Zwei-Faktor-Authentifizierung - nicht nachvollziehbare Fehlermeldung

Diskutiere das Thema Zwei-Faktor-Authentifizierung - nicht nachvollziehbare Fehlermeldung im Forum iCloud.

  1. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Das ist m. E. ein Sicherheitsrisiko. Es ist mir schleierhaft, weshalb Apple den Code an das Gerät sendet, auf dem sicherheitsrelevante Dinge wie z. B. das Login bei myappleid gemacht werden. Wenn der Code nicht an ein Zweitgerät gesendet wird, braucht man die zweistufige Authentifizierung nicht.
     
  2. Gereon

    Gereon Mitglied

    Beiträge:
    358
    Zustimmungen:
    5
    Mitglied seit:
    30.03.2005
    Ist das bei euch allen so?
     
  3. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Also ich verwende noch die alte zweistufige Bestätigung. Wenn ich mich mit meinem iPad bei appleid.apple.com anmelde, kann ich mir den Code an mein iPad senden lassen. Habs grad noch mal getestet.

    Vor Wochen hatte ich die zweistufige Bestätigung bei einer Freundin eingerichtet, bei der war es genau so.

    Das dürfte nicht sein! Müsste Apple nicht erkennen, mit welchem Gerät ich mich grad anzumelden versuche und den Versand des Codes an dieses Gerät unterbinden?
     
  4. TSMusik

    TSMusik Mitglied

    Beiträge:
    2.046
    Zustimmungen:
    844
    Mitglied seit:
    24.12.2006
    Wieso sollte das nicht sein dürfen?
    Du hast dich auf dem Gerät doch schon durch Passwort-, Code- oder TouchID-Eingabe als zur Nutzung des mit der AppleID verknüpften lokalen Accounts berechtigt authentifiziert. (Sonst würdest du die Bestätigungsabfrage sowie den Code ja gar nicht sehen)

    Was sollen denn z.B. die Leute machen, die ihre AppleID/iCloud mit der Funktion vor unberechtigten Logins/Datenzugriff schützen wollen, aber nur ein einziges Apple-Gerät besitzen? (z.B nur ein iPhone und sonst nix, soll ja vorkommen)

    Bei der Funktion geht es primär darum, deine AppleID/iCloud vor Logins von neuen Geräten oder im Webbrowser durch unberechtigte zu schützen und dich auf allen Geräten sofort darüber zu informieren, mit der Option, es als eindeutig unberechtigt zu unterbinden.

    Das macht aus sicherheitstechnischer Sicht schon Sinn so, wie es implementiert ist.
     
  5. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Ein Dieb, der mein iPad in der Zeit stiehlt, in der es noch nicht wieder gesperrt ist, kann sich damit bei applied.apple.com anmelden (falls er auch noch das Passwort hat) und Veränderungen vornehmen, ohne dass er dazu ein Zweitgerät wie mein iPhone oder meinen Mac benötigt.
     
  6. Gunn

    Gunn Mitglied

    Beiträge:
    2.063
    Zustimmungen:
    281
    Mitglied seit:
    29.08.2005
    Wie soll ein Dieb sich noch dein Passwort haben. Das grenzt dann ja schon an ID-Diebstahl.
     
  7. TSMusik

    TSMusik Mitglied

    Beiträge:
    2.046
    Zustimmungen:
    844
    Mitglied seit:
    24.12.2006
    Eben.


    Man braucht bei der Zwei-Faktor-Authentifizierung mindestens 2 Faktoren:
    1. Wissen - AppleID selbst und Passwort der AppleID, zwecks Anmeldeversuch
    2. Besitz - Gerät, das mit der AppleID für die 2FA arbeitet, zwecks Klick/Drücken auf Vertrauen und Erhalt des 6-stelligen Codes

    und zusätzlich muss das Gerät aus 2 dafür auch noch entsperrt sein, sprich wieder Wissen (Passwort/Code) oder als Bonus den ersten halben Tag:
    3. Biometrie - Fingerabdruck für TouchID auf dem iPhone/iPad/iPod touch

    Plus: Wenn dann ein Login stattfindet, kannst du den von allen Geräten aus immer noch einfach unterbinden. (Klick/Drücken von "Nicht Vertrauen")

    Also wie viel sicherer soll man das ganze noch machen können, ohne die Leute davon auszuschließen, die nur ein einziges Apple-Gerät besitzen?


    Ich bleibe dabei: Unter Berücksichtigung aller Nutzungsszenarien und möglicher Risiken ist das für den Moment das sicherste, was Apple anbieten kann.

    (Und welcher Geräte-Dieb unterwegs interessiert sich denn für die AppleID deines Geräts. Wenn er ein bisschen Erfahrung im Umgang mit den Geräten hat, schaltet er es sofort hart aus, damit er nicht geortet werden kann und versucht es dann an irgendwen auf eBay zu verticken, der nicht weiß, dass ein iCloud-gesperrtes Gerät für ihn nutzlos ist)
     
  8. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Wenn der Dieb mein entsperren iPad hat, hat er auch die AppleID, denn die steht in den Einstellungen unter "iCloud". Braucht er also nur noch das Passwort. Das könnte er vielleicht durch Social Engineering erraten oder er hat mir vorher über die Schulter geschaut. Dann meldet er sich bei appleid.apple.com an und lässt sich den Code an das iPad senden. Er gibt den Code sofort ein und ist drin in meinem Konto. Ergeht dann überhaupt noch eine Mitteilung an mein iPhone? Ich denke nicht. Und wenn doch, das hat meine Frau und die weiß mit der Meldung nichts anzufangen und wird deswegen vielleicht nicht auf "Nicht vertrauen" tippen.

    Nicht, dass ich paranoid bin und Angst habe, dass das mal passiert. Aber ich denke drüber nach, wie man solch eine Schutzfunktion umgehen könnte und komme dann auf dieses denkbare Szenario. Daher bleibe ich dabei: der Code dürfte m. E. nicht an das Gerät gesendet werden, mit dem man versucht, sich bei appleid anzumelden.
     
  9. TSMusik

    TSMusik Mitglied

    Beiträge:
    2.046
    Zustimmungen:
    844
    Mitglied seit:
    24.12.2006
    Wie wahrscheinlich ist es, dass er an dein entsperrtes iPad rankommt ohne, dass du es merkst und reagieren kannst d.h. Remotesperren?
    Wenn man das so einfach erraten oder abschauen kann, dann ist es schlicht und ergreifend ein sehr schlechtes Passwort, das liegt bei dir.
    Warum sollte der Dieb eines deiner Geräte das tun wollen? Der will das Gerät möglichst schnell wieder gewinnbringend loswerden.
    Bei der aktuellen Zwei-Faktor-Authentifizierung geht die Anfrage immer an alle Geräte gleichzeitig raus. (Macs, iPhones, iPads, iPods)

    Ist ja richtig so, kann ich selbst auch nachvollziehen, aber es ist schon ein ziemlich konstruiertes Szenario. Denn wie wahrscheinlich ist es, dass
    1. dein iPad gestohlen wird
    2. und es dabei nicht gesperrt war
    3. und du das iPad nicht zwischenzeitlich schon per iCloud remote gesperrt hast
    4. und der Dieb dein AppleID-Passwort kennt
    5. und sich überhaupt in deinen AppleID-Account einloggen will
    6. und du nicht per Klick/Drücken von "Nicht Vertrauen" den Login-Versuch von einem anderen Gerät unterbindest
    7. und er dann irgendetwas in/mit deinem Konto anfängt/anfangen kann?

    Es stimmt, das kann alles theoretisch so passieren, nur ist die Wahrscheinlichkeit dafür infinitesimal klein und damit zu vernachlässigen, ganz im Gegensatz zum Problem mit dem "nicht an das Apple-Gerät senden, von dem aus man sich einloggen will", was dazu führt, dass du damit alle User von der Sicherheitsfunktion ausschließt, die nur ein einziges Apple-Gerät haben, und das sind doch so einige. (Rühmt sich Apple nicht immer damit, dass sie so viele neue Kunden gewinnen, die noch nie in ihrem Leben vorher was mit ihnen zu tun hatten?)

    Sicherheit, vor allem bei einer so inhomogenen und noch dazu riesigen Menge an Geräten und Services wie bei Apple (mehr als 'ne Milliarde Geräte ham sie draußen, sagen wir 3-stellige Millionen Zahl an Nutzern), ist immer eine Sache von Trade-Offs. Man kann einfach nicht alles gleichzeitig, massentauglich, am bestmöglichsten, kostengünstigsten und dazu noch einfachst zu bedienensten (vor allem für den technisch unbedarften Endnutzer) schützen. Irgendwo muss man die Linie ziehen und sagen "das Szenario ist nicht wahrscheinlich genug".

    Deswegen wiederhole ich mich mal:
    Im Moment, unter Berücksichtigung aller Nutzungsszenarien und möglicher, realer Risiken, ist die 2FA, so wie sie implementiert ist, das sicherste, was Apple anbieten kann.
     
  10. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Wer nur ein Applegerät hat, kann sich den Code per SMS an ein normales Handy senden lassen. Dein Argument zieht also nicht. Daher wird niemand ausgeschlossen.

    Außerdem rede ich von der zweistufigen Bestätigung, während du von der 2FA sprichst.
     
  11. TSMusik

    TSMusik Mitglied

    Beiträge:
    2.046
    Zustimmungen:
    844
    Mitglied seit:
    24.12.2006
    Wenn man denn noch ein separates hat, neben dem einen iPhone ... zieht also doch das Argument, auch bei der Zweistufen-Authentifizierung. (Apple macht 2/3 seines Unsatzes mit iPhones und das iPhone ist DAS Einstiegsgerät in die Apple-Welt, also durchaus realistisch)
     
  12. Blaubeere2

    Blaubeere2 Mitglied

    Beiträge:
    673
    Zustimmungen:
    231
    Mitglied seit:
    06.01.2015
    Es soll auch noch Menschen geben, die ein iPad haben, aber ein Smartphone von anderen Herstellern.

    Ich bleibe dabei, dass es eine potenzielle und vermeidbare Schwachstelle ist, dass der Code auch an das Gerät gesandt wird, das sich bei iCloud oder appleid anzumelden versucht. Der Code-Versand nur an Zweit- und Drittgeräte ist sicherer.
     
Die Seite wird geladen...
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite weitersurfst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...