Apple-ID stehlen, etwas Sicherheit?

[Wuchtbrumme]

Hallo,
Apple scheint ja konzeptuell ziemlich gepfuscht zu haben und es ist noch nicht angekommen: Passwörter sollen möglichst bequem eingegeben werden können, aber wer das Gerätepasswort kennt, kann auch alles andere übernehmen, inklusive der gesamten digitalen Identität und aller Apple-Geräte und der Accounts.

Natürlich kann ich nicht Apples Pfusch kompensieren, aber kann ich nicht eine Passwortabfrage vor die Code-Änderung setzen? Bspw. über Bildschirmzeit? (Und ich hoffe mal, dass das nicht weiter so ein zahnloser Tiger ist...)

Ich meine, da mal eine Anleitung gesehen zu haben aber mit einschlägigen Suchbegriffen braucht man nicht denken, dass man auch Resultate erhält...

Danke!

 

[_macminimal]

Nutzt du mobil keine Touch/Face-ID?

 

[Wuchtbrumme]

doch, klar. Aber von Zeit zu Zeit muss man sein Gerätekennwort eingeben und kann dabei beobachtet werden. Es gab doch einen Artikel des Wall Street Journal (korrigiert, hier stand fälschlicherweise ursprünglich "Washington Post"), dass es gerade Mode sei, dass iPhone-Besitzer im Team ausgespäht und ausgeraubt werden; hat man das Gerätekennwort, kann man auch die Apple-ID übernehmen.

 

[_macminimal]

Ok, davon habe ich gelesen. Ich nutze in der Öffentlichkeit nur TouchID. Sollte diese nicht funktionieren ist das so "außergewöhnlich" das ich bzgl des beschriebenen Ausspähen sensibilisiert bin. Und was schlägst du vor um Geräte mit ausgespähter Code-Eingabe zu schützen? Da fiele mir nur ein weiterer anderer Code vor relevanten Zugängen (zB Schlüsselbund) ein.

 

[Hundoggo]

Soweit ich weiß, kann man kein zusätzliches Passwort davor setzen.

Ich frage mich ja, wie wahrscheinlich dieses Szenario ist. Handys werden geraubt, das steht außer Frage.
Aber dass da jemand im Vorfeld ein Passwort ausspäht? Da müssen ja auch so viele äußere Parameter zutreffen und man selbst so grob fahrlässig handeln, dass das für mich mehr nach Panikmache klingt (wenngleich ich den Artikel nicht kenne).

Wenn ich schon einen ausraube, dann kann ich ihn auch direkt mit Hilfe eines Meinungsverstärkers um die Herausgabe des Passwortes „bitten“ 😂

 

[hotrs]

Hier mal zwei Aritkel zum Thema Absicherung:

„Bildschirmzeit“ als Schutz vor Apple-ID-Diebstahl

Im Zusammenhang mit unserem Bericht über die Account-Übernahme im Anschluss an iPhone-Diebstähle wollen wir noch auf die Möglichkeit hinweisen, dergleichen mithilfe der Apple-Funktion „Bildschirmzeit“ vorzubeugen. Der Tipp stammt aus den Kommentaren zum Video des Wall Street Journal und...

www.iphone-ticker.de

Apple-ID nach PIN-Klau besser absichern: Bildschirmzeit hilft – so geht's

Mit der Funktion Bildschirmzeit kann man seine Apple-ID auf dem iPhone besser absichern. Apple macht das Nutzern allerdings nicht ganz leicht.

www.heise.de

 

[doc_holleday]

Da müssen ja auch so viele äußere Parameter zutreffen

In U-Bahnen und S-Bahnen hat man regelmäßig die Chance anderen Leuten beim Eingeben von Codes zuzusehen. Dann beim Ausgehen einmal anrempeln, zugreifen und schon ist das Smartphone weg und der passende Zugang bekannt.

Taschendiebstahl funktioniert wohl schon, wenn man das hinreichend geübt hat.

Ich empfinde das Szenario entsprechend schon als ziemlich realitätsnah.

 

[Wuchtbrumme]

das mit dem Passwort ausspähen ist gar nicht so unwahrscheinlich, allerdings würde ich sagen steigt die Wahrscheinlichkeit dafür bei touristischen Hochburgen. Was macht man denn, wenn man das Gerätepasswort eingeben muss, um TouchID/FaceID zu aktivieren? Man gibt es ein. Danach ist ja Ruhe.

Nur: wenn Gerät und Gerätepasswort in falsche Hände fallen, kann auch die Apple-ID übernommen werden. Ganz zu schweigen von dem Logikfehler in Apples Implementation, biometrische Verschlüsselung quasi nur zur Freischaltung des Passwortes zu verwenden. Damit kann man statt der Biometrie auch ein Passwort benutzen und zum Beispiel die Online-Banking-App komplett um belastendes Geld erleichtern.

 

[hotrs]

Nur: wenn Gerät und Gerätepasswort in falsche Hände fallen, kann auch die Apple-ID übernommen werden. Ganz zu schweigen von dem Logikfehler in Apples Implementation, biometrische Verschlüsselung quasi nur zur Freischaltung des Passwortes zu verwenden. Damit kann man statt der Biometrie auch ein Passwort benutzen und zum Beispiel die Online-Banking-App komplett um belastendes Geld erleichtern.

Das kam auch in den Diskussionen der beiden von mir genannten Artikel auf und stimmt so nicht. Ich kann meine Banking App der ING nicht mit dem Gerätekennwort entsperren, obwohl ich Face-ID nutze. Dafür müsste ich schon die sogenannte mobilePIN der Banking App wissen.

 

[Wuchtbrumme]

Apple-ID nach PIN-Klau besser absichern: Bildschirmzeit hilft – so geht's​

Mit der Funktion Bildschirmzeit kann man seine Apple-ID auf dem iPhone besser absichern. Apple macht das Nutzern allerdings nicht ganz leicht.

www.heise.de

Hallo @hotrs, das war's. Es gibt zwar Anleitungen zuhauf, wie Kinder die Sperre der Bildschirmzeit umgehen können (durch einfaches Vorstellen des Datum...), aber da geht es ja nicht um die Beschränkungen von Code- oder Account-Änderung.

Weiß irgendjemand, ob Apple gedenkt, an diesem Pfusch etwas zu ändern? Die Arroganz und Intransparenz dieses Unternehmens verhindert ja manchmal zeitnahe Reaktionen, obwohl sie objektiv geboten wären.

 

[jumock]

Es gibt dazu einen Artikel auf Youtube... dort wird aktuell über erhöhte Diebstähle berichtet.

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

von daher kann ich sehr gut den TE verstehen bzw. mach auch mir meine Gedanken. Meines Wissens muss das Apple fixen, aber das wird dann wohl nicht in unserer "Entscheidungsgewalt" liegen. Theoretisch "ja" ... man sollte nie in der Öffentlichkeit seinen PIN Code verwenden ... dennoch habe ich mal geschaut und zur Zeit im Test "Keepass". Ist zwar jetzt nicht so komfortabel wie "Passwörter" von Apple, aber man kann zumindest a. auch Keepass "hinterlegen" als Passwortmanager und b. sollte Facetime nicht zur Verfügung stehen, wird nach dem Masterpasswort gefragt.

 

[Wuchtbrumme]

Das kam auch in den Diskussionen der beiden von mir genannten Artikel auf und stimmt so nicht. Ich kann meine Banking App der ING nicht mit dem Gerätekennwort entsperren, obwohl ich Face-ID nutze. Dafür müsste ich schon die sogenannte mobilePIN der Banking App wissen.

das stimmt, ist bei der Dt. Bank auch so (allerdings bleibe ich bei meiner Aussage, dass Apple biometrische Authentifizierung nicht als solche betrachtet, sondern nur den Zugriff auf das "echte" Passwort in der Secure Enclave freischaltet).

Man fragt sich aber dennoch, wieso in dem Zusammenhang auch Kontoplünderungen gemeldet werden? Nur die übliche mediale Panikmache und undifferenzierte Recherche?

 

[MacTobsen]

EDIT- hat sich zeitlich mit den Beiträgen drüber überschnitten.

Man kann über die Bildschirmzeit das ändern der AppleID, des Passworts, etc. auf dem Gerät unterbinden.

Das wird gesperrt mit einer 4-stelligen PIN. Diese sollte man dann natürlich nicht in der Öffentlichkeit eingeben bzw. Muss man das nicht, so wie es bei dem Geräte-Code/Passwort sein kann.

Apple müsste bei der 2-Faktor-Authentifizierung nachbessern, dass der 2. Faktor auch nur auf einem 2. Gerät ankommt (ja ist schwierig, wenn man nur ein iPhone besitzt), wenn es so etwas sensibles wie Passwort ändern oder ähnliches ist.

 

[Wuchtbrumme]

EDIT- hat sich zeitlich mit den Beiträgen drüber überschnitten.

Man kann über die Bildschirmzeit das ändern der AppleID, des Passworts, etc. auf dem Gerät unterbinden.

Das wird gesperrt mit einer 4-stelligen PIN. Diese sollte man dann natürlich nicht in der Öffentlichkeit eingeben bzw. Muss man das nicht, so wie es bei dem Geräte-Code/Passwort sein kann.

Apple müsste bei der 2-Faktor-Authentifizierung nachbessern, dass der 2. Faktor auch nur auf einem 2. Gerät ankommt (ja ist schwierig, wenn man nur ein iPhone besitzt), wenn es so etwas sensibles wie Passwort ändern oder ähnliches ist.

Meiner Meinung nach muss
1. ein Unterschied zwischen biometrisch und Klartextpasswort gemacht werden und
2. das Gerätepasswort nur als 2. oder 3. Faktor für die Änderung der Apple-ID hergenommen werden

Um die notwendigen Änderungen beneide ich Apple nicht, aber wie gesagt, oft erkennt man ja Probleme gar nicht als solche an (wenn ich die Pressemeldung von Apple zu dem Artikel lese kann ich nur das kalte Grausen bekommen: "Sicherheit liegt Apple am Herzen...egal wie selten es passiert...").

 

[Odin.666]

EDIT- hat sich zeitlich mit den Beiträgen drüber überschnitten.

Man kann über die Bildschirmzeit das ändern der AppleID, des Passworts, etc. auf dem Gerät unterbinden.

Das wird gesperrt mit einer 4-stelligen PIN. Diese sollte man dann natürlich nicht in der Öffentlichkeit eingeben bzw. Muss man das nicht, so wie es bei dem Geräte-Code/Passwort sein kann.

Apple müsste bei der 2-Faktor-Authentifizierung nachbessern, dass der 2. Faktor auch nur auf einem 2. Gerät ankommt (ja ist schwierig, wenn man nur ein iPhone besitzt), wenn es so etwas sensibles wie Passwort ändern oder ähnliches ist.

Dafür gibt es Fido2 key also passwortlose Sicherheitschlüssel

Passwort-Nachfolger FIDO2

Das neue Login-Verfahren FIDO2 hat das Zeug, das Passwort abzulösen. In c’t 18/2019 haben wir es ausführlich vorgestellt. Das Thema ist bei unseren Lesern auf großes Interesse gestoßen, und wir haben zahlreiche Rückfragen hierzu erhalten. Diese möchten wir an dieser Stelle gesammelt beantworten.

www.heise.de

 

[m4371n]

Ich halte das ganze für künstlich in den Medien aufgebauscht. Wie immer braucht es eine Abwägung zwischen Sicherheit und Bequemlichkeit. Und der Weg, für den Apple sich da entschieden hat, ist ein vernünftiger Kompromiss. Gepfuscht wurde da überhaupt nicht.

Wie immer bei sicherheitsrelevanten Themen in der Softwarewelt ändern sich Angriffsszenarien mit der Zeit, es gibt neue Methoden, Rechner werden leistungsfähiger, sodass z.B. Passworte schneller geraten werden können, Bugs werden entdeckt, usw. Und Hersteller müssen ihre Geräte und Software anpassen.

Dieses Katz- und Mausspiel wird immer so weitergehen.

 

[Patze]

Wenn jemand bei mir das Passwort abschaut bzw. mich beobachtet muss er viel zeit haben, mein Kennwort ist 16 Stellen lang und bis ich es eingegeben habe dauert es 😂 FIDO2 Key habe ich auch noch für die Apple ID aktiviert. Aber ich denke Apple arbeitet weiter an der Sicherheit sicher. Aber ich gebe den TE schon recht. Mann müsste immer aufpassen wer neben einen steht, besonders in den Städten und in den Bahnen. Hab auch öfters gesehen wie Leute auf die Handys geschaut haben wenn einer ein Passwort eingegeben hat oder etwas geschrieben hat (wenn unabsichtlich, weil sie daneben standen).
Aber Apple könnte es sicher noch sicherer machen, doch dann werden sich wieder einige Beschwerden das es nicht schnell genug geht oder das es nicht Nutzerfreundlich ist. Bei diesen Thema ist es schwer eine goldene Mitte zu finden (Bin in der IT in einem Unternehmen und sehe es nur selbst bei den Geräten und den Benutzern)

 

[dtp]

Ich glaube, die PIN-Eingabe beim Bezahlen mit einer Bankkarte ist da um Längen riskanter. Und trotzdem wird es seit Jahren von vielen so genutzt. Wer sich das Passwort seines iPhones abschauen und es sich dann auch noch klauen lässt, ist aus meiner Sicht selber Schuld. Zudem kann man den Diebstahl auch noch recht gut mit der Apple Watch feststellen, das iPhone tracken und es online sperren.

Hinsichtlich der Banking-Apps ist es ja so, dass die entweder nur mit Face ID oder Touch ID oder oben nach Eingabe einer speziellen ID und der zugehörigen PIN, die nichts mit dem Passwort oder der PIN des iPhones zu tun hat, freigeschaltet werden können. Auch viele andere Apps handhaben das so. Daher würde ich, wann immer es die App ermöglicht, den Zugang zur App zusätzlich mit Face ID absichern.

 

[m4371n]

Aber Apple könnte es sicher noch sicherer machen,

Ja, und bei deutlich mehr als einer Milliarde iPhones wird man da schon sehr gut überlegen, welche Konsequenzen irgendwelche Änderungen haben. Ich erinnere mich noch gut an das “Geschrei“, als Apple anfing 2FA verpflichtend zu machen.😉

Sie könnten unterbinden, das man nicht mehr auf einem entsperrten iPhone nur mit Gerätecode das AppleID-Passwort ändern kann. Aber vielviel zusätzliche Supportfälle verursacht das? Und wenn nicht auf einem entsperrten iPhone, wie setzt man dann ein neues AppleId-Passwort? Nur Webseite? Wie bekommt man das sicher? 2FA bräuchte es da auch. 2FA-Code, der auf dem iPhone angezeigt würde, bringt aber nix. Der Dieb hat ja iPhone + Gerätecode. FIDO2-Key für alle wäre viel zu unbequem und teuer. Nur via Apple-Support? Da hat man wieder das Problem, das der dann zuverlässig rausfinden müsse, das Du anrufst und nicht der Dieb.

Ich würde mich freuen, wenn man bei vorhandenem FIDO2-Sicherheitsschlüssel das AppleID-Password nur mit dem FIDO2-Key als zweiten Faktor ändern könnte und nicht mehr nur mit iPhone und Gerätecode.

 

[saw]

Muss man nicht bei Änderungen an der Apple-ID sein bisheriges Kennwort für die Apple-ID eingeben?