Welle an Apple-ID-Hacks: Zwei-Faktor-Authentifizierung schützt

[Martin Wendel]

Aber warum nur hier.

Wie kommst du darauf, dass das nur hier sein soll? Und das sind jetzt nur Links, die ich in 2 Minuten googeln gefunden habe.

https://discussions.apple.com/thread/7493231?start=0&tstart=0
https://www.reddit.com/r/applehelp/comments/49esym/my_girlfriends_apple_id_has_been_hacked_and_they/
https://discussions.apple.com/thread/7491528?start=0&tstart=0
https://twitter.com/dc136/status/708556782239674369
https://twitter.com/Tomz0rr/status/708615109569073160
https://twitter.com/beavers789/status/708668373777965057
https://twitter.com/magpie_1989/status/708110942920450049
http://forums.whirlpool.net.au/archive/2510511
https://twitter.com/ASimonRooke/status/708773476551622656
https://twitter.com/maxxh/status/708940052236267522
https://twitter.com/GabbsIsLife/status/709075621289197568

 

[jack_pott]

Hmmm... Kann es sein das das kürzlich umbenannt wurde und davor auch zwei-Faktor-Aut. hieß? Zumindest hätte ich drauf gewettet das es sich so nannte als ich das damals aktiviert hatte...

Das ist die Zwei-Faktor-Auth., denn man braucht ein zweites i-Gerät. Die Zwei-Stufen-Auth. wäre ja nur Passwort + Code (der dann auch an das gleiche Gerät gehen könnte).

https://support.apple.com/de-de/HT204915

„Wenn Sie die Zwei-Faktor-Authentifizierung nutzen und sich zum ersten Mal mit Ihrer Apple-ID und Ihrem Passwort auf einem neuen Gerät anmelden, werden Sie dazu aufgefordert, Ihre Identität mit einem sechsstelligen numerischen Überprüfungscode zu verifizieren. Dieser Code wird automatisch auf Ihren anderen Geräten angezeigt oder an eine verifizierte Telefonnummer übermittelt. Geben Sie den Code ein, um sich auf Ihrem neuen Gerät anmelden und auf Ihren Account zugreifen zu können.
Sobald Sie sich angemeldet haben, werden Sie nicht mehr nach einem Überprüfungscode gefragt, wenn Sie sich auf diesem Gerät anmelden, es sei denn, Sie melden sich vollständig ab, löschen das Gerät oder müssen Ihr Passwort aus Sicherheitsgründen ändern. Wenn Sie eine Verbindung zum Internet herstellen, haben Sie die Möglichkeit, Ihren Browser zu verifizieren, sodass Sie nicht erneut nach einem Überprüfungscode gefragt werden, wenn Sie den Browser das nächste Mal auf diesem Computer öffnen.
Als verifiziertes Gerät gilt ein iPhone, iPad, iPod touch oder Mac mit iOS 9 oder OS X El Capitan, das bzw. den Sie bereits für die Zwei-Faktor-Authentifizierung registriert haben. Dieses Gerät ist als Ihr Eigentum registriert und kann zur Verifizierung Ihrer Identität genutzt werden. Das heißt, der Überprüfungscode, den Sie benötigen, wenn Sie sich auf einem anderen Gerät oder in einem anderen Browser anmelden, kann auf diesem Gerät angezeigt werden.“

 

[Martin Wendel]

Du meinst die vielen Null-Beitragsposter mit ihren singulären Problemen?

Was hat das damit zu tun? Sind ihre Probleme weniger relevant, weil sie wenige Beiträge geschrieben haben? Und selbst wenn sich das alles als Unwahr herausstellt – die Zwei-Faktor-Authentifizierung sollte man trotzdem verwenden.

 

[Farafan]

Von einem Großangriff würde ich auch noch lange nicht sprechen wollen, eher von "Auffälligkeiten".

Ich war heute Mittag auch noch im Apple Store und dort ist mir keine Menschenmenge mit Fackeln und Mistgabeln aufgefallen.
Die Mitarbeiter waren hierzu auch nicht gebrieft.

Apple wird gerade genau das tun was ich ich auch tun würde: In aller Ruhe und Gelassenheit analysieren was im Augenblick schief läuft, wem das Ganze nutzt und eingrenzen was die Gemeinsamkeiten sind.

Panisch im Kreis zu rennen halte ich zum jetzigen Zeitpunkt für überzogen.

 

[raven]

Wie kommst du darauf, dass das nur hier sein soll?

Vielleicht wei ich bei meiner Suche nichts gefunden habe das neueren Datums wäre?

Und mit der Erkenntnis die du nun mit einigen Twitterlinks postets, am Ende des Tages, rückst du raus, nachdem ich fragte: Warum denn nur hier?

Oder denkst du ich könnte nicht googeln?

 

[Wuchtbrumme]

die Zwei-Faktor-Authentifizierung sollte man trotzdem verwenden.

ich zitiere mich mal selbst:
"Für die Anwender, die es verstehen, ist es eine zusätzliche Sicherheit zum Preis einer zusätzlichen Fehlerquelle (SMS geht nicht?) und Komforteinbussen dafür, dass sie höchstwahrscheinlich ohnehin nie einem Phishing aufsitzen würden. Kurzum, ich halte den Aufwand für den zu erwarten stehenden Nutzen nicht für angemessen."
"Worauf ich hinaus wollte: die Plattform, für die die Apple-ID Zugang verschafft, muss auch so sicher sein, ohne Zweifaktorauthentifizierung oder Zweistufige Authentifizierung oder wie auch immer das Baby heisst - ein hinreichend sicheres Passwort vorausgesetzt."

 

[raven]

die Zwei-Faktor-Authentifizierung sollte man trotzdem verwenden.

Dann schreib bitte dazu, dass die noch nicht überall verfügbar ist. Man sollte reicht in dem Fall nicht. Wenn man wollte und es nicht geht was dann? Dann bleibt nur die 2 Stufen übrig. Dann hat der Provider auch mal probleme wohin geht dann die SMS? Ins Nirvana.

Passt doch:

ich zitiere mich mal selbst:
"Für die Anwender, die es verstehen, ist es eine zusätzliche Sicherheit zum Preis einer zusätzlichen Fehlerquelle (SMS geht nicht?)

Meine Rede. Beispiel: Ich konnte heute bei uns im Kundenzenter nicht alle bewirtschaften weil? Ja Störung.

 

[Martin Wendel]

Und mit der Erkenntnis die du nun mit einigen Twitterlinks postets, am Ende des Tages, rückst du raus, nachdem ich fragte: Warum denn nur hier?

Oder denkst du ich könnte nicht googeln?

Was möchtest du von mir?

Kurzum, ich halte den Aufwand für den zu erwarten stehenden Nutzen nicht für angemessen.

Lustig. Ich bekomme von dem angeblichen Aufwand kaum was mit – außer in den Fällen, wo ich mich mal (auf einem unbekannten) Computer im Browser bei Apple einlogge. Kommt natürlich wahnsinnig häufig vor.

 

[Farafan]

Dann hat der Provider auch mal probleme wohin geht dann die SMS? Ins Nirvana.

Das ist nun einmal der Preis dafür wenn man zwei völlig voneinander getrennte Übertragungswege aus Sicherheitsgründen nutzt.

 

[Wuchtbrumme]

Das ist nun einmal der Preis dafür wenn man zwei völlig voneinander getrennte Übertragungswege aus Sicherheitsgründen nutzt.

wie gesagt, das ist die momentane "en vogue" Lösung für ein Problem, das gar nicht existiert. Die nicht-IT-affinen Nutzer werden weiterhin an allen möglichen Stellen fleißig Passwörter, PINs und TANs eintippen, die IT-affinen User klicken schon seit fünfzehn Jahren alle Mails weg und schon gar keine Links darin an. So what?

 

[echo.park]

Dann hat der Provider auch mal probleme wohin geht dann die SMS? Ins Nirvana.

Dann nutzt man eine Push-Nachricht als Alternative zur SMS. Übrigens nutze ich sowieso niemals die SMS. Push ist einfach irgendwie "cooler".

 

[Martin Wendel]

Dann hat der Provider auch mal probleme wohin geht dann die SMS?

Machst du dir diese Sorgen auch beim Mobile-Banking bei deiner Bank? Nein? Dann brauchst du sie hier auch nicht haben. Ich nutze jetzt schon sicher seit 1-2 Jahren die Zweistufige Authentifizierung, bisher hat es bis zur Ankunft der SMS nie länger als 10 Sekunden gedauert.

 

[raven]

Machst du dir diese Sorgen auch beim Mobile-Banking bei deiner Bank? Nein?

Nein mache ich mir absolut nicht, weil ich das nicht nutze.
Weil ich es als nicht sicher empfinde.

 

[Wuchtbrumme]

Nein mache ich mir absolut nicht, weil ich das nicht nutze.
Weil ich es als nicht sicher empfinde.

was auch schon mehrfach (für die Sparkasse, from the top of my head) bewiesen wurde.

 

[Farafan]

Push ist einfach irgendwie "cooler".

SMS bietet eben den Vorteil das ein vollständig anderer Übertragungsweg genutzt wird. Von daher ein zusätzlicher Sicherheitsaspekt.

 

[raven]

was auch schon mehrfach (für die Sparkasse, from the top of my head) bewiesen wurde.

Jo ich nutze auch nicht die App meiner Krankenkasse wo ich die Rechnungen einscannen könnte.

Man muss nicht alles machen nur weil es angeboten wird und man es machen kann oder könnte.

 

[Wuchtbrumme]

Wer sich noch an den nPA und die damals beworbenen Killerfeatures erinnert und sich fragt, hier könnten sie doch passen (qualifizierte elektronische Signatur), kratzt sich vielleicht am Kopf und erinnert sich an andere IT-"Projekte" (=Totgeburten) der öffentlichen Verwaltung. Aber ich schweife ab, mag mich schon deswegen nicht nach einer anderen Wohnung umsuchen. Da muss man ja Papier ausfüllen...

 

[Martin Wendel]

Nein mache ich mir absolut nicht, weil ich das nicht nutze.
Weil ich es als nicht sicher empfinde.

Gut, ist dein gutes Recht. Ändert nichts daran, dass der SMS-Versand sehr zuverlässig klappt.

Was möchtest du von mir?

Erklärst du mir noch, wie dein Beitrag zu verstehen war, @raven, oder war's das?

 

[echo.park]

Wie kann man ein solches System in der heutigen Zeit auch nur ansatzweise in Zweifel ziehen?

Kommt also ein Chinese an mein Passwort, aus welchen Gründen auch immer, loggt er sich ein, wo auch immer, und sieht die Eingabe-Maske des temporären Codes vor sich. Das war es dann mit der Account-Übernahme, dass Passwort kann er nun wegwerfen, es ist nutzlos für ihn.

Hackt ein Chinese mein Mail-Konto, aus welchen Gründen auch immer, sieht er eventuell eine Apple-Mail im Postfach, und sei es eine Rechnung von iTunes. Er hat Blut geleckt, kennt nun eine Apple ID und hat die Kontrolle über das zugehörige Mail-Konto. Also schnell auf die Apple Webseite und eine Zurücksetzungs-Mail für diese Adresse anfordern. Was bemerkt er? Dass das nicht möglich ist. Ist die zweistufige Bestätigung aktiv, kann das Passwort nicht per Mail zurückgesetzt werden. Der gekaperte Mail-Account spielt dann zumindest für die Apple ID keine Rolle.

Kommt ein Chinese auf die Idee per Social Engineering über den Apple Support an meinen Account zu kommen, und sei es über ein Service-Center von Apple in China direkt, so kommt er selbst dann nicht weiter, wenn der Mitarbeiter am Telefon alles glaubt was er sagt und dem auch nach kommen würde. Nur sind dem Apple-Mitarbeiter in diesem Fall die Hände gebunden. Ist die zweistufige Bestätigung aktiv, kann auch der Mitarbeiter am Telefon keine Mail zum Zurücksetzen des Passwortes raus senden, oder irgendwas Vergleichbares am Account direkt durchführen. Das schreibt Apple so auch ganz klar in seiner Dokumentation. Ist die zweistufige Bestätigung aktiv, und man sperrt sich selbst aus seinem Account aus, aus welchem Grund auch immer, kann einem über den Support nicht geholfen werden. Man "darf" dann eine neue Apple ID erstellen.

Also für mich ist die zweistufige Bestätigung sowas wie der heilige Gral in der heutigen Zeit, nun ja, vielleicht nicht ganz, aber nahe dran. Zumindest solange, bis was besseres kommt.

Und der Unterschied zwischen dem bisherigen System, der zweistufigen Bestätigung, um dem optimierten Verfahren bei El Capitan und iOS 9, der Zwei-Faktor-Authentifikation, halten sich in Grenzen. Ich halte beide Systeme für annähernd gleich sicher. Bei dem einen sind die temporären Codes halt eben zwei Zeichen länger und der Wiederherstellungsschlüssel fällt weg, das fällt aber kaum ins Gewicht.

Und der Komfort leidet doch sowieso kaum darunter. EINMALIG (!) muss ein Code beim ersten Login auf einem (neuen) Gerät, oder nach dem Zurücksetzen eines Gerätes, oder nach Ändern des Apple ID-Passwortes, eingegeben werden. Und diese 10 Sekunden investiere ich gerne alle paar Monate mal. Ansonsten laufen Einkäufe und sonstige Geschichten absolut ohne Code ab ist das entsprechende Gerät bereits verifiziert.

So, und wer das jetzt immer noch nicht einschaltet, dem sei nicht geholfen, sollte sein Account abhanden kommen.

 

[echo.park]

SMS bietet eben den Vorteil das ein vollständig anderer Übertragungsweg genutzt wird. Von daher ein zusätzlicher Sicherheitsaspekt.

Kommt aber auf dem gleichen Gerät an, unter Umständen. Also zumindest bei mir. Da steckt die SIM eben in dem iPhone, welches auch für die Push-Nachrichten zuständig ist.

Und die SIM-Karten-Geschichte empfinde ich als gefährlicher. Wie oft wurden Bankkonten leer geräumt, weil findige Gauner sich einfach eine zweite SIM-Karte vom Provider haben zuschicken lassen, ohne Verifikation auch der wirkliche Inhaber des Anschlusses zu sein und an eine vollkommen fremde Adresse.

Edit:
Sorry, Doppelpost.