Gunn
Aktives Mitglied
- Dabei seit
- 29.08.2005
- Beiträge
- 2.140
- Reaktionspunkte
- 309
Wie soll ein Dieb sich noch dein Passwort haben. Das grenzt dann ja schon an ID-Diebstahl.
TSMusik
Aktives Mitglied
- Dabei seit
- 24.12.2006
- Beiträge
- 2.313
- Reaktionspunkte
- 1.071
Eben.
Man braucht bei der Zwei-Faktor-Authentifizierung mindestens 2 Faktoren:
1. Wissen - AppleID selbst und Passwort der AppleID, zwecks Anmeldeversuch
2. Besitz - Gerät, das mit der AppleID für die 2FA arbeitet, zwecks Klick/Drücken auf Vertrauen und Erhalt des 6-stelligen Codes
und zusätzlich muss das Gerät aus 2 dafür auch noch entsperrt sein, sprich wieder Wissen (Passwort/Code) oder als Bonus den ersten halben Tag:
3. Biometrie - Fingerabdruck für TouchID auf dem iPhone/iPad/iPod touch
Plus: Wenn dann ein Login stattfindet, kannst du den von allen Geräten aus immer noch einfach unterbinden. (Klick/Drücken von "Nicht Vertrauen")
Also wie viel sicherer soll man das ganze noch machen können, ohne die Leute davon auszuschließen, die nur ein einziges Apple-Gerät besitzen?
Ich bleibe dabei: Unter Berücksichtigung aller Nutzungsszenarien und möglicher Risiken ist das für den Moment das sicherste, was Apple anbieten kann.
(Und welcher Geräte-Dieb unterwegs interessiert sich denn für die AppleID deines Geräts. Wenn er ein bisschen Erfahrung im Umgang mit den Geräten hat, schaltet er es sofort hart aus, damit er nicht geortet werden kann und versucht es dann an irgendwen auf eBay zu verticken, der nicht weiß, dass ein iCloud-gesperrtes Gerät für ihn nutzlos ist)
Man braucht bei der Zwei-Faktor-Authentifizierung mindestens 2 Faktoren:
1. Wissen - AppleID selbst und Passwort der AppleID, zwecks Anmeldeversuch
2. Besitz - Gerät, das mit der AppleID für die 2FA arbeitet, zwecks Klick/Drücken auf Vertrauen und Erhalt des 6-stelligen Codes
und zusätzlich muss das Gerät aus 2 dafür auch noch entsperrt sein, sprich wieder Wissen (Passwort/Code) oder als Bonus den ersten halben Tag:
3. Biometrie - Fingerabdruck für TouchID auf dem iPhone/iPad/iPod touch
Plus: Wenn dann ein Login stattfindet, kannst du den von allen Geräten aus immer noch einfach unterbinden. (Klick/Drücken von "Nicht Vertrauen")
Also wie viel sicherer soll man das ganze noch machen können, ohne die Leute davon auszuschließen, die nur ein einziges Apple-Gerät besitzen?
Ich bleibe dabei: Unter Berücksichtigung aller Nutzungsszenarien und möglicher Risiken ist das für den Moment das sicherste, was Apple anbieten kann.
(Und welcher Geräte-Dieb unterwegs interessiert sich denn für die AppleID deines Geräts. Wenn er ein bisschen Erfahrung im Umgang mit den Geräten hat, schaltet er es sofort hart aus, damit er nicht geortet werden kann und versucht es dann an irgendwen auf eBay zu verticken, der nicht weiß, dass ein iCloud-gesperrtes Gerät für ihn nutzlos ist)
Blaubeere2
Aktives Mitglied
- Dabei seit
- 06.01.2015
- Beiträge
- 1.667
- Reaktionspunkte
- 931
Wenn der Dieb mein entsperren iPad hat, hat er auch die AppleID, denn die steht in den Einstellungen unter "iCloud". Braucht er also nur noch das Passwort. Das könnte er vielleicht durch Social Engineering erraten oder er hat mir vorher über die Schulter geschaut. Dann meldet er sich bei appleid.apple.com an und lässt sich den Code an das iPad senden. Er gibt den Code sofort ein und ist drin in meinem Konto. Ergeht dann überhaupt noch eine Mitteilung an mein iPhone? Ich denke nicht. Und wenn doch, das hat meine Frau und die weiß mit der Meldung nichts anzufangen und wird deswegen vielleicht nicht auf "Nicht vertrauen" tippen.
Nicht, dass ich paranoid bin und Angst habe, dass das mal passiert. Aber ich denke drüber nach, wie man solch eine Schutzfunktion umgehen könnte und komme dann auf dieses denkbare Szenario. Daher bleibe ich dabei: der Code dürfte m. E. nicht an das Gerät gesendet werden, mit dem man versucht, sich bei appleid anzumelden.
Nicht, dass ich paranoid bin und Angst habe, dass das mal passiert. Aber ich denke drüber nach, wie man solch eine Schutzfunktion umgehen könnte und komme dann auf dieses denkbare Szenario. Daher bleibe ich dabei: der Code dürfte m. E. nicht an das Gerät gesendet werden, mit dem man versucht, sich bei appleid anzumelden.
TSMusik
Aktives Mitglied
- Dabei seit
- 24.12.2006
- Beiträge
- 2.313
- Reaktionspunkte
- 1.071
Wie wahrscheinlich ist es, dass er an dein entsperrtes iPad rankommt ohne, dass du es merkst und reagieren kannst d.h. Remotesperren?
Wenn man das so einfach erraten oder abschauen kann, dann ist es schlicht und ergreifend ein sehr schlechtes Passwort, das liegt bei dir.
Warum sollte der Dieb eines deiner Geräte das tun wollen? Der will das Gerät möglichst schnell wieder gewinnbringend loswerden.
Bei der aktuellen Zwei-Faktor-Authentifizierung geht die Anfrage immer an alle Geräte gleichzeitig raus. (Macs, iPhones, iPads, iPods)
Ist ja richtig so, kann ich selbst auch nachvollziehen, aber es ist schon ein ziemlich konstruiertes Szenario. Denn wie wahrscheinlich ist es, dass
1. dein iPad gestohlen wird
2. und es dabei nicht gesperrt war
3. und du das iPad nicht zwischenzeitlich schon per iCloud remote gesperrt hast
4. und der Dieb dein AppleID-Passwort kennt
5. und sich überhaupt in deinen AppleID-Account einloggen will
6. und du nicht per Klick/Drücken von "Nicht Vertrauen" den Login-Versuch von einem anderen Gerät unterbindest
7. und er dann irgendetwas in/mit deinem Konto anfängt/anfangen kann?
Es stimmt, das kann alles theoretisch so passieren, nur ist die Wahrscheinlichkeit dafür infinitesimal klein und damit zu vernachlässigen, ganz im Gegensatz zum Problem mit dem "nicht an das Apple-Gerät senden, von dem aus man sich einloggen will", was dazu führt, dass du damit alle User von der Sicherheitsfunktion ausschließt, die nur ein einziges Apple-Gerät haben, und das sind doch so einige. (Rühmt sich Apple nicht immer damit, dass sie so viele neue Kunden gewinnen, die noch nie in ihrem Leben vorher was mit ihnen zu tun hatten?)
Sicherheit, vor allem bei einer so inhomogenen und noch dazu riesigen Menge an Geräten und Services wie bei Apple (mehr als 'ne Milliarde Geräte ham sie draußen, sagen wir 3-stellige Millionen Zahl an Nutzern), ist immer eine Sache von Trade-Offs. Man kann einfach nicht alles gleichzeitig, massentauglich, am bestmöglichsten, kostengünstigsten und dazu noch einfachst zu bedienensten (vor allem für den technisch unbedarften Endnutzer) schützen. Irgendwo muss man die Linie ziehen und sagen "das Szenario ist nicht wahrscheinlich genug".
Deswegen wiederhole ich mich mal:
Im Moment, unter Berücksichtigung aller Nutzungsszenarien und möglicher, realer Risiken, ist die 2FA, so wie sie implementiert ist, das sicherste, was Apple anbieten kann.
Blaubeere2
Aktives Mitglied
- Dabei seit
- 06.01.2015
- Beiträge
- 1.667
- Reaktionspunkte
- 931
Wer nur ein Applegerät hat, kann sich den Code per SMS an ein normales Handy senden lassen. Dein Argument zieht also nicht. Daher wird niemand ausgeschlossen.
Außerdem rede ich von der zweistufigen Bestätigung, während du von der 2FA sprichst.
Außerdem rede ich von der zweistufigen Bestätigung, während du von der 2FA sprichst.
TSMusik
Aktives Mitglied
- Dabei seit
- 24.12.2006
- Beiträge
- 2.313
- Reaktionspunkte
- 1.071
Wenn man denn noch ein separates hat, neben dem einen iPhone ... zieht also doch das Argument, auch bei der Zweistufen-Authentifizierung. (Apple macht 2/3 seines Unsatzes mit iPhones und das iPhone ist DAS Einstiegsgerät in die Apple-Welt, also durchaus realistisch)
Blaubeere2
Aktives Mitglied
- Dabei seit
- 06.01.2015
- Beiträge
- 1.667
- Reaktionspunkte
- 931
Es soll auch noch Menschen geben, die ein iPad haben, aber ein Smartphone von anderen Herstellern.
Ich bleibe dabei, dass es eine potenzielle und vermeidbare Schwachstelle ist, dass der Code auch an das Gerät gesandt wird, das sich bei iCloud oder appleid anzumelden versucht. Der Code-Versand nur an Zweit- und Drittgeräte ist sicherer.
Ich bleibe dabei, dass es eine potenzielle und vermeidbare Schwachstelle ist, dass der Code auch an das Gerät gesandt wird, das sich bei iCloud oder appleid anzumelden versucht. Der Code-Versand nur an Zweit- und Drittgeräte ist sicherer.