-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Die Bildungsoffensive hier im Forum geht weiter! Jetzt sollen Kreativität und technische Möglichkeiten einen neue Dimension erreichen. Das Thema in diesem Monat lautet - Verkehrte Welt - Hier geht es lang --> Klick
Unterschied zwischen Zweistufiger Bestätigung und Zwei-Faktor-Authentifizierung
- Ersteller Paddy2590
- Erstellt am
Teddy<3
Aargauer Weinapfel
- Registriert
- 20.07.11
- Beiträge
- 740
Und, u00361900, bist du dir sicher, dass du die 2FA nutzt? Wenn ja würde mich wirklich brennend interessieren, wie du es geschafft hast, dass nur bestimmte Geräte den 6-stelligen Bestätigungscode erhalten.
Meine Güte! Warum so kompliziert? :rolleyes:
Aber anscheinend stimmt das - zumindest habe ich es so geschafft.
Nur, warum meldet Apple, dass eines meiner Geräte nicht für die ZFA geeignet sei? Und welches ist das?
Aha! Ok.
Apple TV4 würde also auch nicht gehen?
Und warum kann man die ZFA eigentlich nicht über MacOS aktivieren?
SpiderMac
Empire
- Registriert
- 07.12.08
- Beiträge
- 84
Hallo zusammen,
ich möchte an dieser Stelle noch einmal auf die ursprünglich gestellte Frage eingehen:
Was ist der Unterschied zwischen der zweistufiger Bestätigung/Authentifizierung (2SA) und der zwei Faktor Authentifizierung (2FA) - und was ist sicherer?
Grundsätzlich sollte man zunächst wissen, was Apple mit diesem Verfahren eigentlich bezwecken will.
Es geht hier einzig und allein um die Absicherung der (iCloud-) Account-Daten bzw. der Apple-ID. Es geht nicht darum einen zusätzlichen Zugriffsschutz auf die vorhandene Hardware (iPhone, iMac, …) bereitzustellen.
Um die unterschiedlichen Verfahren besser zu verstehen zunächst mal eine paar kurze Erklärungen:
Wann wird die Abfrage nach einem zusätzlichen Code aktiviert:
Hierzu mal meine ganz persönliche Meinung:
Zusätzlich sollte aber zur eigenen Handnummer noch eine weitere vertrauenswürdige Nummer bei der Aktivierung der 2FA oder auch 2SA angegeben werden. Sollte doch einmal das Handy gestohlen werden oder die Sim-Karte gesperrt sein, kann das Konto auch über die zweite Nummer gfs. entsperrt werden.
Fazit:
Für mich stellt die 2FA die bisher sicherste Methode dar, mein iCloud-Konto vor unberechtigten Zugriff zu schützen.
Wer dazu nicht in der Lage ist sollte mindestens die 2SA aktivieren.
… und zu guter letzt - die 100% Sicherheit gibt es nicht. Man sollte es den Hackern aber auch nicht zu einfach machen.
Gruß
Spiderrmac
ich möchte an dieser Stelle noch einmal auf die ursprünglich gestellte Frage eingehen:
Was ist der Unterschied zwischen der zweistufiger Bestätigung/Authentifizierung (2SA) und der zwei Faktor Authentifizierung (2FA) - und was ist sicherer?
Grundsätzlich sollte man zunächst wissen, was Apple mit diesem Verfahren eigentlich bezwecken will.
Es geht hier einzig und allein um die Absicherung der (iCloud-) Account-Daten bzw. der Apple-ID. Es geht nicht darum einen zusätzlichen Zugriffsschutz auf die vorhandene Hardware (iPhone, iMac, …) bereitzustellen.
Um die unterschiedlichen Verfahren besser zu verstehen zunächst mal eine paar kurze Erklärungen:
- 1SA - Die einstufige Bestätigung/Authentifizierung
Dieses Verfahren ist allseits bekannt und besteht aus einem Benutzernamen und einem Passwort. Das dieses Verfahren nur beschränkt sicher ist, sollte jedem klar sein. Sobald das Passwort gehackt ist, stehen dem Angreifer jegliche Informationen zum Konto zur Verfügung. Wer also heute noch seine Apple-Id (und damit seine gesamten iCloud-Daten) nur nach dem 1SA-Verfahren absichert, sollte hier schleunigst aktiv werden. Es gibt mittlerweile auch hier im Forum einige User, die ein Lied davon singen können („Hilfe, meine Konto wurde gehackt“). Apple hat zwar noch Sicherheitsabfragen dazwischengeschoben, ich würde mich hier aber nicht all zu sicher fühlen. Erstens sind diese Sicherheitsabfragen alles andere als sicher (Wer hat nicht als Kind den Traumberuf „Pilot“ angegeben ).
Zweitens erfolgt die Sicherheitsabfrage auf dem gleichem Medium (bspw. einem WEB-Browser). Somit kann bspw. durch Phishing (Abgreifen von Informationen) ein möglicher Angreifer zu den benötigten Informationen gelangen und somit Zugriff auf das Konto erhalten.
). Zweitens erfolgt die Sicherheitsabfrage auf dem gleichem Medium (bspw. einem WEB-Browser). Somit kann bspw. durch Phishing (Abgreifen von Informationen) ein möglicher Angreifer zu den benötigten Informationen gelangen und somit Zugriff auf das Konto erhalten.
- 2SA - Die zweistufige Bestätigung/Authentifizierung
Dieses Verfahren ist quasi eine Erweiterung zur 1SA. Hierbei wird im Login-Prozess auf ein zuvor verifiziertes Gerät ein zusätzlicher Bestätigungscode gesendet (bspw. als SMS auf eine Mobilfunknummer). Bei der 2SA von Apple konnten mehrere Geräte angegeben und mit dem Login festgelegt werden auf welches Gerät der 4-stellige Code gesendet werden sollte (Auch auf solche Geräte, bei denen die Funktion „Mein iPhone suchen“ aktiviert ist). Somit ist die 2SA schon mal viel besser und sicherer als die 1SA!! Der einzige Schwachpunkt liegt darin, dass der Bestätigungscode von Apple erzeugt und gesendet wird. Findige Hacker können diesen Stream abgreifen und zu ihren Gunsten nutzen. Es wurde auch in der Apple-Gemeinde häufig beklagt, dass das Konto bei einem Verlust des Empfangsgeräts nur über einen mit der Aktivierung erstellten Wiederherstellungscode zurückgesetzt werden konnte (War dieser nicht bekannt konnte selbst der Apple-Support nichts mehr tun). Dies ist m. E. kein Nachteil. Im Zeitalter von bspw. „1Password“ (oder anderer vergleichbarer Software) können solche Codes sicher verwahrt werden!!
- 2FA - Die zwei Faktor Authentifizierung
Bei diesem Verfahren wird die Authentifizierung auf unterschiedliche Faktoren verteilt. Hier stellt sich zunächst die Frage „Was ist ein Faktor?“. Ein Faktor kann hierbei etwas sein, dass ich weiß (bspw. mein User/Passwort), etwas, dass ich besitze (bspw. eine ID-Karte, ein Handy), oder etwas, was zu mir gehört (bspw. ein Fingerabdruck). Ein typisches Beispiel ist eine 2-Faktor-Kombination aus User/Passwort und einem RSA-Token (Ein Stück Hardware, welches selbstständig Zahlenkombinationen erstellt).
Erst die Kombination aus beiden erlaubt mir den Zugriff auf mein Konto (Eingabe User/Passwort und dem extern generierten Zahlencode). Da der Token mir gehört und nur ich Zugriff darauf habe ist Wahrscheinlichkeit gering, dass ein Dritter Zugang zu meinem Konto erhält. Wie jeder weiß, vertreibt Apple keine RSA-Token oder ID-Karten Daher soll als zweiter Faktor (neben dem was ich weiß User/Passwort) die Apple Hardware dienen (etwas, was mir gehört). Für den Fall einer Wiederherstellung des Kontos wird sogar eine enge Verknüpfung mit einer Mobilfunknummer erstellt bzw. vorausgesetzt (i. d. R. die des iPhones - kann aber auch jedes andere Handy sein). Hierdurch wird für ein Zurücksetzen des Kontos kein Wiederherstellungsschlüssel benötigt (wie bei der 2SA). Melde ich mich mit meiner Hardware an meinem iCloud-Konto an, muss die Aktion durch einen zusätzlichen 6-stelligen Zahlencode bestätigt werden. Dieser Zahlencode wird nur an den Geräten generiert, die bereits von mir als vertrauenswürdig eingestuft worden sind (iPhone, iPad, iMac, MacBook, …).Es wird mir auch an allen diesen Geräten angezeigt, dass ein Zugriff erfolgt. Einige betrachten dies als Nachteil und würden lieber ein Zielgerät bestimmen (wie bei der 2SA). Ich betrachte dies als Vorteil, weil ich in jedem Fall mitbekomme, dass ein Zugriff auf mein Konto erfolgt. Einen weiteren Vorteil sehe ich darin, dass offenbar der Bestätigungscode auf meiner vertrauenswürdigen Hardware erzeugt wird (So kann ich bspw. einen Bestätigungscode über einen Menüpunkt am Mac oder iPhone anfordern).Somit kann dieser auch nicht wie bei der 2SA theoretisch von einem Dritten abgefangen werden. Somit wäre bspw. das iPhone schon so etwas wie ein RSA-Token (naja - fast )
Ich lasse mich hier aber gerne auch bei der technischen Umsetzung eines besseren Belehren
Erst die Kombination aus beiden erlaubt mir den Zugriff auf mein Konto (Eingabe User/Passwort und dem extern generierten Zahlencode). Da der Token mir gehört und nur ich Zugriff darauf habe ist Wahrscheinlichkeit gering, dass ein Dritter Zugang zu meinem Konto erhält. Wie jeder weiß, vertreibt Apple keine RSA-Token oder ID-Karten
Daher soll als zweiter Faktor (neben dem was ich weiß User/Passwort) die Apple Hardware dienen (etwas, was mir gehört). Für den Fall einer Wiederherstellung des Kontos wird sogar eine enge Verknüpfung mit einer Mobilfunknummer erstellt bzw. vorausgesetzt (i. d. R. die des iPhones - kann aber auch jedes andere Handy sein). Hierdurch wird für ein Zurücksetzen des Kontos kein Wiederherstellungsschlüssel benötigt (wie bei der 2SA). Melde ich mich mit meiner Hardware an meinem iCloud-Konto an, muss die Aktion durch einen zusätzlichen 6-stelligen Zahlencode bestätigt werden. Dieser Zahlencode wird nur an den Geräten generiert, die bereits von mir als vertrauenswürdig eingestuft worden sind (iPhone, iPad, iMac, MacBook, …).Es wird mir auch an allen diesen Geräten angezeigt, dass ein Zugriff erfolgt. Einige betrachten dies als Nachteil und würden lieber ein Zielgerät bestimmen (wie bei der 2SA). Ich betrachte dies als Vorteil, weil ich in jedem Fall mitbekomme, dass ein Zugriff auf mein Konto erfolgt. Einen weiteren Vorteil sehe ich darin, dass offenbar der Bestätigungscode auf meiner vertrauenswürdigen Hardware erzeugt wird (So kann ich bspw. einen Bestätigungscode über einen Menüpunkt am Mac oder iPhone anfordern).Somit kann dieser auch nicht wie bei der 2SA theoretisch von einem Dritten abgefangen werden. Somit wäre bspw. das iPhone schon so etwas wie ein RSA-Token (naja - fast )Ich lasse mich hier aber gerne auch bei der technischen Umsetzung eines besseren Belehren
Wann wird die Abfrage nach einem zusätzlichen Code aktiviert:
- Immer dann, wenn ich mich mit meiner Apple-ID anmelde (bspw. um Einstellungen an meinen Konto vorzunehmen)
- Immer dann, wenn ich mich in der iCloud anmelde (www.icloud.de). Hier besteht aber die Möglichkeit, bei einem Einstieg über den Browser diesen als vertrauenswürdig zu kennzeichnen. Es erfolgt bei nächsten Anmeldung dann keine Abfrage.
Hierzu mal meine ganz persönliche Meinung:
- Zunächst sollte jeder als ersten Schritt die Touch-ID und somit auch einen (bis zu 6-stelligen) Zahlencode für die Freigabe einstellen. Diese Hürde muss der Dieb dann erstmal überwinden.
- Als nächstes muss der Dieb deinen User und dein Passwort kennen. Auch diese Hürde muss erstmal genommen werden.
Zusätzlich sollte aber zur eigenen Handnummer noch eine weitere vertrauenswürdige Nummer bei der Aktivierung der 2FA oder auch 2SA angegeben werden. Sollte doch einmal das Handy gestohlen werden oder die Sim-Karte gesperrt sein, kann das Konto auch über die zweite Nummer gfs. entsperrt werden.
Fazit:
Für mich stellt die 2FA die bisher sicherste Methode dar, mein iCloud-Konto vor unberechtigten Zugriff zu schützen.
Wer dazu nicht in der Lage ist sollte mindestens die 2SA aktivieren.
… und zu guter letzt - die 100% Sicherheit gibt es nicht. Man sollte es den Hackern aber auch nicht zu einfach machen.
Gruß
Spiderrmac
- Registriert
- 07.01.16
- Beiträge
- 184
@@SpiderMac:
Vielen Dank für die ausführliche Beschreibung.
Was die Sicherheit im Zusammenhang mit geklauten/verlorenen vertrauenswürdigen Geräten angeht: Sowohl bei der 2FA als auch bei der 2SA sollte man das betroffene Gerät zunächst aus der Liste der vertrauenswürdigen Geräte entfernen. Das funktioniert ja bei beidem auch ohne das entsprechende Gerät (entweder über die hinterlegte Nummer oder über den Wiederherstellungsschlüssel). Damit ist dann auch die Sicherheit des iCloud-Accounts auf jeden Fall gewahrt.
Eines ist jedoch nicht ganz logisch. Du schreibst, dass die 6-stellige PIN bei der 2FA auf dem Gerät erzeugt wird und deswegen nicht abgegriffen werden kann. Da die PIN aber doch auf allen vertrauenswürdigen Geräten landet, muss diese doch auch übertragen werden, sodass diese "Schwachstelle" weiterhin besteht. Oder sehe ich das falsch?
Vielen Dank für die ausführliche Beschreibung.
Was die Sicherheit im Zusammenhang mit geklauten/verlorenen vertrauenswürdigen Geräten angeht: Sowohl bei der 2FA als auch bei der 2SA sollte man das betroffene Gerät zunächst aus der Liste der vertrauenswürdigen Geräte entfernen. Das funktioniert ja bei beidem auch ohne das entsprechende Gerät (entweder über die hinterlegte Nummer oder über den Wiederherstellungsschlüssel). Damit ist dann auch die Sicherheit des iCloud-Accounts auf jeden Fall gewahrt.
Eines ist jedoch nicht ganz logisch. Du schreibst, dass die 6-stellige PIN bei der 2FA auf dem Gerät erzeugt wird und deswegen nicht abgegriffen werden kann. Da die PIN aber doch auf allen vertrauenswürdigen Geräten landet, muss diese doch auch übertragen werden, sodass diese "Schwachstelle" weiterhin besteht. Oder sehe ich das falsch?
SpiderMac
Empire
- Registriert
- 07.12.08
- Beiträge
- 84
Hi Paddy2590,
Das ist ein guter Hinweis!
Versuch mal folgendes:
Ich kann mir nicht vorstellen, dass Apple den Flugmodus übersteuert
Wie das Ganze tatsächlich technisch genau abläuft weiß ich leider nicht - daher lasse ich mich ja auch gerne eines Besseren belehren
Gruß
Spidermac
Das ist ein guter Hinweis!
Versuch mal folgendes:
- Schalte dein iPhone in den Flugmodus (=> keine Verbindung zur Außenwelt!)
- Melde dich an deinem Rechner bspw. über die die Seite www.icloud.de mit deiner Appel-ID an
- Öffne auf dem iPhone "Einstellung ==> iCloud"
- Die Meldung "Accountdetails nicht verfügbar ... erscheint.
- Dort hast du die Möglichkeit einen Bestätigungscode zu erhalten
- Führe die Funktion aus und gibt die generierte Nummer in das Browserfenster ein
- Der Zugriff wird erteilt
Ich kann mir nicht vorstellen, dass Apple den Flugmodus übersteuert
Wie das Ganze tatsächlich technisch genau abläuft weiß ich leider nicht - daher lasse ich mich ja auch gerne eines Besseren belehren
Gruß
Spidermac
- Registriert
- 07.01.16
- Beiträge
- 184
@SpiderMac: Das stimmt schon, trotzdem muss das Gerät, auf dem ich mich einlogge, irgendwie wissen, welcher Code der richtige ist. Wie auch immer Apple das im Flugmodus anstellt, irgendwie muss diese Information an Apple bzw. das andere Gerät übertragen werden...
raven
Golden Noble
- Registriert
- 12.05.12
- Beiträge
- 19.237
Jop kenne ich aus dem Bunker. Galt immer für 6 Minuten und in der Zeit musste mam eingeloggt sein.
@SpiderMac Gute Anleitungen danke dafür. Nicht, dass ich im Moment nicht verwirrt wäre.
SpiderMac
Empire
- Registriert
- 07.12.08
- Beiträge
- 84
Naja - wie ich bereits schon gesagt habe. Zu 100% sicher bin ich mir hierbei auch nicht.
Die Möglichkeit, dass ein Code auf dem Apple-Device generiert werden kann besteht auf jeden Fall
https://support.apple.com/de-de/HT204974
Offenbar wird in den anderen Fällen (von Apple) ein Code gesendet. Das Abgreifen würde aus meiner Sicht aber nur bei SMS-Variante relevant sein.
Bei einer normalen Apple-Mitteilung ist die Wahrscheinlichkeit wohl geringer (aber vielleicht nicht gänzlich auszuschließen).
Aber wie ich schon sagte - eine 100% Sicherheit gibt es nicht und die 2FA stellt für mich die derzeit beste/sicherste Möglichkeit dar.
Die Möglichkeit, dass ein Code auf dem Apple-Device generiert werden kann besteht auf jeden Fall
https://support.apple.com/de-de/HT204974
Offenbar wird in den anderen Fällen (von Apple) ein Code gesendet. Das Abgreifen würde aus meiner Sicht aber nur bei SMS-Variante relevant sein.
Bei einer normalen Apple-Mitteilung ist die Wahrscheinlichkeit wohl geringer (aber vielleicht nicht gänzlich auszuschließen).
Aber wie ich schon sagte - eine 100% Sicherheit gibt es nicht und die 2FA stellt für mich die derzeit beste/sicherste Möglichkeit dar.
SpiderMac
Empire
- Registriert
- 07.12.08
- Beiträge
- 84
... Nicht, dass ich im Moment nicht verwirrt wäre.
Ich wollte eigentlich entwirren statt verwirren
raven
Golden Noble
- Registriert
- 12.05.12
- Beiträge
- 19.237
Du hast mich nicht vewirrt. Das liegt schon an Apple und mirIch wollte eigentlich entwirren statt verwirren
Frischluft
Oberdiecks Taubenapfel
- Registriert
- 27.12.14
- Beiträge
- 2.716
Ich habe die ZFA aktiviert.
Warum muss ich....
Wenn man laut Apple Support-Dokument man dies nicht muss?
Warum muss ich....
Wenn man laut Apple Support-Dokument man dies nicht muss?
https://support.apple.com/de-de/HT204152
Habe aktuell eine Watch zum testen und musste dieses Verfahren aktivieren, damit ich mit meiner Watch mein Macbook entsperren kann. Leider hat es nicht so funktioniert, wie ich wollte. Teilweise wurde die Watch in den Systemeinstellungen nicht erkannt etc. Dementsprechend habe ich die Authentifizierung über die Systemeinstellungen wieder deaktiviert.
Jetzt kann ich diese bei meinem Macbook nicht mehr aktivieren, weil ich folgenden Fehler bekomme (Anhang Bild)
Gibt es ein Limit, wie oft ich von einem Gerät diese Funktion aktivieren und deaktivieren kann? Ich habe es nämlich testweise auf meinem iPhone probiert und da konnte ich das Ganze wieder aktivieren, nur auf meinem Macbook nicht.
Jemand ähnliche Erfahrung gemacht?
Jetzt kann ich diese bei meinem Macbook nicht mehr aktivieren, weil ich folgenden Fehler bekomme (Anhang Bild)
Gibt es ein Limit, wie oft ich von einem Gerät diese Funktion aktivieren und deaktivieren kann? Ich habe es nämlich testweise auf meinem iPhone probiert und da konnte ich das Ganze wieder aktivieren, nur auf meinem Macbook nicht.
Jemand ähnliche Erfahrung gemacht?
Anhänge
2003-2025 Apfeltalk | Made on a Mac