Wenn der Dieb mein entsperren iPad hat
Wie wahrscheinlich ist es, dass er an dein
entsperrtes iPad rankommt ohne, dass du es merkst und reagieren kannst d.h. Remotesperren?
Braucht er also nur noch das Passwort. Das könnte er vielleicht durch Social Engineering erraten oder er hat mir vorher über die Schulter geschaut.
Wenn man das so einfach erraten oder abschauen kann, dann ist es schlicht und ergreifend ein sehr schlechtes Passwort, das liegt bei dir.
Dann meldet er sich bei appleid.apple.com an
Warum sollte der Dieb eines deiner Geräte das tun wollen? Der will das Gerät möglichst schnell wieder gewinnbringend loswerden.
lässt sich den Code an das iPad senden.
Ergeht dann überhaupt noch eine Mitteilung an mein iPhone?
Bei der aktuellen Zwei-Faktor-Authentifizierung geht die Anfrage immer
an alle Geräte gleichzeitig raus. (Macs, iPhones, iPads, iPods)
Aber ich denke drüber nach, wie man solch eine Schutzfunktion umgehen könnte und komme dann auf dieses denkbare Szenario.
Ist ja richtig so, kann ich selbst auch nachvollziehen, aber es ist schon ein ziemlich konstruiertes Szenario. Denn wie wahrscheinlich ist es, dass
1. dein iPad gestohlen wird
2.
und es dabei nicht gesperrt war
3.
und du das iPad nicht zwischenzeitlich schon per iCloud remote gesperrt hast
4.
und der Dieb dein AppleID-Passwort kennt
5.
und sich überhaupt in deinen AppleID-Account einloggen will
6.
und du nicht per Klick/Drücken von "Nicht Vertrauen" den Login-Versuch von einem anderen Gerät unterbindest
7.
und er dann irgendetwas in/mit deinem Konto anfängt/anfangen kann?
Es stimmt, das kann alles theoretisch so passieren, nur ist die Wahrscheinlichkeit dafür infinitesimal klein und damit zu vernachlässigen, ganz im Gegensatz zum Problem mit dem "nicht an das Apple-Gerät senden, von dem aus man sich einloggen will", was dazu führt, dass du damit alle User von der Sicherheitsfunktion ausschließt, die nur ein einziges Apple-Gerät haben, und das sind doch so einige. (Rühmt sich Apple nicht immer damit, dass sie so viele neue Kunden gewinnen, die noch nie in ihrem Leben vorher was mit ihnen zu tun hatten?)
Sicherheit, vor allem bei einer so inhomogenen und noch dazu riesigen Menge an Geräten und Services wie bei Apple (mehr als 'ne Milliarde Geräte ham sie draußen, sagen wir 3-stellige Millionen Zahl an Nutzern), ist immer eine Sache von Trade-Offs. Man kann einfach nicht alles gleichzeitig, massentauglich, am bestmöglichsten, kostengünstigsten und dazu noch einfachst zu bedienensten (vor allem für den technisch unbedarften Endnutzer) schützen. Irgendwo muss man die Linie ziehen und sagen "das Szenario ist nicht wahrscheinlich genug".
Deswegen wiederhole ich mich mal:
Im Moment, unter Berücksichtigung aller Nutzungsszenarien und möglicher, realer Risiken, ist die 2FA, so wie sie implementiert ist, das sicherste, was Apple anbieten kann.