Magazin Kritik über lückenhafte Umsetzung der Zwei-Faktor-Bestätigung

[Philipp Schwinn]

Die Einführung der Zwei-Faktor-Authentifizierung für die eigene Apple-ID erschwert den Missbrauch des eigenen Accounts, sofern man diese Maßnahme eingerichtet hat. So schützt der zusätzlich erforderliche Code die Verwaltung der Apple-ID, die Neueinrichtung der iCloud auf einem neuen Gerät und neuerdings auch den Zugang unter iCloud.com – als Reaktion auf die entwendeten Promi-Fotos.[prbreak][/prbreak]

​

Doch wie Dani Grant in ihrem Blog berichtet, bleiben trotzdem einige Apple-Dienste ohne zweiten Faktor zugänglich. Angreifer kommen so einfacher an Daten und Informationen, wie Teile der Kreditkartennummer, Telefonnummer oder private Nachrichten. In solchen Fällen reicht die Apple-ID und das Kennwort aus, um Zugang zu erhalten. So ist der Account unter apple.com – bspw. im Apple Online Store – sowie der iTunes Account direkt zugänglich. Außerdem erfolgt die Anmeldung zu FaceTime oder iMessage ohne zweiten Faktor. Auch der Mac App Store fragt beim Login nicht nach einer weiteren Authentifizierung.

Gänzlich ungeschützt ist man dennoch nicht. Denn weiterhin informiert Apple sofort per Email über eine noch nicht bekannte Anmeldung oder einen unbekannten Kaufvorgang in einem der Stores. Dani Grant will diese Mail allerdings nur bei der FaceTime-Anmeldung erhalten haben, es ist allerdings unklar warum. Aus eigener Erfahrung können wir zumindest berichten, dass die Hinweise zuverlässig ankommen.

Völlig unberechtigt ist die Kritik nicht, auch wenn Apple auf der eigenen Support-Seite für den Dienst explizit auflistet, welche Dienste geschützt werden. Zumindest dürften einige Nutzer davon ausgehen, dass der zweite Faktor an allen möglichen Anmeldepunkten greift.

via medium (Dani Grant)

 

[Frischluft]

Finde ich auch gut so.

Wenn daran denke, dass ich jedesmal beim Anmelden in iTunes oder dem AppStore auch eine Authentifizierung durchführen muss, graut es mir jetzt schon davor.

Und da diese AppleMails zuverlässig und häufig verschickt werden, reicht das auch vollkommen.


Sent from my iPhone 6

 

[Martin Wendel]

Der zweite Faktor ist (auf Wunsch) nur notwendig, wenn man sich von einem neuen Gerät aus bei den Apple-Diensten anmeldet. Die Komforteinbußen sind dann minimal. Trotzdem kann sich jemand, der auf irgendeine Art und Weise an das Passwort gelangt ist, nicht auf seinem Computer anmelden.

 

[Adelar3x]

Der zweite Faktor ist (auf Wunsch) nur notwendig, wenn man sich von einem neuen Gerät aus bei den Apple-Diensten anmeldet. Die Komforteinbußen sind dann minimal. Trotzdem kann sich jemand, der auf irgendeine Art und Weise an das Passwort gelangt ist, nicht auf seinem Computer anmelden.

Stimmt so leider nicht ganz. Wenn man ein neues Gerät hinzufügt. Ein neues iPhone zB, dann darf auf den bisherigen der Schlüsselbund nicht mehr weiterverwendet werden. Man muss sich wieder neu anmelden. 2-Wege-Authorisierung inkl. Ganz sinnvoll wenn ich meine Autorisierung auf das Handy geschickt bekomme das ich gerade authorisieren möchte... Auf jeden Fall musste ich daraufhin letztens auch beim ATV für einen Kauf eine Authorisierung eingeben. Nur funktionierte der Dienst zum Versand der Authorisierung gerade nicht. Ärgerlich sowas.

 

[naich]

In solchen Fällen reicht die Apple-ID und das Kennwort aus, um Zugang zu erhalten. So ist der Account unter apple.com – bspw. im Apple Online Store – sowie der iTunes Account direkt zugänglich.

Und es wurde wirklich untersucht, dass dies immer - und nicht nur möglich ist, nachdem der Mac schon mal mit dem Gerät "gekoppelt" wurde mit der 2 Faktor Aktualisierung?