Welle an Apple-ID-Hacks: Zwei-Faktor-Authentifizierung schützt

[ottomane]

Überleg ... Könnte es nicht eine App geben, die die SMS liest und nach China schickt?

EDIT: Nein, geht unter iOS nicht, nur unter Android.

 

[raven]

Und der Komfort leidet doch sowieso kaum darunter. EINMALIG (!) muss ein Code beim ersten Login auf einem (neuen) Gerät,

Und wie verhält es sich bei den bestehenden Geräten. Also ich habe nichst neues und wollte die 2 Stufen (mehr geht hier z. Z nicht) einrichten? was muss ich für die beiden AppleIDs tun?

Ausser einloggen und es mal versuchen? Die eine Id hat ein Ipad und ein altes Samsung Handy. Und ja es ist alt kein Smartphone ein Handy.

Edit: Einliggen würde ich über safari im Webbrowser.

 

[n3acal]

Erhielt heute auch im Verlaufe des Morgens (oder frühen Nachmittags) eine Meldung, meine Apple ID sei gesperrt worden und ich müsse sie nun auf iforgot reaktivieren. Das habe ich natürlich gemacht - keine Probleme - neues Passwort. Wie kann ich nun überprüfen, ob theoretisch meine Apple ID wirklich gehackt wurde? Oder schliesst sich das durch die Tatsache, dass sie gesperrt wurde, gleich aus?

Oder anders gefragt: Kann ich prinzipiell ausschliessen, dass die in meinen Account gelangt sind und irgendwelche Einkäufe getätigt haben könnten, wenn die Apple ID temporär gesperrt wurde?

 

[echo.park]

@raven
Du machst einfach nix. Du richtest das ein und dann siehst du ja ob eines deiner Geräte was von dir will oder nicht. Aber spätestens wenn du erstmalig was einkaufen möchtest oder dich ausloggst und neu einloggst wird ein Code abgefragt, ein Code pro Gerät.

 

[Farafan]

Wenn, wenn,wenn....

Wo hoch wäre der notwendige Aufwand um für ein paar Hunderter Apps kaufen zu können? Das steht doch in keinem Verhältnis mehr zum (Zeit-) Aufwand.

Es ist wie bei der Sicherung der eigenen 4 Wände: Vollständige Sicherheit gibt es nicht. Man kann den bösen Buben nur so hohe Hürden in den Weg bauen das sie lieber beim unvorsichtigen und ungesicherten Nachbarn einsteigen.

 

[raven]

@echo.park Und irgendwelche Wiederherstellungsschlüssel und was auch immer bekomme ich in dem Fall nicht? Auf dem einen ipad ist nicht mal ein mailaccount eingerichtet, weil nicht benötigt.

 

[Wuchtbrumme]

das ist ja alles gut und schön und vielen Dank fürs ausgiebige Beschreiben, aber jetzt mal konkret betrachtet: Man ist Außendienstmitarbeiter und muss in die iCloud was schreiben. Ah, Du brauchst jetzt einen Code. OK, Funkloch. Blöd gelaufen. Dann halt später.
Dieses ganze Konzept ist halt hakelig und basiert darauf, mit einem vertrauten Device eine Bestätigung zu erzeugen, dass man man selbst ist. Ich wüsste nicht wie das besser gehen sollte als ein mit meiner persönlichen qualifizierten Signatur zertifizierter Key. So oder so, es wird weiter Hacks geben.

 

[Martin Wendel]

Man ist Außendienstmitarbeiter und muss in die iCloud was schreiben.

Auf einem unbekannten Gerät? Mit Internetverbindung (wo man ja auch per Push-Nachricht den Code empfangen könnte, übrigens) aber ohne Mobilfunkempfang? Wie häufig kommt das vor? Sorry, aber man kann sich schon sehr abwegige Szenarien ausdenken, um ja etwas schlechtreden zu können…

 

[Wuchtbrumme]

Du scheinst ja echt schon oft im Außendienst gearbeitet zu haben, bei solchen Äußerungen So blöd kannst du gar nicht denken, wie es kommt. Und nach Murphy steigt die Wahrscheinlichkeit für den nicht möglichen Ausnahmefall mit dem Termindruck. Also Vorschlag: 1 Woche Praktikum bei meiner alten Firma, in einem Ware house in the outskirts of Ljubljana. Achso, das wirst Du ja gleich wieder als Beweis Deiner Hypothese benutzen, dass das nur herbeigeredet ist. Also Abänderung, wir statten Dich mit einem Company-iPhone und O2-SIM aus und stecken Dich in einen Sicherheitsbereich nahe München. Nur das Equipment, was in dem Raum ist, keine Internetleitung. iPhone ja, wenn Du es schaffst, Netz zu bekommen. Viel Spaß. Weil ich nett bin bekommst Du noch eine Glasflasche mit Korken, wenn Du weit genug werfen kannst durch die vergitterten Fenster bekommst Du die Nachricht vielleicht in die Isar. (kommt auf jeden Fall schneller an als Du bei Telefonica einen Support-Case gelöst hast).

wo man ja auch per Push-Nachricht den Code empfangen könnte, übrigens)

Was meinst Du denn damit?

 

[raven]

Sorry, aber man kann sich schon sehr abwegige Szenarien ausdenken, um ja etwas schlechtreden zu können…

Du ich denke nicht, dass hier jemand was schelcht reden will. Sondern bei einigem berechtigte Zweifel aufkommen.

Jeder möchte doch die grösst mögliche Sicherheit. 100% wird eh nie erreciht. Nur grösst möglich.

 

[Martin Wendel]

Jeder möchte doch die grösst mögliche Sicherheit. 100% wird eh nie erreciht. Nur grösst möglich.

Und genau das liefert die Zweistufige/Zweifaktor Authentifizierung. Punkt.

 

[raven]

Und genau das liefert die Zweistufige/Zweifaktor Authentifizierung. Punkt.

Ist möglich. Warum zwingt Apple die User nicht dazu? Zu den passwörtern wurden wir auch gezwungen (abändern). Zu den Sicherheitsfragen wurden wir auch gezwungen. Warum nicht auch zu den 2 Stufen? das Minimum das man offebar kann? Das sind im Moment die Fragen die sich mir auch aufdrängen.

Es ist ja nicht so, dass Apple einem zu nichts zwingt. Punkt.

 

[Schupunkt]

Und wie verhält es sich bei den bestehenden Geräten. Also ich habe nichst neues und wollte die 2 Stufen (mehr geht hier z. Z nicht) einrichten? was muss ich für die beiden AppleIDs tun?

Ausser einloggen und es mal versuchen? Die eine Id hat ein Ipad und ein altes Samsung Handy. Und ja es ist alt kein Smartphone ein Handy.

Edit: Einliggen würde ich über safari im Webbrowser.

Hab ich das jetzt richtig verstanden das du zwei Apple-Geräte hast und für beide eine separate Apple ID? Ich verstehe noch nicht, was das Samsung Handy damit zutun hat, auf dem wird doch keine Apple ID registriert sein.

 

[Bertha]

...zurück zu den wirklich interessanten Dingen:

Ist es möglich, hier so was wie eine Umfrage zu erstellen, um eingrenzen zu können, welche IDs potentiell gefährdet sein könnten?

 

[Martin Wendel]

Warum zwingt Apple die User nicht dazu?

Könnte mir gut vorstellen, dass das kommt.

Aber verstehe ich dich jetzt richtig: Du bezweifelst, dass die Zweifaktor-Authentifizierung nicht die derzeit höchst mögliche Sicherheit für deine Apple-ID bietet? Falls ja wäre es an der Zeit, dass du dich mit diesem Thema befasst (von mir aus bei Quellen, denen du mehr vertraust als mir).

 

[Farafan]

Ist es möglich, hier so was wie eine Umfrage zu erstellen, um eingrenzen zu können, welche ID potentiell gefährdet sein könnten?

Und wie soll eine Umfrage aussehen um eine "gefährdete" ID erkennen zu können?

 

[raven]

Hab ich das jetzt richtig verstanden das du zwei Apple-Geräte hast und für beide eine separate Apple ID? Ich verstehe noch nicht, was das Samsung Handy damit zutun hat, auf dem wird doch keine Apple ID registriert sein.

Nein das hast du falsch verstanden.

1 Ipad mit seiner AppleID und ein altes Samsung Handy.
2 Iphone , Ipad, Mac mit meiner AppleID

Verstanden. 2 Personen 2 AppleIDs ich bewirtschafte lediglich alles.

 

[echo.park]

Also wenn man per iPhone sowieso keine Internet-Verbindung hat um eine Push-Nachricht zu empfangen, wie in Gottes Namen will man dann überhaupt was "in die iCloud schreiben"?

Und dann bleibt ja noch die Mobilfunkverbindung und der Empfang per SMS. Und geht das auch nicht, dann ist auch wieder die Internet-Verbindung weg, also siehe Punkt 1.

Zudem ist dein Gerät ja schon verifiziert und benötigt keinen Code, wenn es bereits bei iCloud angemeldet ist. Und die Anmeldung führst du eben daheim aus.

Deine Einwände sind nicht nachvollziehbar @Wuchtbrumme

@raven
Den Wiederherstellungsschlüssel bekommst du beim Einrichten und druckst ihn aus, um ihn sicher zu verwahren.

Du kannst es auch einfach so handhaben, als würdest du dein Apple ID-Passwort ändern wollen. Also überall ausloggen, zweistufige Bestätigung einschalten, wieder überall einloggen, in diesem Fall dann direkt überall den Code eingeben und alle deine Geräte sind verifiziert und benötigen von dort an keine Codes mehr.

 

[Schupunkt]

Du scheinst ja echt schon oft im Außendienst gearbeitet zu haben, bei solchen Äußerungen So blöd kannst du gar nicht denken, wie es kommt. Und nach Murphy steigt die Wahrscheinlichkeit für den nicht möglichen Ausnahmefall mit dem Termindruck. Also Vorschlag: 1 Woche Praktikum bei meiner alten Firma, in einem Ware house in the outskirts of Ljubljana. Achso, das wirst Du ja gleich wieder als Beweis Deiner Hypothese benutzen, dass das nur herbeigeredet ist. Also Abänderung, wir statten Dich mit einem Company-iPhone und O2-SIM aus und stecken Dich in einen Sicherheitsbereich nahe München. Nur das Equipment, was in dem Raum ist, keine Internetleitung. iPhone ja, wenn Du es schaffst, Netz zu bekommen. Viel Spaß. Weil ich nett bin bekommst Du noch eine Glasflasche mit Korken, wenn Du weit genug werfen kannst durch die vergitterten Fenster bekommst Du die Nachricht vielleicht in die Isar. (kommt auf jeden Fall schneller an als Du bei Telefonica einen Support-Case gelöst hast).

Und in so einem Szenario kommt es dann bei dir tatsächlich vor das du über den Fremden Rechner auf deine private iCloud zugreifen musst?

 

[Bertha]

Und wie soll eine Umfrage aussehen um eine "gefährdete" ID erkennen zu können?

So eine Art Abfrage nach bisher schon auffälligen Elementen:

Click&Buy?
web.de?
Geräte?
Wiederherstellungsmail aktiviert?

(ich hab nicht alle im Blick...die Liste ist daher möglicherweise unvollständig?)