Feature Zwei-Faktor-Authentifizierung: Apple verbessert iCloud-Sicherheit

[Martin Wendel]

Nach der Veröffentlichung zahlreicher Nacktfotos aus den iCloud-Konten von Schauspielerinnen und Sängerinnen hat Apple-CEO Tim Cook eine verbesserte Sicherheit für seine Datenwolke angekündigt. Den Versprechen folgen nun Taten und Apple hat die Sicherheit bei Nutzung der Zwei-Faktor-Authentifizierung deutlich erhöht. Meldet man sich künftig über den Browser in der Web-Oberfläche der iCloud an, ist zumindest bei einem neuen Gerät die Eingabe eines zweiten Codes notwendig. Zusätzlich bietet Apple künftig anwendungsspezifische Passwörter an.[prbreak][/prbreak]

Anmeldung auf iCloud.com

Dank der verbesserten Sicherheit ist es fremden Personen künftig nicht mehr möglich, bei aktivierter Zwei-Faktor-Authentifizierung über iCloud.com auf Nutzerdaten zuzugreifen – selbst dann nicht, wenn sie das Passwort und die Antworten auf die Sicherheitsfragen kennen. Seit heute wird der zusätzliche Code, der per SMS auf das Mobiltelefon oder auch an Geräte, die bei „Find my iPhone“ angemeldet sind, zugestellt wird, auch bei der Anmeldung in der Web-Oberfläche von iCloud abgefragt. Der Nutzer kann anschließend entscheiden, ob diesem Browser künftig vertraut werden soll oder ob weiterhin der zweite Code abgefragt werden soll.

Anwendungsspezifische Passwörter

Außerdem führt Apple für Nutzer, die die Zwei-Faktor-Authentifizierung verwenden, anwendungsspezifische Passwörter ein. Diese müssen ab 1. Oktober bei der Anmeldung des iCloud-Kontos in Drittanbieter-Programmen verwendet werden. Ähnlich wie bei Google meldet man sich dann nicht mehr mit ein und demselben iCloud-Passwort bei allen Diensten an, sondern erstellt für jede Dritt-App ein eigenes Passwort. Bis zu 25 solcher anwendungsspezifischer Kennwörter können über die Webseite von Apple generiert und verwaltet werden (unter Passwort und Sicherheit > Erstellen Sie ein anwendungsspezifisches Passwort). Dies trägt zusätzlich zur Sicherheit bei, außerdem gelangt das Haupt-Kennwort so nicht in die Hände von Entwicklern mit böswilligen Absichten.

Nutzung der Zwei-Faktor-Authentifizierung ratsam

Die Meldungen der letzten Wochen sollten aufzeigen, dass eine Nutzung der Zwei-Faktor-Authentifizierung anzuraten ist – nicht nur bei Apple, sondern auch bei anderen Diensten. Die zusätzliche Sicherheit sollte die geringen Komforteinbußen mehr als ausgleichen. Weitere Informationen zur Aktivierung der Zwei-Faktor-Authentifizierung und zur Nutzung von anwendungsspezifischen Kennwörtern sind auf den Support-Seiten von Apple nachzulesen.


iCloud.com bleibt künftig gesperrt, wenn bei Nutzung der Zwei-Faktor-Authentifizierung kein zweiter Code eingegeben wird.
Via 9to5Mac (1|2)

 

[ullistein]

Ist das richtig, dass man mit jeder Anmeldung einen neuen Code zugeschickt bekommt? Oder muss man den zugeschickten Code "sichern"?

 

[iDesign]

Hieß es nicht zwischendurch, dass die Veröffentlichung der Fotografien nicht oder nicht ausschließlich auf eine Sicherheitslücke der iCloud zurückgeführt werden kann?

Die Einleitung des Artikels liest sich jetzt allerdings so, als seien unzählige Fotografien durch eine Sicherheitslücken bei iCloud veröffentlicht worden. Ich bin etwas verwirrt.

Glücklicherweise nutze ich keinen Cloudspeicher. Daher bin ich eh nicht wirklich beunruhigt. Solche Dateien lädt man ja auch eigentlich nicht ins Internet hoch. Sollte man den "Promis" vielleicht mal erklären...

 

[Martin Wendel]

Oder muss man den zugeschickten Code "sichern"?

Nein, musst du nicht sichern. Der Code ist nur einmalig gültig.

Die Einleitung des Artikels liest sich jetzt allerdings so, als seien unzählige Fotografien durch eine Sicherheitslücken bei iCloud veröffentlicht worden.

Steht ja nix von einer Sicherheitslücke in der Einleitung?

 

[lifeofelias]

Kann jemand bestätigen das wenn hier den Button "Meine Apple ID verwalten" klickt nicht zur Verwaltung kommt sondern nur das Passwort ändern kann? Sehr merkwürdig, ich will mein Passwort nicht ändern aber auf die Account Übersicht komme ich auch nicht!

EDIT# Es scheint als wären sie mit meinem Passwort nicht einverstanden...

 

[raven]

Kann jemand bestätigen das wenn hier den Button "Meine Apple ID verwalten" klickt nicht zur Verwaltung kommt sondern nur das Passwort ändern kann? Sehr merkwürdig, ich will mein Passwort nicht ändern aber auf die Account Übersicht komme ich auch nicht!

EDIT# Es scheint als wären sie mit meinem Passwort nicht einverstanden...

Ja ich kann das bestätigen. Das Probelm habe ich seit 2 Wochen und habe auch noch nichts unternommen. Weil ich im Moment nicht weiss wie vorgehen.

 

[drbernd]

Wenn der Super GAU eintritt und Passwort und Code sind weg, kann ja nicht mal mehr Apple den Account wieder regenerieren. Ich frage mich, was dann aus den ganzen Einkäufen wird (Filme). Apple kann dieses ja dann nicht mehr auf einen neuen Account übertragen

 

[Baumkänguruh]

Ist das richtig, dass man mit jeder Anmeldung einen neuen Code zugeschickt bekommt? Oder muss man den zugeschickten Code "sichern"?

Der Code ist einmalig und sollte gesichert werden. Wenn du dich allerdings über einen Browser einloggst, musst du dich jedesmal mit einem 4-stelligen Zahlencode identifizieren, der dir per SMS zugeschickt wird.

Wenn der Super GAU eintritt und Passwort und Code sind weg, kann ja nicht mal mehr Apple den Account wieder regenerieren. Ich frage mich, was dann aus den ganzen Einkäufen wird (Filme). Apple kann dieses ja dann nicht mehr auf einen neuen Account übertragen

Apple warnt deswegen ja auch zwei Mal, dass der Code ausgedruckt bzw. aufgeschrieben werden muss und nicht auf dem Computer gesichert werden soll. Wer dazu nicht in der Lage ist, hat Pech gehabt.

 

[iDesign]

Nach der Veröffentlichung zahlreicher Nacktfotos aus den iCloud-Konten von Schauspielerinnen und Sängerinnen hat Apple-CEO Tim Cook eine verbesserte Sicherheit für seine Datenwolke angekündigt.

Steht ja nix von einer Sicherheitslücke in der Einleitung?

Dann erläutere mir doch mal, wie die Einleitung deines Artikels zu verstehen ist.

Denn warum sollte Apple eine verbesserte Sicherheit für die iCloud angekündigt haben, wenn die Veröffentlichung von "zahlreichen Nacktfotos" nicht Folge einer Sicherheitslücke war? Deine Einleitung lässt sich vielmehr so interpretieren, dass die Sicherheitsvorkehrungen der iCloud es nicht verhindern konnten, dass sich Dritte Zugang zu den dort gespeicherten Daten verschafft haben und deswegen eine Verbesserung der Sicherheit angekündigt wurde.

 

[Martin Wendel]

Denn warum sollte Apple eine verbesserte Sicherheit für die iCloud angekündigt haben, wenn die Veröffentlichung von "zahlreichen Nacktfotos" nicht Folge einer Sicherheitslücke war?

Wenn ich vor meine Fenster nach einem Einbruch Stahlgitter montiere, war das Fenster davor fehlerhaft? Nein. Trotzdem ist es nachher sicherer als zuvor.

 

[iDesign]

Wenn ich vor meine Fenster nach einem Einbruch Stahlgitter montiere, war das Fenster davor fehlerhaft? Nein. Trotzdem ist es nachher sicherer als zuvor.

Mit deiner Antwort stimmst du mir jedoch in meiner Interpretation zu. Denn Grund für Montage von Stahlgittern war in deinem Beispiel der erfolgte Einbuch. Die Sicherheitsvorkehrungen deines Fenster waren also nicht ausreichend genug, um einen Einbruch zu verhindern.

Auf Apple projeziert heißt das: Die Sicherheitsvorkehrungen der iCloud waren nicht ausreichend genug, um einen unberechtigten Zugriff zu verhindern. Deswegen wurde angekündigt, die Sicherheit verbessern zu wollen.

Wo wir wieder beim Anfang wären: Hieß es nicht zwischendurch, dass die Veröffentlichung der Fotografien nicht oder nicht ausschließlich auf eine Sicherheitslücke* der iCloud zurückgeführt werden kann?

*Alternativ: nicht ausschließlich auf unzureichende Sicherheitsvorkehrungen

 

[Martin Wendel]

Die Sicherheitsvorkehrungen deines Fenster waren also nicht ausreichend genug, um einen Einbruch zu verhindern.

Mangelnde Sicherheitsvorkehrungen sind nicht dasselbe wie eine Sicherheitslücke. Aber langsam erkennst du glaube ich, was das Problem ist. Der Datendiebstahl ist vielleicht nicht auf einen Fehler in der Software von Apple zurückzuführen, sehr wohl war aber eine Verbesserung der Zwei-Faktor-Authentifizierung notwendig.

 

[iDesign]

Aber führen mangelnde Sicherheitsvorkehrungen nicht zwangsläufig zu einer Lücke innerhalb der Sicherheit? Für mein Verständnis schon. Aber egal. Wir wissen beide, was der andere meint

 

[bicycle race]

Anwendungsspezifische Passwörter

Außerdem führt Apple für Nutzer, die die Zwei-Faktor-Authentifizierung verwenden, anwendungsspezifische Passwörter ein. Diese müssen ab 1. Oktober bei der Anmeldung des iCloud-Kontos in Drittanbieter-Programmen verwendet werden. Ähnlich wie bei Google meldet man sich dann nicht mehr mit ein und demselben iCloud-Passwort bei allen Diensten an, sondern erstellt für jede Dritt-App ein eigenes Passwort. Bis zu 25 solcher anwendungsspezifischer Kennwörter können über die Webseite von Apple generiert und verwaltet werden (unter Passwort und Sicherheit > Erstellen Sie ein anwendungsspezifisches Passwort). Dies trägt zusätzlich zur Sicherheit bei, außerdem gelangt das Haupt-Kennwort so nicht in die Hände von Entwicklern mit böswilligen Absichten.


Anhang anzeigen 112054
iCloud.com bleibt künftig gesperrt, wenn bei Nutzung der Zwei-Faktor-Authentifizierung kein zweiter Code eingegeben wird.
Via 9to5Mac (1|2)

Ich hab mir das mal angesehen bei Apple. mir ist irgendwie nicht klar, wie der Ablauf ist. Muss ich die erstellten Passwörter irgendwo zwischenspeichern und wie werden diese dann den Dritt-Apps zugeordnet. Apples Erklärung ist leider auf englisch. So ganz erschließt sich mir die Sache noch nicht, aber grundsätzlich finde ich diese Verbesserungen der Sicherheit schon sehr gut.

 

[Martin Wendel]

Du erstellst ein Passwort, vergibst diesem einen Namen und kannst das Passwort dann in Drittanbieter-Apps verwenden. Sollte dir mal was faul vorkommen (Passwortdiebstahl, Phishing, ...), kannst du das Passwort einfach wieder zurückziehen und es wird unbrauchbar.

 

[smoe]

Wenn der Super GAU eintritt und Passwort und Code sind weg, kann ja nicht mal mehr Apple den Account wieder regenerieren. Ich frage mich, was dann aus den ganzen Einkäufen wird (Filme). Apple kann dieses ja dann nicht mehr auf einen neuen Account übertragen

Nochmal zur Erklärung: Es gibt drei Faktoren. PW, Code, und Wiederherstellungsschlüssel. Der Code kommt per Push und ist nur einmalig gültig. Der Wiederherstellungsschlüssel wird dir bei der Aktivierung von 2Faktor angezeigt und sollte gut und sicher aufbewahrt werden. Wenn du aus welchen Gründen auch immer den Code nicht mehr empfangen kannst musst du den Wiederherstellungsschlüssel eingeben. Wenn du den Wiederherstellungsschlüssel verschlampst UND den Code nicht empfangen kannst, dann hast du dich ausgesperrt und dein Account ist verloren. Dieses Risiko ist der Preis für mehr Sicherheit, und auch der Grund dafür, dass 2Faktor freiwillig ist und nicht groß beworben wird...

 

[raven]

@smoe Und wenn es mir auch so ergeht wie schon geschildert
Meine Apple ID verwalten" klickt nicht zur Verwaltung kommt sondern nur das Passwort ändern kann? Sehr merkwürdig, ich will mein Passwort nicht ändern aber auf die Account Übersicht komme ich auch nicht!

Es scheint als wären sie mit meinem Passwort nicht mehreinverstanden...
Was mache ich dann? Die zwei Faktoren Sicherheit auch in der CH schon eingeführt wurde weiss ich nicht mal. Nach meiner Einschätzung nicht. Aber das Problem muss ich mal angehen. Vor allem was ist Apple denn genehm?

 

[smoe]

Ich vermute Apple erzwingt hier ein Update von älteren/unsicheren PWs. Hast du das PW mal geändert?

 

[Martin Wendel]

Zwei-Faktor-Authentifizierung wird auch in der Schweiz angeboten, siehe hier (ganz ans Ende scrollen): http://support.apple.com/kb/ht5570?viewlocale=de_DE

 

[raven]

Nein das Passwort habe ich noch nie geändert. Und seit gesten kommt de selbe meldung auch bei der AppleID von meinem Mann. Bei mir ist es klar, ich habe kein Grossbuchstabe drin, er aber schon. Nach meinem Verständnis sollte ich

• altes Passort
• neues Passwort
• neues Paswort eingeben

bei der Maske, aber ich tat noch nichts dergleichen. Und vorallem möchte ich eines das ich mir merken kann. Wie man Passwörter generiert ist mir absolut bewusst. hab auch schon neue ausgedacht.