Wegen unsicherer SMS: Zwei-Faktor-Authentifizierung könnte geändert werden

[Mitglied 128076]

Das Thema wurde oft besprochen und am Ende wurde sie meist empfohlen: Die Zwei-Faktor-Authentifizierung. Um eine Übernahme der Apple-ID durch Dritte zu verhindern, sichert diese Einstellung den Account bei der Änderung relevanter Daten mittels einer Code-Abfrage auf einem vertrauenswürdigen Gerät - meist per Push-Mitteilung - ab. Die SMS könnte als weitere Art der Codeübermittlung demnächst wegfallen.

Viele kennen die Prozedur bereits: Bei einer Änderung an den in der ID gespeicherten Daten durch bisher nicht genutzte Geräte oder bei wichtigen Daten, wie zum Beispiel dem Passwort, fragt das System zur Sicherheit die Authentizität des Bearbeiters ab. Dies geschieht über eine Code-Verifizierung. Dieser Code wird auf einem weiteren Apple-Gerät angezeigt, wenn dieses als vertrauenswürdig registriert wurde. Alternativ kann der Code auch als SMS versandt werden. Allerdings ist diese Form der Übermittlung laut Meinung der US-Behörde National Institute of Standards and Technology (NIST) zu unsicher, da der SMS-Dienst durchaus manipulierbar und daher eine Code-Verifizierung sensibler Daten via SMS daher nicht zu empfehlen sei.

Es handelt sich in Ermangelung der fehlenden Gesetzgebungsmacht der NIST zwar lediglich um eine Empfehlung, allerdings wurden in der Vergangenheit von der Industrie durchaus ernst genommen. Dadurch könnte es sein, dass Apple diese Art der Verifizierung aus der Zwei-Faktor-Authentifizierung (ZFA) zukünftig entfernen oder durch eine andere Möglichkeit ersetzen wird.

Generell wird natürlich weiterhin empfohlen, den Apple-Account durch die Zwei-Faktor-Authentifizierung zu schützen. Wer der SMS aufgrund der Empfehlung der US-Behörde nun etwas skeptischer gegenüber steht, sollte daher vielleicht lieber die Push-Mitteilung des Codes bevorzugen und den Dienst via SMS meiden.

via TechCrunsh Bild Screenshot Apple Website


zurück zum Magazin...

 

[u0679]

Wo kann man denn den Unterschied einstellen (SMS oder Code-Verifizierung?) Der Code wird über imessage gesendet, vermutlich ist das Code-Verifizierung?)

 

[Mitglied 128076]

Wo kann man denn den Unterschied einstellen (SMS oder Code-Verifizierung?) Der Code wird über imessage gesendet, vermutlich ist das Code-Verifizierung?)

Also zumindest bei mit (2SA) bietet er (schon beim Einloggen auf AppleID) den Code-Push auf das 6s und iPad an oder eben den Versand per SMS.

 

[seventh]

Danke auch hier für die Info. Wusste ich so nicht. Fand den SMS für solche Zwecke bisher optimal. Ich werde davon vorerst auch nicht abrücken.

Ironie ein
Manche Sachen nerven mich persönlich mächtig. „Panik“mache überall. Angst vor Flüchtlingen, Angst vor Rucksäcken und nun Angst vor SMS
Ironie aus

 

[u0679]

ok, dann läuft es bei mir offenbar über SMs. Die andere Wahlmöglichkeit hab ich bisher nicht.

Edit: Das liegt wohl daran, das ich noch auf der zweistufigen Authentifizierung stehe und nicht auf der zwei Faktor. :rolleyes:

 

[Michael Reimann]

Ich habe mir gestern mal die ZFA aktiviert. Zur Aktivierung kam genau eine SMS. Fortan dann nur noch die Apple eigenen Codeanzeigen. Lustiger Nebeneffekt: Auf dem Gerät wird angezeigt, wo sich das anfragende andere Gerät befindet. Erst wenn man das mit "Erlauben" bestätigt, bekommt man einen sechsstelligen Code zur Eingabe auf dem neuen Gerät.

 

[u0679]

Ich werde heute Abend auch mal umstellen.

 

[_macminimal]

Einrichten der ZFA unter iOS9 >

1. Wählen Sie "Einstellungen" > "iCloud" > tippen Sie auf Ihre Apple-ID.
2. Tippen Sie auf "Passwort & Sicherheit".
3. Tippen Sie auf "Zwei-Faktor-Authentifizierung aktivieren".

edit: ebenso fehlt dieser Punkt unter OSX.

Ich habe die "Zweistufige Authentifizierung" schon länger aktiviert. Den Punkt 3 gibt es am angegebenen Ort bei mir nicht. Wie komme ich da nun ran? Des weiteren erscheint mir Punkt 2 in der Apple-Anleiung unten, nicht gerade eine die Sicherheit verbessernder Hinweis bzw. Anweisung:

Wichtige Hinweise zur Verwendung der Zwei-Faktor-Authentifizierung:

- Merken Sie sich das Passwort für Ihre Apple-ID.
- Richten Sie einen Gerätecode für alle Geräte ein.
- Aktualisieren Sie Ihre verifizierte(n) Telefonnummer(n), wenn sich Änderungen ergeben.
- Bewahren Sie Ihre verifizierten Geräte an einem sicheren Ort auf.

 

[.holger]

Bei mir sind vor kurzem iPhone 6S und die Macs aus den vertrauenswürdigen Geräten verschwunden. Es ist nur noch das iPhone 5c und das iPad drin. Und ich kann sie auch nicht wieder hinzufügen.

 

[elsi]

Haha, und was solllen die ganzen (österreichischen) Banken machen, die Tan-Codes für Überweisungen per SMS zusenden? Und die Handy-Signatur? Auch auf Apple Pushmitteilungen umsteigen?

 

[u0679]

Ich werde heute Abend auch mal umstellen.

Ich habe eben mal über icloud.com geschaut. Wenn ich auf 2 Faktor umstellen möchte, muss ich die "Find my iPhone" Geschichte einrichten. Das erklärt, warum ich das bisher nicht gemacht.

 

[Mitglied 128076]

Haha, und was solllen die ganzen (österreichischen) Banken machen, die Tan-Codes für Überweisungen per SMS zusenden? Und die Handy-Signatur? Auch auf Apple Pushmitteilungen umsteigen?

Die eTan-Diskussion war schon Ende 2014

http://www.golem.de/news/online-banking-und-ss7-hack-sms-tans-sind-unsicher-1412-111360.html

 

[_macminimal]

Einrichten der ZFA unter iOS9 >

1. Wählen Sie "Einstellungen" > "iCloud" > tippen Sie auf Ihre Apple-ID.
2. Tippen Sie auf "Passwort & Sicherheit".
3. Tippen Sie auf "Zwei-Faktor-Authentifizierung aktivieren".

edit: ebenso fehlt dieser Punkt unter OSX.

....

Ich habe diese Einstellung nicht.
Kann mir hierzu jemand was sagen?

Vllt @u0679 ?

 

[u0679]

Den Punkt habe ich unter iOS auch nicht. Bei mir gibt es "zweistufige : ein"
Kann ich aber auch nicht ändern.

Wenn ich mich über iCloud.com einlogge, habe ich dort die Möglichkeit, aber dazu muss zunächst "Mein iPhone finden" aktiviert werden.

 

[Schupunkt]

...dazu muss zunächst "Mein iPhone finden" aktiviert werden.

Was spricht dagegen?


Ohne SMS würde auch gleich die Möglichkeit wegfallen normale Handys oder Android Smartphones zur Verifizierung zu nutzen, ich fände das doof. Bestenfalls sollte der Nutzer SMS in seinem Account zur Verifikation deaktivieren können, wenn er will, das fände ich gut!

 

[u0679]

Was spricht dagegen?

Weiß nicht, muss ich mich mehr mit beschäftigen. Mein Bauch sagt momentan "nein".

 

[Sauron]

Der Bauch sollte nur für Hungergefühle zuständig sein

 

[_macminimal]

@0679 & @all Ich haben "Find my iPhone" schon länger an. Ich finde auch online keine Möglichkeit. Bin ich echt zu doof?

 

[Fresh_Prince]

Ich habe bei der 2FA auch noch meine Festnetznummer mit angegeben. Damit kann ich mich auch anrufen lassen und einen Code diktieren lassen. Finde ich gut. Das mit der SMS hat bisher auch immer gut geklappt, war jedoch kaum nötig. Es war bisher zu 99% ein verifiziertes Gerät vorhanden. In der Zeit in der ich die 2FA habe, hat sie immer tadellos funktioniert.

 

[rootie]

Weiß nicht, muss ich mich mehr mit beschäftigen. Mein Bauch sagt momentan "nein".

Dir ist klar, dass ohne "Find My iPhone" ein jeder Dein geklautes Handy zurücksetzen, aktivieren und auch weiter verkaufen kann?