Apple-ID stehlen, etwas Sicherheit?

[implied]

Wie man es auch dreht und wendet, es greift doch immer die Regel „das extremste Sicherheitsrisiko sitzt vor der Tastatur“.
Ich finde das Sicherheitskonzept von Apple insgesamt gut. Geknackt oder gestohlen werden kann alles, ich als Nutzer bin aber in erster Linie verantwortlich, dass mir niemand zusieht, wie ich meinen Code eingebe - alles andere sind aus meiner Sicht hypothetische (und wohl auch bei etwas Aufmerksamkeit selten eintretende) Szenarien.

 

[Benutzer 176034]

ich als Nutzer bin aber in erster Linie verantwortlich, dass mir niemand zusieht, wie ich meinen Code eingebe

…und selbst, wenn jemand sieht, wie mein Code lautet…
Dieser Code ist erst dann von Nutzen, wenn dieser Jemand dann auch an mein Gerät gelangt.
Ich könnte mich jetzt nicht erinnern, wann zuletzt ein mir Unbekannter an mein Handy gelangt ist. Diese Situation gibt es praktisch nicht, wenn der Nutzer im Rahmen des „Normalen“ auf sein Gerät aufpasst.

 

[saw]

Wenn keiner an die Geräte ran kommen könnte,
wofür dann überhaupt eine Sperre?

 

[AndiEh]

ch kenne bei mir keinen Fall, der ein sofortiges Lostippen oder gar Geldgeschäfte unter so ungünstigen Umständen erfordern würde.

Wenn man nachdenkt, wird man auch sicher sein Banking Passwort nicht in einem vollen Bus eingeben, wo viele mitlesen könnten.
Das Problem ist aber das "nicht vorher nachdenken"

Gruß
Andi

 

[Wuchtbrumme]

das ist ja alles gut und schön, aber diese ganzen Allgemeinplätze oder Vergleiche sind doch am Thema vorbei. Ich kenne die Konzepte zu "Sicherheit", die immer auch mit physischer Sicherheit betrachtet werden müssen. Aber: Man muss ja das Gerätepasswort in festgelegten Zeitabständen erneut eingeben, um z.B. FaceID zu aktivieren.
Mir scheint es so, als hätte Apple das Gerätepasswort für diese Sicherheit gewählt, damit eben nicht die Apple-ID ständig neu eingegeben werden muss, dann aber an anderer Stelle eine Abhängigkeit geschaffen bzw. das Gerätepasswort mächtiger gemacht als es hätte werden dürfen.

 

[AndaleR]

Genau. Es ist mit FaceID und Gerätepasswort alles möglich. Ist ja auch bequem. Wenn dann alle Passwörter im Schlüsselbund liegen - und das Gerätepasswort hat jemand, dann kommt er eigentlich an alles ran.

Eine Abgrenzung dieser Bereiche wäre die einfachste Lösung. Nur mit was? Einem anderen Passwort/Code. Allerdings wäre ich da jetzt auch wieder für eine einfache Lösung. Ich bin oft in den Passwörtern, um einen Login zu suchen und mich irgendwo anzumelden (z.B. an anderen Geräten außerhalb Apple). Müsste ich da mein AppleID-Passwort angeben, wäre ich verloren - das wüsste ich nicht auswendig.

Ein weiterer Zahlencode wäre vielleicht die praktischste Lösung. Bin gespannt, Apple ist sicher auch auf das Thema aufmerksam geworden durch die Berichterstattung. Allerdings wurde es ja auch sehr schnell wieder still um die Lücke.

Und es ist ja schon immer so gelöst - und hat ja auch sehr lange gedauert, bis es an die Öffentlichkeit kam. Wundert mich ehrlich gesagt schon auch irgendwie.

 

[kelevra]

Besonders auf Sicherheit bedachte User können 1. den Gerätecode nur eingeben, wenn sie sicher gegangen sind, dass niemand zuschaut (analog dem Vorgang am Geldautomat) und 2. statt einem Zahlen PIN Code auch ein alphanumerisches Passwort nutzen. Das ist schwieriger mal eben mitzulesen.

 

[AndaleR]

Und dann noch die Passwörter nicht im Schlüsselbund speichern - da ich hierauf Zugriff habe mit dem Gerätecode.

 

[Misto]

Es würde doch schon reichen, wenn man das AppleID-Passwort nicht mit dem Gerätecode ändern kann, sondern nur durch Eingabe des aktuellen AppleID-Passworts. Problem gelöst. So ist das ja auch bei allen anderen mir bekannten Plattformen.

Das selbe gilt für den Schlüsselbund. Zugriff auf Passwörter nur durch Eingabe des AppleID-Passwort.

Das dürften doch die wenigsten preisgeben, schon gar nicht im Alltag. Wenn doch: selbst schuld.

Der Gerätecode dürfte auch wirkluich nur zum Entsperren des Bildschirms genutzt werden dürfen.

Als zusätzliche Absicherung eine ZFA mit einer entsprechenden App. Auf Wunsch. Zusätzlich zum Apple-Verfahren.

 

[Sequoia]

Wenn keiner an die Geräte ran kommen könnte,
wofür dann überhaupt eine Sperre?

Weil der Schutz des Gerätes durch die Sperre eine Tat voraussetzt, um gefährlich zu werden. Nur das Entwenden des Gerätes.

Im hier konstruierten Fall müssen aber zwei Taten geschehen, damit es gefährlich wird: das Ausspähen des PIN zusätzlich das Entwenden des Gerätes.

Ausspähen alleine kann passieren.
Das Entwenden des Gerätes alleine kann passieren.

Beides zusammen ist ja dann doch schon eher unwahrscheinlicher.

Mich würde mal interessieren, außer dieser theoretische Fall, wie oft das in der Realität genau so schon zum Problem wurde, bei X Milliarden Geräten.

 

[kelevra]

Und dann noch die Passwörter nicht im Schlüsselbund speichern - da ich hierauf Zugriff habe mit dem Gerätecode.

Stimme ich zu. So bequem das auch sein mag, vertrete ich die Meinung, dass man 1. nicht alle seine Daten einem Konzern anvertrauen sollte und 2. sowas wie Passwörter in einen ordentlichen Passwortmanager gehören.

Was das am Ende ist, hängt von verschiedenen Faktoren ab.

Ich sehe das Problem der samt Geräte PIN entwendeter Geräte auch eher als theoretisches Problem. Zumindest habe ich keine Berichte gesehen, nach denen das auch in relevanter Größenordnung ausgenutzt wird.

 

[Wuchtbrumme]

Zumindest habe ich keine Berichte gesehen, nach denen das auch in relevanter Größenordnung ausgenutzt wird.

es scheint halt schon vorgekommen zu sein und ich persönlich glaube ja auch, dass man da eher an touristischen Hotspots gefährdet ist, wo eh solche Gruppen "Dienstleister" abhängen. Aber diese "lowtech Lösung" für ein sophisticated Problem und dem Potential an Wert... das kann sich schon herumsprechen.

 

[Anthem]

... und 2. statt einem Zahlen PIN Code auch ein alphanumerisches Passwort nutzen. Das ist schwieriger mal eben mitzulesen.

Dass das geht, war mir nicht bekannt. Das eine 6-stellige PIN reicht, um Zugriff auf mein iPhone zu bekommen, fand ich schon immer zu wenig. Ich habe das jetzt auf ein sicheres Passwort umgestellt. Vielen Dank für den Tipp.

Die Frage ist für mich nicht, wie wahrscheinlich es ist, das jemand die PIN + iPhone in die Handy bekommt. Die Wahrscheinlichkeit ist sicher sehr klein - aber >0. Und damit ist für mich das Kriterium, ob ich mit dem Schaden der dann entsteht, noch locker umgehen kann. Und das kann ich nicht.

Entsteht beim Verlust der EC-Karte + PIN ein Schaden, habe ich bei der Bank einen direkten Ansprechpartner wir vor Ort. Wird meine Apple ID geklaut und mißbräuchlich benutzt, kann der finanzielle Schaden größer werden, sind persönliche und vertrauliche Daten kompromittiert und ich kann nur mit persönlich und fachlich wechselnden Hotline-Mitarbeitern versuchen, die Sache zu klären. Da lässt mich meine bisherige Erfahrung mit der Apple-Hotline eher vorsichtig sein.

Also, ohne paranoid zu sein, schütze ich meine Devices und Daten zu gut ich kann und mache es mir dabei auch ungemütlicher, die Sachen zu benutzen, aber eben auch sicherer. Comfort < > Sicherheit waren schon immer Antagonisten 😃

Schönen Sonntag noch
Anthem

 

[m4371n]

Die Lösung wäre so einfach: Eine Änderung nur mit Eingabe des aktuellen Apple-ID-Passworts zulassen. So wie das eigentlich überall Standard ist.

Leider keine Lösung für den Fall, das man sein Apple-ID Passwort vergessen hat und zurücksetzen will. Früher ging das nur via Apple Support, der mit allerlei Fragen nach persönlichen Account-Daten incl. der vorher festgelegten, und hoffentlich noch bekannten Antworten auf drei Sicherheitsfragen, herausfinden wollte, ob der Anrufer der ist, der er zu sein behauptet, bevor das Passwort neu gesetzt werden kann.

Wenn bei zwei Milliarden Usern nur ein Promille im Jahr sein Passwort vergessen würde, wären das zwei Millionen Supportfälle, die auch für die Nutzer unbequem wären. Und ausgetrickst wurde dieser Mechanismus auch.

Stattdessen ein mit Code geschütztes und in iCloud eingeloggtes Gerät für den Passwort-Reset zu verwenden und dabei nochmal den Code abzufragen, birgt zwar ein sehr kleines zusätzliches Risiko (Gerät und Code Klau), dafür aber deutlich bessere Nutzbarkeit für die allermeisten User beim Passwort zurücksetzen.

 

[fLuP]

Soll aber auch Menschen geben die nur ein Apple Gerät haben

 

[SomeUser]

Soll aber auch Menschen geben die nur ein Apple Gerät haben

Für die bietet Apple eine Lösung an. Oder sogar ein ganzes Portfolio.

 

[m4371n]

Soll aber auch Menschen geben die nur ein Apple Gerät haben

Das reicht ja zum Passwort zurücksetzen. Solange ich das Gerät und den Code habe, kann ich mein iCloud-Passwort neu setzen, ohne den Apple Support zu bemühen, der dann erst mal zuverlässig rausfinden muss, wer da anruft.

 

[fLuP]

Für die bietet Apple eine Lösung an. Oder sogar ein ganzes Portfolio.

Apple Aktionäre lieben diesen Trick

 

[Misto]

Leider keine Lösung für den Fall, das man sein Apple-ID Passwort vergessen hat und zurücksetzen will.

In dem Fall muss man sagen: Karma is a bitch. Wer in der heutigen Zeit nicht irgendwo seine wichtigsten Passwörter hinterlegt hat, ist selbst dran schuld.

Ich nutze für jeden Zugang ein eigenes Passwort. Kann ich mir alles nicht merken, deswegen nutze ich 1Password (und bewusst nicht Apples Schlüsselbund). Da komme ich auch über Windows dran. Und das Masterpasswort ist das eines der wenigen Passwörter, die ich mit merken muss. Und selbst die habe ich nochmals gesichert aufbewahrt. Für den Fall der Fälle.