Entwickler-Accounts: 2FA wird Pflicht

[Jan Gruber]

Entwickler-Accounts: 2FA wird Pflicht

Gestern hatten wir die 2FA noch als Thema, ein Nutzer klagt Apple wegen "Zeitverschwendung". Nichtsdestotrotz zieht Apple hier jetzt noch einmal an - und fordert die erhöhte Sicherheit auch für Entwickler-Accounts ein.

Darüber hat der Konzern seine Nutzer gestern Abend via E-Mail informiert, ungeachtet dessen, ob 2FA auf dem Account bereits aktiv ist oder nicht. Bis Ende Februar bleibt den Account-Inhabern Zeit, die 2-Faktor-Authentifizierung auch hier zu aktivieren.

2FA für alle


Generell erhöht Apple den Druck auf alle Nutzer erheblich, ihre Geräte entsprechend abzusichern. Bei der 2-Faktor-Authentifizierung wird zusätzlich zu dem üblichen Passwort noch ein zweiter Code angefordert, dieser wird auf einem (idealerweise anderen) Apple-Gerät im selben Account angezeigt. Im Zweifel greift Apple auch auf eine (unsichere) SMS zurück.

Via MacRumors

 

[wolfgang]

wobei mir die 2FA sehr suspekt ist nachdem mir der code an den SELBEN rechner geschickt wurde
und das nicht das erste mal !

was soll das????

 

[giesbert]

wobei mir die 2FA sehr suspekt ist nachdem mir der code an den SELBEN rechner geschickt wurde

was soll das????

Die 2FA soll verhindern, dass ein entfernter Angreifer, der deine Zugangsdaten in die Finger bekommen hat, sich mit deinem Account anmelden kann. Ein lokaler Angreifer, der sich von einem von dir autorisiertem Geräten (dein Mac, dein iPhone …) anmeldet, wird damit natürlich nicht abgewehrt, das ist auch nicht der Sinn und Zweck von 2FA. Vor dem schützt dich dann der Zugangscode zu deinem autorisiertem Gerät. Anders gesagt: Ein Angreifer, der dein entsperrtes iPhone in die Finger bekommt, wird von 2FA nicht aufgehalten - er hält ja ein autorisiertes Gerät (also den zweiten Faktor) gebrauchsfertig in Händen. Ein Angreifer, der sich von irgendwo in der Welt in deinen Account hacken will, hat allerdings keine Chance, selbst wenn er deine Zugangsdaten kennt.

 

[giesbert]

Lästig ist nur, dass man via macOS 2FA nur über die iCloud-Einstellungen ändern kann - meine Entwickler-ID und meine iCloud-ID sind allerdings nicht identisch. Also muss ich mich jetzt zuerst von iCloud abmelden, mich mit meiner Entwickler-ID anmelden, 2FA aktiviern, wieder abmelden und erneut mit der iCloud-Adresse anmelden. Blöd. Da überleg ich mir, ob ich meine Entwickler-ID nicht einfach cancel - ich hab die eh nur, um frühzeitig an die Betas zu kommen, was seit der Einführung der public betas nicht mehr so wichtig ist. Die Idee, dass ich irgendwann mal Zeit finde, selbst für iOS/macOS zu entwicklen, hat sich eh als illusorisch erwiesen.

 

[wolfgang]

es ging dabei allerdings um ein neues erst zu autorisierendes gerät
heisst, apple kannte diesen rechner nicht, da die anmeldung zu icloud
beim starten übersprungen wurde.
dieser dialog entstand auf der webseite beim einloggen in appleid.apple.com
und dort wurde der code an das unbekannte gerät geschickt.
genau das sollte eigentlich nicht passieren!

 

[ottomane]

Dieser Dialog ist ein Dialog der Website? Das wäre mir neu.

Dagegen spricht auch, dass er in deinem Screenshot in verschiedenen Sprachen dargestellt wird. Oder bei mir im Darkmode.

Ich kann sogar Safari beenden und der Dialog bleibt. Also kannte Apple den Rechner doch irgendwie. Das die Website den Dialog generiert, ergibt ja letztlich auch überhaupt keinen Sinn.

 

[Martin Wendel]

dieser dialog entstand auf der webseite beim einloggen in appleid.apple.com
und dort wurde der code an das unbekannte gerät geschickt.

Sorry, aber das ist so nicht möglich. Du irrst dich.

 

[ottomane]

Ich zücke mal ein Gespenst: @wolfgang war möglicherweise auf einer Phishing-Site, die ihn den Dialog vorgaukelt, damit er denkt, er sei bei Apple.

OK OK, wird schon nicht so gewesen sein. Der Rechner war Apple bekannt. Wie auch immer.

 

[wolfgang]

Sorry, aber das ist so nicht möglich. Du irrst dich.

ich mach jetzt seit 1992 apple-support und ich kann dir bestätigen
das dies genau wie beschrieben abgelaufen ist.

dabei handelte es sich um ein nagelneues 13er air mit mojave 10.14.2
und das einloggen auf der webseite war notwendig um die notfalls email
für den kunden zu ändern da die mailadresse die als appleID verwendet
wird nicht mehr existent ist.

 

[ottomane]

Wie soll das denn funktionieren? Die Kommunikation für den Code läuft doch über iCloud.

 

[XS°XR]

Apple will uns doch nur zu mehr Sicherheit zwingen.

Zwang geht bei mir aber absolut nicht. Völlig egal wie gut es jemand meint. Es gibt nur einen, der entscheidet, ob ich mein System mit der höchsten Sicherheitsstufe nutzen will. Und das bin ich allein.

Ich habe Apple auch eine Nachricht geschickt, dass ich mit dieser Zwangsmaßnahme nicht einverstanden bin. Bin mal gespannt, ob Apple sich meldet.

 

[Martin Wendel]

ich mach jetzt seit 1992 apple-support und ich kann dir bestätigen
das dies genau wie beschrieben abgelaufen ist.

In irgendeiner Form muss der Rechner bereits mit dem Apple-Account verknüpft gewesen sein, vielleicht läuft es ja auch über Handoff oder ähnliches. Woher soll Apple denn sonst wissen, auf welches Gerät der Code geschickt werden soll?

 

[wolfgang]

In irgendeiner Form muss der Rechner bereits mit dem Apple-Account verknüpft gewesen sein, vielleicht läuft es ja auch über Handoff oder ähnliches. Woher soll Apple denn sonst wissen, auf welches Gerät der Code geschickt werden soll?

genau das ist der springende punkt
das air war noch nie in der cloud eingeloggt zu dem zeitpunkt

 

[Martin Wendel]

Wie gesagt: Irgendeine Form der Verbindung muss bestanden haben, sonst kann ja kein Code zugestellt werden.

 

[Benutzer 176034]

Ein Brandloch im Teppich wird auch nicht unsichtbar, wenn ich mir sicher bin, dass ich ihn nicht produziert habe - dann war es eben jemand anderes...
Wenn es niemals nie irgendwo eine Verbindung gab, ist eine Code-Übermittlung mit einer Sicherheit ausgeschlossen, die so sicher ist, wie dass nach dem Tag die Nacht kommt.
Ein Postbote stellt mir auch keine Post zu, wenn meine Adresse nicht auf dem Umschlag steht - unmöglich!

 

[Maytek]

es ging dabei allerdings um ein neues erst zu autorisierendes gerät
heisst, apple kannte diesen rechner nicht, da die anmeldung zu icloud
beim starten übersprungen wurde.
dieser dialog entstand auf der webseite beim einloggen in appleid.apple.com
und dort wurde der code an das unbekannte gerät geschickt.
genau das sollte eigentlich nicht passieren!

Gerät kann ja auch mit der Apple ID verbunden sein ohne gleichzeitig mit iCloud verbunden zu sein oder wurde das auch übersprungen? (oder ist iCloud für die 2FA zwingend erforderlich?)

 

[wolfgang]

die appleID des kunden habe ich zum ersten mal an dem neuen rechner in safari eingegeben
ausgepackt > icloud anmeldung übersprungen > safari

und nein, der kunde hatte vorher keinen mac und es wurde auch
nichts von einem anderen gerät übertragen.
ledeglich ein iphone war bisher vorhanden.
(an dem der code NICHT ankam)

auskunft vom telefonischen apple support in cork bisher:

"natürlich wird der code an das selbe gerät geschickt, wenn der kunde nur
ein apple gerät hat - und wo sollen wir das dann hinschicken?"

berechtigte frage, aber wie das ohne icloud-anmeldung sein kann
konnten sie mir auch nicht sagen und haben das an apple USA weitergeleitet

 

[ottomane]

Sehr merkwürdig. Aber ich kann mir nicht vorstellen, wie ein Browser (und es könnte ja jeder Browser sein) auf entfernte Anfrage (!) ein Systemfenster mit einer Geheimzahl öffnen kann. Das ist schon architektonisch krank.

 

[dg2rbf]

Sehr seltsamer Vorgang, sowas habe ich auch noch nirgends im Inet gelesen(Suchmaschinen).

Gruß Franz

 

[Marcel Bresink]

Ist dieses Gerät über die Apple-ID des Kunden bei einem Apple Store oder im Apple Internet Store bestellt worden?