Ab dem 15. Juni 2017 kann es passieren, dass eine Drittanbieter-App, die bisher auf die Cloud-Daten der Apple-ID zugreifen konnte, eine Fehlermeldung ausgibt. Grund hierfür ist, dass Apple eine Sicherheitsfunktion scharf schaltet: Das anwendungsspezifische Passwort.
Anwendungsspezifisches Passwort - Was ist das?
Es wurde bereits 2014 als Erweiterung des Schutzes nach der Zwei-Stufen-Authentifizierung eingeführt und war bisher optional nutzbar. Das anwendungsspezifische Passwort soll bei Drittanbieter-Apps den Zugang zur iCloud ermöglichen. Das ging vorher zwar auch, jedoch wurde dafür das iCloud-Passwort eingegeben.
Nehmen wir zum Beispiel das Mail-Programm Outlook von Microsoft. Bisher war es so, dass man Mails mit dem Benutzernamen und dem Passwort abholt. In diesem Beispiel die Daten der Apple-ID. Mit anderen Programmen wird gegebenenfalls ebenso verfahren. Sicherheitsrisiko: Diese Zugangsdaten werden auch auf den Servern der App-Anbieter gespeichert und können im Falle einer Kompromittierung (Siehe Yahoo oder dem angeblichen iCloud-Hack der TCF) schnell in falsche Hände geraten.
Apple wird für Programme, die die Zwei-Stufen- oder die Zwei-Faktor-Authentifizierung nativ nicht unterstützen, ab dem 15. Juni nur noch das anwendungsspezifische Passwort für den Zugriff auf iCloud - ohne die sicherheitsrelevanten Bereiche - zulassen. Damit will Apple verhindern, dass iCloud-Zugangsdaten nicht irgendwo in Foren oder sonstigen Ecken des Internet gespeichert werden. Apps von Apple selbst, wie das Programm "Mail" sind hiervon nicht betroffen.
Woher bekomme ich das Passwort?
Apple setzt zur Erstellung eine aktive Zwei-Stufen-Authentifizierung oder eine Zwei-Faktor-Authentifizierung voraus. Die Einrichtung des anwendungsspezifischen Passwortes erfolgt sodann im Sicherheitsbereich unter https://appleid.apple.com. In meinem Fall ist noch die Zwei-Stufen-Authentifizierung aktiv.
Hinweis: Bei einem Wechsel von der 2SA zur 2FA werden alle bereits gesetzten anwendungsspezifischen Passwörter gelöscht und müssen neu vergeben werden.
Das Erstellen ist ganz einfach: Namen vergeben, generieren lassen und gut merken: Das 16-Stellige Passwort wird anschliessend nämlich nicht mehr angezeigt. Ein Löschen des Passwortes ist auch möglich; dafür wählt man den Menüpunkt Verlauf aus und widerruft entweder einzelne oder alle Passwörter.
Zur Zeit sind insgesamt 25 Passwörter gleichzeitig möglich. Ob Apple diese Anzahl noch erhöht ist leider nicht bekannt.
Unerwünschter Nebeneffekt nach dem Widerruf: Ich wurde komplett mit allen Geräten aus der iCloud abgemeldet, obwohl ich nur dieses eine Passwort aus der Liste löschte. Dies hatte zufolge, dass das iPhone nach der Eingabe des iCloud-Passwortes die SMS zur Aktivierung nach Irland schickte, was bekannter Weise aufgrund des Auslandsempfängers mit Kosten verbunden ist. Seid also vorsichtig beim Ausprobieren.
Passwort vergessen - alles aus?
Wie bereits erwähnt, wird das einmal generierte Passwort nicht dauerhaft angezeigt. Es kann bei Verlust über die iForgot-Seite von Apple nach der Identifizierung per Code zurückgesetzt und an die hinterlegte E-Mail-Adresse versandt werden.
Ist das nun sicherer?
Definitiv ja! Apple will mit dieser Einstellung die Speicherung der Apple-ID-Daten auf Fremdservern eindämmen. Der Fall der "Turkish Crime Family", welche behauptete Apples iCloud gehackt zu haben und sich mit einer kleinen Zahl von funktionierenden Zugangsdaten brüstete, beweist dies. Apple hatte stets ein Eindringen in ihre Systeme dementiert. Die "Hacker" hätten also nur durch kompromittierte Drittanbieter wie gehackte Foren, Phishing-Mails etc. an die Zugangsdaten kommen können.
Durch ein spezifiziert vergebenes Passwort wird verhindert, dass die iCloud-ID-Daten in der reinen Form direkt über das Netz verteilt und abgegriffen werden können. Das Einrichten der 2FA sorgt durch die angeforderte Codeeingabe auf einem vertrauenswürdigen Gerät zudem für einen sicheren Zugriff auf das iCloud-Konto.
via Macwelt
Zuletzt bearbeitet von einem Moderator:
