Passcode-Sicherheitslücke? Schwachstelle Wiederherstellungsschlüssel?

[jteschner]

Den könntest du ja auch über deinen Apple-Account wiederherstellen lassen. Dazu wirst du auch gefragt, wenn du ihn einrichtest. Und da dein Apple-Account ja dadurch gesichert, passt das auch.

Oder du speicherst in einem anderen Passwort-Manager (1Password und Co), der ein eigenes Master-Passwort hat / anbietet.

Mal ne "blöde" Frage: macht der Bildschirmcode inkl. Beschränkungen auch bei einem MacBook Sinn? Da bin ich doch sehr unsicher, da dort ja ein richtiges Passwort auf dem MBP liegt + Fingerabdruck ...

 

[MOM2006]

Es steht alles und fällt mit deinem Passwort am macbook.
Aber ganz was anderes - Sehe ich das richtig. Um diesen Bildschirmcode verwenden zu können, muss ich Bildschirmzeit aktivieren? Sprich ich muss also ein Feature, dass unnütz Ressourcen verbrät aktivieren, welches ich auch so überhaupt nicht benötige, um vielleicht eine weitere Sicherheitslinie in das Gerät zu bekommen?
Was dümmeres ist ihnen nicht eingefallen?

 

[lisanet]

... das Prinzip ist das Gleiche. Auch auf nem MacBook kannst man, wenn man das Passwort kennt, auch den Account ändern etc

 

[oneOeight]

Was dümmeres ist ihnen nicht eingefallen?

Das ist keine Idee von Apple, die sehen das ja nicht als Sicherheitslücke oder überhaupt als Problem.
Anscheinend wollen die den Shitstorm aussitzen.

 

[jteschner]

... das Prinzip ist das Gleiche. Auch auf nem MacBook kannst man, wenn man das Passwort kennt, auch den Account ändern etc

Hab ich mir so auch gedacht - allerdings ist mein Passwort schon sehr kryptisch und ich denke mal nicht zu "erraten". Wie sieht es aber mit meinem Fingerabdruck aus? Normalerweise würde ich sagen: sehr sicher

 

[oneOeight]

Wie sieht es aber mit meinem Fingerabdruck aus? Normalerweise würde ich sagen: sehr sicher

Den hinterlässt du überall wo du was anfasst.
Kann man recht einfach von der Oberfläche abnehmen und ein Dummy anfertigen.

 

[jteschner]

Den hinterlässt du überall wo du was anfasst.
Kann man recht einfach von der Oberfläche abnehmen und ein Dummy anfertigen.

Stimmt wohl - ich denke aber eher an Einbruchsdiebstahl da ich eher gar nicht mit dem MBP irgendwo rumlaufe geschweige denn dies aus den Augen lasse. Einbrecher, die mein MBP klauen, nehmen doch keine Fingerabdrücke von meinem Schreibtisch mit, oder?

 

[MOM2006]

Das ist keine Idee von Apple, die sehen das ja nicht als Sicherheitslücke oder überhaupt als Problem.
Anscheinend wollen die den Shitstorm aussitzen.

im Endeffekt hat es Apple aber so implementiert, gewollt oder nicht gewollt.

 

[oneOeight]

Einbrecher, die mein MBP klauen, nehmen doch keine Fingerabdrücke von meinem Schreibtisch mit, oder?

Das kommt auf den Einbrecher an, wenn der es gezielt auf die extrem wichtigen Daten auf dem Laptop mit Fingerabdruckscanner abgesehen, dann wohl eher.
Der durchschnittliche Einbrecher sucht nur schnell Wertsachen, die man leicht verkaufen kann.

 

[lisanet]

Hab ich mir so auch gedacht - allerdings ist mein Passwort schon sehr kryptisch und ich denke mal nicht zu "erraten".

... erraten wohl nicht. Ausspähen vielleicht eher.

Man kann die "Sicherheit" immer weiter treiben. Wo man die Grenze zieht muss jeder selbst wissen. Ich habe mal mein MacBook zusätzlich per 2FA abgesichert, mit einem Yubikey, so dass man sich nur dann überhaupt anmelden konnte, wenn der Yubikey eingesteckt wird.

Auch habe ich mal eine App names "TokenLock" genutzt, mit der man USB-Gadgets / Bluetooth etc als 2FA nutzen kann, mit automatischer Sperrfunktinon etc.

Ich bin aber wieder davon ab gekommen: Sicherheit vs. Bequemlichkeit eben. Vielleicht probiere ich irgendwann nochmal SecurityCards und ähnliches, ob das die für mich richtige Balance ergibt.

 

[jteschner]

Das kommt auf den Einbrecher an, wenn der es gezielt auf die extrem wichtigen Daten auf dem Laptop mit Fingerabdruckscanner abgesehen, dann wohl eher.
Der durchschnittliche Einbrecher sucht nur schnell Wertsachen, die man leicht verkaufen kann.

Im Prinzip sehe ich das genauso. Allerdings: Einbrecher sieht Laptop und nimmt es mit: also weg ist es. Wie er es dann verkaufen kann steht auf einem anderen Blatt. Nur ich habe ggf. mehr Zeit es einfach über das iPhone oder web zu löschen/sperren/...

 

[jteschner]

... erraten wohl nicht. Ausspähen vielleicht eher.

Ausspähen geht bei mir nicht, da das MBP für mich rein privat genutzt ist und ich damit nicht an irgendwelchen "unsicheren Orten" rumlaufe.
Also: ich denke, dass ich hier bei "Bequemlichkeit" bleibe

 

[Cassiuzz]

... erraten wohl nicht. Ausspähen vielleicht eher.

Man kann die "Sicherheit" immer weiter treiben. Wo man die Grenze zieht muss jeder selbst wissen. Ich habe mal mein MacBook zusätzlich per 2FA abgesichert, mit einem Yubikey, so dass man sich nur dann überhaupt anmelden konnte, wenn der Yubikey eingesteckt wird.

Auch habe ich mal eine App names "TokenLock" genutzt, mit der man USB-Gadgets / Bluetooth etc als 2FA nutzen kann, mit automatischer Sperrfunktinon etc.

Ich bin aber wieder davon ab gekommen: Sicherheit vs. Bequemlichkeit eben. Vielleicht probiere ich irgendwann nochmal SecurityCards und ähnliches, ob das die für mich richtige Balance ergibt.

Ist es deiner persönlichen Erfahrung nach dann zu umständlich bzw. zu unbequem, einen Yubikey im täglichen Ablauf zu integrieren?
Also ich spreche jetzt vom Einsatz zu Hause und nicht in sicherheitsrelevanten Umgebungen wie Jobs etc.

 

[lisanet]

Ist es deiner persönlichen Erfahrung nach dann zu umständlich bzw. zu unbequem, einen Yubikey im täglichen Ablauf zu integrieren?

ja, so wie ich es damals implemtiert hatte.

Zum einen musst du den Yubikey immer parat haben. Da nervte mich dann, dass das "kurz mal aufklappen und was nachsehen" immer erst die Suche nach dem Yubikey auslöste. Und den Yubikey stecken lassen, konterkariert den Gedanken.

 

[Cassiuzz]

ja, so wie ich es damals implemtiert hatte.

Zum einen musst du den Yubikey immer parat haben. Da nervte mich dann, dass das "kurz mal aufklappen und was nachsehen" immer erst die Suche nach dem Yubikey auslöste. Und den Yubikey stecken lassen, konterkariert den Gedanken.

Ja ok, verständlich! Auf dem Papier gut und schön, aber in der Praxis dann am Ende nervtötend.
Und du brauchst dann ja auch noch einen 2. oder 3. Yubikey als Backup, falls du deinen mal verlegst oder verlierst.
Und diese sollten wiederum nicht zu Hause gelagert werden, sondern z.B. im Schließfach, oder outgescourced beim Partner, Eltern etc.
Wenn Security zur Paranoia wird, dann ist eh Game Over

 

[lunchbreak]

Was spricht denn dagegen, bei "in diesem Aspekt vulnerablen" Eltern, als zusätzliche Sicherheit den hier zitierten Bildschirmzeit-Code einzurichten - i.V. mit "Nicht erlauben" bei "Codeänderungen" und "Account-Änderungen"?

Und dieser Code steht eben nur zuhause irgendwie/irgendwo niedergeschrieben, oder verbleibt bei den Kindern, die ja bei Problemen mit dem iPhone und der Technik eh zur Verfügung stehen (und das meine ich ernst, nicht irgendwie ironisch, oder ins Lächerliche gezogen).

Das ist doch ein prima zusätzlicher Schutz! Denn meiner Beobachtung nach kommt es oft vor, daß Face ID mal nicht funktioniert, weil mal wieder nicht richtig draufgeschaut wurde, oder, oder, und dann wird gerne in öffentlichen Situationen (Café, Marktplatz) der iPhone-Code langsam tippend und mit voller Konzentration eingegeben. Sprich, typisches Ausspähen-Szenario.

Also ich glaube, vor diesem Hintergrund werde ich das auf den iPhones in der Familie einfach einrichten. Schadet nicht, aber hilft im Ernstfall den Apple ID-Account und den iCloud-Account zu schützen.

Wie seht Ihr das? Macht Sinn?

ich finde das extrem sinnvoll.
...

Also ich habe den Bildschirmzeit-Code jetzt mal eingerichtet - und zwar mit den folgenden "Parametern" unter "Beschränkungen":

• ohne "Geräteübergreifend teilen"
• jeweils mit der Beschränkung "Nicht erlauben" bei
  • Datenschutz / Apps erlauben, Tracking anzufordern
  • Änderungen erlauben: / Codeänderungen
  • Änderungen erlauben: / Account-Änderungen (*)

Unschöne Nebenwirkungen von (*):

1. Einstellungen -> Apple-ID, iCloud, Medien&Käufe (also der erste Bereich ganz oben unter dem Wort "Einstellungen") ist komplett gegraut, man kommt da gar nicht mehr rein, war mir so nicht bewußt, ich dachte man kommt rein, kann halt nur keine Änderungen machen.
2. Einstellungen -> FaceTime ist gegraut, warum auch immer!

 

[lunchbreak]

Während der Einrichtung bin ich über die Abfrage "Bildschirmzeit-Code-Wiederherstellung" gestolpert.

Da kann man, irgendwie, über seine Apple-ID, den Bildschirmzeit-Code wiederherstellen, wenn man ihn vergessen hat. Aber das kommt mir spanisch vor, denn Sinn und Zweck des Ganzen ist doch, daß man Betrügern es schwerer / unmöglich macht, Änderungen z.B. an der Apple-ID / am iCloud-Account, usw., also an den sehr sensiblen Dingen vorzunehmen. Und dafür eben das Bildschirmzeit-Code-Passwort. Wenn der Dieb sich das jetzt einfach wiederherstellen kann, und dann im zweiten Schritt genau jene Datenbereiche (Apple-ID-Account, etc.) zu ändern, von deren Änderung wir ihn via Bildschirmzeit-Code ja abhalten wollen, dann beißt sich da die Katze doch in den Schwanz? Oder?

Auf jeden Fall wird mir das zu komplex mit den vielen Ausnahmen/Wiederherstellungsoptionen, das ist ja wie eine Endlosschleife, ...

Ich richte da bei dem Bidlschirmzeit-Code jetzt keine Rückfall-Option ein. Der Bildschirmzeit-Code für das / die iPhone(s) kommt in den KeePassXC auf dem MacBook und fertig.

 

[Cassiuzz]

Gab es denn überhaupt schon einen Passcode Ausspähungs Fall außerhalb der USA oder Brasilien?

 

[lisanet]

Wenn der Dieb sich das jetzt einfach wiederherstellen kann, und dann im zweiten Schritt genau jene Datenbereiche (Apple-ID-Account, etc.) zu ändern, von deren Änderung wir ihn via Bildschirmzeit-Code ja abhalten wollen, dann beißt sich da die Katze doch in den Schwanz? Oder?

nee.

Die Apple-ID / Passwort ist doch durch den Bildschirm-Code geschützt. Somit kannst auch nur du den Bildschirm-Code über den Apple-Account neu generieren

 

[lisanet]

Gab es denn überhaupt schon einen Passcode Ausspähungs Fall außerhalb der USA oder Brasilien?

spielt das eine Rolle?