage zu Baikal:

Wenn Du im Webinterface von Baikal eine Kontaktgruppe anlegst, ist sie dann auf iOS und macOS sichtbar und editierbar?

Da selbst der Google-Kalender / Kontakte mit CalDAV und Card-DAV Clients bedient werden kann, kann ich mir nicht vorstellen, dass mit Android gelieferte Google Apps für Kontakte kein CardDAV "sprechen".
Ich konnte es auch erst nicht glauben. Ist aber leider so.

Man benötigt zwingend eine zusätzlich App um ein CardDAV-Konto hinzufügen zu können. Erfolgreich getestet habe ich DAVx5. Gibt es via F-Droid.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.647
Punkte Reaktionen
222
Wie Kontaktgruppen in Exchange gehandhabt werden, habe ich noch nicht recherchiert.
Ich habe mir das jetzt angesehen. Exchange bei MS365 hat ein inakzeptables, grottiges Webinterface für Kontakte. Unzumutbar, nicht nur für Tante Else.
Es wird gar keine Standalone-Kontakte-App angeboten, sondern Kontakte sind in Outlook integriert.

Eine GUI, völlig typisch für MS : (

Ob echte Kontaktgruppen möglich sind, habe ich nicht recherchiert.
 

tocotronaut

Aktives Mitglied
Dabei seit
14.01.2006
Beiträge
29.821
Punkte Reaktionen
9.442
Da selbst der Google-Kalender / Kontakte mit CalDAV und Card-DAV Clients bedient werden kann, kann ich mir nicht vorstellen, dass mit Android gelieferte Google Apps für Kontakte kein CardDAV "sprechen". Da muss du halt mit Android-Usern die Sache klären.

Nein, Android unterstützt nativ wirklich kein Carddav. :noplan:
Kontaktgruppen sind meines Wissens nicht Teil des Standards.

LDAP Synchronisation wär evtl. noch eine alternative für Kontakte.
Ist etwas professioneller als Carddav, aber vermutlich günstiger und deutlich offener als Exchange.

In der Richtung würde ich nochmal Rechechieren...
 
Zuletzt bearbeitet:

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
5.964
Punkte Reaktionen
6.364
Hat denn Apple Gruppen standardkonform zum CardDAV-Standard implementiert?
zum CardDAV-Standard gehören keine Grupen. Habe ich ja oben schon geschrieben.

Wenn Du im Webinterface von Baikal eine Kontaktgruppe anlegst, ist sie dann auf iOS und macOS sichtbar und editierbar?

Baikal hat ein webinterface zur Verwaltung von Usern, Berechtigungen etc, nicht für die Anzeige der Kontaktdaten.

Ich konnte es auch erst nicht glauben. Ist aber leider so.
daher ist Android ja auch IMO Mist.
 
Oben Unten