Apple-ID stehlen, etwas Sicherheit?

[Misto]

Muss man nicht bei Änderungen an der Apple-ID sein bisheriges Kennwort für die Apple-ID eingeben?

Das ist ja genau das Problem. Apple verlangt da entweder das Apple-ID-Passwort oder die Geräte-PIN.

Die Lösung wäre so einfach: Eine Änderung nur mit Eingabe des aktuellen Apple-ID-Passworts zulassen. So wie das eigentlich überall Standard ist.

Passwort der Apple-ID ändern

Gehe wie folgt vor, um das Passwort deiner Apple-ID zu ändern.

support.apple.com

 

[Wuchtbrumme]

Muss man nicht bei Änderungen an der Apple-ID sein bisheriges Kennwort für die Apple-ID eingeben?

nein, das ist ja die Krux

 

[saw]

Okay, dann ist es selten dämlich umgesetzt von Apple.
"Gefühlt" überall wo ich mein Kennwort ändern will, muss ich mein altes Kennwort vorher eingeben.

 

[Wuchtbrumme]

Okay, dann ist es selten dämlich umgesetzt von Apple.
"Gefühlt" überall wo ich mein Kennwort ändern will, muss ich mein altes Kennwort vorher eingeben.

das stimmt. Ich glaube auch, dass dieses Gerätekennwort eigentlich nur den Status eines weiteren Faktors haben sollte. Hat es aber nicht.

 

[AndaleR]

Ich habe das YT-Video damals gesehen, dann gab es hier bei AT den Artikel drüber.

Kurz dachte ich: Was ist das denn schon wieder? Dann wurde mir aber relativ schnell klar: Ja, das ist eigentlich alles recht logisch und es ist fast ein Wunder, dass es das noch nicht vorher an die Öffentlichkeit geschafft hatte?

Nach kurzem gab es dann den Tipp, das mit Bildschirmzeit - Beschränkungen abzusichern.
Hatte das mal getestet - jetzt komme ich aber z.B. mit diesem aktivem Modus nicht mehr in meine Einstellungen, ohne das vorher in Bildschirmzeit wieder zu deaktivieren.

Aber eigentlich: Ich muss ja nicht täglich dort etwas ändern. Merkwürdig finde ich, dass aber z.B. auch der Bereich Facetime in den Einstellungen ausgegraut ist?

 

[Joh1]

Hinsichtlich der Banking-Apps ist es ja so, dass die entweder nur mit Face ID oder Touch ID oder oben nach Eingabe einer speziellen ID und der zugehörigen PIN, die nichts mit dem Passwort oder der PIN des iPhones zu tun hat, freigeschaltet werden können. Auch viele andere Apps handhaben das so. Daher würde ich, wann immer es die App ermöglicht, den Zugang zur App zusätzlich mit Face ID absichern.

Jede App die mit FaceID gesichert ist kann doch aber mit dem Gerätepasswort entsperrt werden da ich mit dem Passwort FaceID ändern kann 🤔

 

[BenSisko]

Jede App die mit FaceID gesichert ist kann doch aber mit dem Gerätepasswort entsperrt werden da ich mit dem Passwort FaceID ändern kann

Wenn du dein FaceID änderst, musst du diese Apps erst wieder mit Passwort entsperren und die FaceID Nutzung für die App neu aktivieren.

 

[Wuchtbrumme]

Wenn du dein FaceID änderst, musst du diese Apps erst wieder mit Passwort entsperren und die FaceID Nutzung für die App neu aktivieren.

(Update: Der Poster meinte das anders; 'tschuldigung @BenSisko, lasse meinen Müll in diesem Post da für Kontext der Antwort.)
Du hast das Problem nicht verstanden. Der ganze Schmuh ist nur deshalb, weil es möglich ist, mit dem Gerätepasswort die Apple-ID zu übernehmen.

Die App ist da völlig egal.

 

[MacTobsen]

BenSisko bezieht sich auf z.B. Banking Apps, die mit FaceID zu öffnen sind oder sowas wie 1Password. Wie im Beispiel von Joh1 nicht ganz richtig angeführt und das korrigiert er mit seiner Aussage.

Die Apps bleiben verschlossen, da bei einer Änderung von FaceID die App wieder das App-Passwort will und das hat nichts mit dem AppleID Passwort zu tun und den genannten Schwachstellen, die es da gibt.

 

[Joh1]

Wenn du dein FaceID änderst, musst du diese Apps erst wieder mit Passwort entsperren und die FaceID Nutzung für die App neu aktivieren.

Das stimmt.
Wenn man den iCloud Schlüsselbund aktiviert hat kommt man dadurch an das Passwort oder?

 

[SomeUser]

Das gesamte digitale Leben, mit allen Zugriffsmöglichkeiten, auf einem Gerät zu konzentrieren ist eine potenzielle Gefahr?
Passwörter und PINs können ausgespäht oder gar erpresst werden?

Ich glaube, da ist jemand etwas ganz heißem auf der Spur.

Das einzige, was an dem gesamten Thema überraschend ist, ist wie naiv da offensichtlich viele Leute mit sensiblen Daten umgehen.

Erwarten Sie morgen in unserer Reihe "Dinge, die sie kaum glauben werden": Wasser macht nass.

 

[landplage]

Wenn man unbedingt in der übervollen Straßenbahn sein iPhone entsperren will, um vertrauliche dienstliche Informationen weiterzugeben, hilft vielleicht als Brechstangen-Methode so etwas:

Belkin UltraGlass Privacy Blickschutzfolie für iPhone 12 | 12 Pro

Belkin UltraGlass Privacy mit Technologie made in Germany gibt dir Displayschutz der nächsten Generation für dein iPhone. Schütze, was dir am wichtigsten ist, mit UltraGlass Privacy. Mit fortschrittlicher Filtertechnik für Sichtschutz von beiden Seiten und hervorragenden Displayschutz. Im...

www.apple.com

Ich kenne bei mir keinen Fall, der ein sofortiges Lostippen oder gar Geldgeschäfte unter so ungünstigen Umständen erfordern würde. Gegenbebenfalls steige ich an der nächsten Haltestelle aus, wenn es wirklich um Leben und Tod geht. Alles andere kann warten, bis ich wieder in einer ruhigen Umgebung mit ausreichender Privatshäre bin.

 

[Odin.666]

Diesen Preis ist mir eigentlich nichts wert.

 

[Joh1]

Wenn man unbedingt in der übervollen Straßenbahn sein iPhone entsperren will, um vertrauliche dienstliche Informationen weiterzugeben, hilft vielleicht als Brechstangen-Methode so etwas:

Ich kenne bei mir keinen Fall, der ein sofortiges Lostippen oder gar Geldgeschäfte unter so ungünstigen Umständen erfordern würde.

Du tust jetzt so als wäre das entsperren eines Smartphones in einer Bahn etwas total seltsames jetzt bin ich doch etwas verwirrt?

 

[Wuchtbrumme]

Wasser macht nass.

niemand erwartet, beim Waschen nicht nass zu werden. Das Problem ist, dass ein Eimer kalten Eiswassers über einem aufgehängt ist, der aktiviert wird, obwohl man "nur" ein Passwort eingibt, das mit dem zu schützenden Account eigentlich nichts zu tun hat und das auch immer wieder abgefragt wird.
Ich könnte Dir uneingeschränkt Recht geben, wenn zur Übernahme der Apple-ID die Eingabe des Apple-ID-Passwortes nötig wäre. Das ist es aber überraschenderweise nicht.

 

[landplage]

Du tust jetzt so als wäre das entsperren eines Smartphones in einer Bahn etwas total seltsames jetzt bin ich doch etwas verwirrt?

Entweder ich mache das per Touch-ID oder ich lasse es sein, weil ich dazu beide Hände benötige und ich das im Stehen bei voller Kurvenfahrt nicht vollführe. Dann bleibt das Display eben dunkel. Anrufe kann ich annehmen, ohne den Code einzugeben. Alles andere kann warten, wie gesagt. Unsere Bahnen haben Fenster…

Wer das für eine absolute Notwendigkeit hält, muß eben mit dem Risiko leben.

 

[O-bake]

In U-Bahnen und S-Bahnen hat man regelmäßig die Chance anderen Leuten beim Eingeben von Codes zuzusehen.

Irgendwie wird hier (und gerade auch in anderen IT-Portalen) versucht ein Probem zu kreieren. Aus dem exemplarisch zitierten Satz wird eine unlogische Schlussfolgerung gezogen:

Wieso wird denn meine Sicherheit gefährdet, wenn man andere Leute dabei beaobachten kann, wie sie ihren Code eingeben?
Andere Leute wählen als Passwort auch "12345".
Andere Leute kleben ihr Passwort auf einer Post-It an den Monitor.
Andere Leute machen eh viele dumme Sachen.
Dadurch wird jetzt aber nicht meine Sicherheit gefährdet, sondern eben die der anderen.

Einfach niemanden beim Eingeben des Codes zugucken lassen und... Puff - Problem existiert nicht mehr.
Wie bei EC/Kreditkarten (wurde ja auch schon erwähnt). Wenn man dort jemanden seinen PIN zeigt, und dann die Karte geklaut wird, kann man schon ziemlich viel Geld verlieren. Deswegen zeige ich auch niemanden meinen PIN. Ich habe aber noch nie gehört, dass deswegen jemand deswegen dem Geldinstitut die Schuld geben wollte.

 

[doc_holleday]

Mir ging es um die Beschreibung eines Szenarios.

 

[saw]

Warum muss das Kennwort der Apple-ID:

mindestens aus acht Zeichen, einschließlich Groß- und Kleinbuchstaben und mindestens einer Zahl bestehen.

Wenn ich das Kennwort dann problemlos mit einem 4 bzw. 6stelligen Code nur aus Zahlen umgehen kann?

 

[Benutzer 176034]

Das Passwort der Apple-ID bleibt ja bestehen und wird auch weiterhin zur Eingabe erwartet bei Käufen zum Beispiel.
Bei Face-ID-tauglichen Geräten erledigt das eigene Gesicht die Passworteingabe. Das wissen wir.
Ist aber ein Unberechtigter über die 6-stellige Code-Eingabe direkt am iPhone in mein Gerät gelangt, so gibt es praktisch keine Geheimnisse mehr, weil spätestens über Einstellungen-Passwörter sämtliche Passwörter sichtbar gemacht werden können. So auch das der Apple-ID.

Allerdings muß jemand, der in mein Gerät möchte, dieses Gerät auch erst einmal haben…
Da ginge es schon los.