Zwei-Faktor-Authentifizierung - Klage gegen Apple

[AndreasB73]

Das Passwörter nicht sicher sind - egal wie lang sie sind - sollte doch mittlerweile längst bekannt sein. Was nützt den ein z.B. 30-stelliges Passwort, wenn es bekannt sind und womöglich irgendwo im Netz auftaucht. Deshalb ist die 2-FA unbedingt notwendig, und es sollten eigentlich jene verklagt werden, die sie nicht einsetzen, wenn auch sensible persönliche Daten gespeichert werden, wie z.B. Kreditkartendaten, oder ähnliches bzw. wenn es mehr als ein Account für ein simples Forum ist. Über die Umsetzung, wie man das löst, lässt sich sicher diskutieren.


Die 2-Faktor-Authentifizierung von Apple sichert NUR den Zugang zur Apple-ID und der Veränderung von Einstellungen in der Apple-ID, z.B. Passwort, vertrauenswürdige Geräte.

Sie bietet jedoch keinen Schutz, wenn das eigene Gerät inkl. der Zugangsdaten (iPhone-Code, Mac-Benutzer und Passwort) in fremde Hände gelangt. Wenn Apple-ID und Passwort dann noch in der Schlüsselbundverwaltung liegen, hat der Angreifer auch das.
In dem Fall hat man dann aber ganz schön viel verloren. Da hilft es auch nicht mehr, wenn der Code auf ein anderes Gerät kommt.

Für einen Komplettschutz bräuchte es noch eine viel schärfere 2-FA, bei jedem Entsperren des Gerätes, aber wer will das?

 

[Freddy K.]

@rootie Weil hier die Nutzung eines Produkts, nachträglich erschwert wird, bzw. das Produkt bei gleicher Nutzung unbrauchbar geworden ist. Apple macht das immer mal wieder.

 

[rootie]

Wo ist es denn unbrauchbar? Und wo machen sie das immer mal wieder? Ist ernst gemeint, ich kann mir gerade nichts zusammenreimen.

 

[Freddy K.]

Meine Apple-ID ist etwa 15 Jahre alt. Mein E-Mail-Programm ist Thunderbird und diese Kombination hat die letzten Jahre gut funktioniert.
Wenn man heute Thunderbird mit einer Apple-ID nutzen will, braucht man mittlerweile ein anwendungsspezifisches Passwort. Dafür wiederum muss die Zwei-Faktor-Authentifizierung aktiviert sein, sonst kein anwendungsspezifisches Passwort, also kein Thunderbird.
Die Sicherheit ist vielleicht gestiegen, aber angenommen ich möchte 2FA nicht aktivieren, ist das Produkt für mich unbrauchbar geworden.

 

[thomas65s]

das Produkt bei gleicher Nutzung unbrauchbar geworden ist

Oh Mann, lauf zu nem Friseur deiner Wahl und hol dir da Haare zum spalten. Das hält ja keiner aus....

 

[rootie]

Die Sicherheit ist vielleicht gestiegen, aber angenommen ich möchte 2FA nicht aktivieren, ist das Produkt für mich unbrauchbar geworden.

Exakt. Und das ist gut so. Würde man hier nicht konsequent die Sicherheit erhöhen, wäre das ganze Internet wohl bald gehackt. Apple hat ein Interesse dafür, dass ihre Accounts nicht gehackt werden und die 2FA ist eine Maßnahme.

Wenn Du partout nicht auf den 2FA-Zug aufspringen willst, dann werden Dir womöglich in Zukunft weitere Dienste versagt bleiben. Wenn alle sich nach den altmodischen Ansichten einiger User richten würden, hätten wir heute noch kein SSL und kein verschlüsseltes WLAN!

Der durchschnittliche Enduser ist dumm. Leider ist das so. Deswegen müssen die Anbieter reagieren, weil es einfacher ist, dass 20 große Anbieter etwas sicherer machen, als 3 Milliarden dummen Nutzern zu sagen, was sie ändern müssen, damit sie sicher unterwegs sind.

Einfach nur der Vollständigkeit halber: Mit „dummer Nutzer“ ist keiner persönlich gemeint. Es ist eine Floskel, um aufzuzeigen, dass gewisse Probleme an gewissen Stellen nicht gelöst werden können und deswegen gewisse Maßnahmen ergriffen werden müssen. Beispielsweise wenn ein Anbieter den User zwingt, mindestens ein 10-stelliges Passwort mit Sonderzeichen zu vergeben. Da jammert doch auch keiner rum und sagt „Mein supersicheres 8-stelliges Passwort tut es doch auch!“

 

[Freddy K.]

... wäre das ganze Internet wohl bald gehackt. ...

Freut mich, du hast ja doch Humor.

Aber du hast da etwas missverstanden. Ich habe nicht behautet, ich bin gegen 2FA also gegen steigende Sicherheit. Ich bin gegen Zwang und Bevormundung. Aber stimmt schon, sich nicht bevormunden zu lassen, oder die Wahl haben zu wollen ist wirklich eine aussterbende Ansicht. Mittlerweile lassen ja viele, fast alles mit sich machen ohne sich dagegen zu wehren, oder wenigstens zu widersprechen.

Und angenommen der durchschnittliche User ist dumm: Zwang und Bevormundung macht niemanden schlauer, eher im Gegenteil.

 

[rootie]

Nein, aber dumme Leute muss man zu ihrem Glück verhelfen.

Ja ich weiß, es klingt abgedroschen. Aber wenn Du Dich hier bevormundet fühlst, dann bist Du ein freier Mensch in einem freien Land und kannst die Konsequenzen ziehen. Einfach den Apple-Service, der Dich stört - oder ganz Apple - nicht mehr nutzen. Das Schöne ist: Es gibt Alternativen - keiner muss das hinnehmen, was Apple einem vorsetzt.

Wenn 95% aller Betroffenen damit geholfen ist, dann ist das perfekt für Apple. Man muss dann nicht die 5% berücksichtigen, die da was dagegen haben. Bei einer Demokratie ist das nicht anders. Da trifft’s im schlimmsten Fall 49,99%, denen eine gewisse Entscheidung nicht passt.

Man kann es halt nicht jedem rechtmachen...

 

[thomas65s]

Ich bin gegen Zwang und Bevormundung.

Dagegen ist wohl jeder. Ich ganz sicher auch. Aber darunter verstehen wir wohl offenbar etwas vollkommen unterschiedliches.

 

[kelevra]

ber stimmt schon, sich nicht bevormunden zu lassen, oder die Wahl haben zu wollen ist wirklich eine aussterbende Ansicht.

Also in der Firma MUSS ich ebenfalls ein halbwegs komplexes Passwort nutzen (min. 8 Zeichen, min. ein Großbuchstabe, min. eine Ziffer, min. ein Sonderzeichen). Außerdem muss es alle 12 Wochen erneuert werden und das neue Passwort darf keines der zehn zuletzt genutzten sein.

Soll ich jetzt meinen Arbeitgeber verklagen, dass er seine Systeme sichern möchte?

Selten lese ich soviel Humbug, wie in diesem Thread.

Selbstverständlich kann der Anbieter eines Dienstes Kriterien an die Anmeldedaten vorgeben. Nur so lässt es sich durchsetzen, dass nicht jeder "123456" als Passwort benutzt. Genau die Leute sind des doch, die dann ganz laut schreien, wenn ihre Penisbilder im Netz landen und Schuld hat natürlich der Dienstleister. Es kann ja schließlich der Nutzer nichts dafür, dass er überall "123456" als Passwort nutzen will.

Wo ist das facepalm emoji, wenn man es braucht...

 

[rootie]

@kelevra Danke. Danke. Danke. Ich dachte schon, ich bin hier der Einzige, der diese Meinung vertritt.

 

[kelevra]

@rootie Nein, nein, ganz im Gegenteil.

Ich bin ebenfalls für 2FA und befürworte und Nutze das bei jedem Dienst, der das einsetzt. So viel unbequemer ist das Ganze ja auch nicht, man loggt sich ja nicht ständig auf fremden Geräten ein (also ich zumindest nicht).

Und gerade solche Accounts wie Apple, Google, Mail, Social Network etc. möchte man doch geschützt wissen.

Derzeit tauchen immer wieder Listen mit Zugangsdaten auf, die wohl bei Hacks der Anbieter erbeutet wurden. Mnaches davon älter, manches neuren Datums, vieles auch doppelt. Die größte Schwachstelle sind ja die Dienste selbst und das wissen die auch. Als Angreifer versucht man nicht alle zig Millionen Kunden zu hacken sondern man greift die Daten direkt beim Dienst ab.

Wenn Leute dann überall die gleiche Kombination aus Mail/Passwort nutzen, ist es einfach auch Accounts bei anderen Diensten mit den erbeuteten Daten zu kompromitieren. Ergo gehen die Anbieter den umgekehrten Weg und bieten zumindest die Option auf 2FA an, oder wie im Fall von Apple, setzen diese Voraus. Und das tolle ist: mit 2FA kann man auch wieder sein "123456" nutzen, auch wenn ich das wirklich niemandem empfehlen würde.

 

[rootie]

Ich habe einen aktuellen Fall. Eine Bekannte von mir ist Opfer von so einer Attacke geworden. Der wurden 450€ über Paypal abgebucht. Gott sei Dank hat sie das über den Käuferschutz zurück bekommen, aber da haben wir direkt 2FA eingerichtet, dass das nicht mehr passieren kann. Und ja, sie hatte ein unsicheres Passwort. Und genau deswegen muss man sowas erzwingen. Das meinte ich mit: Dumme Leute muss man zu ihrem Glück zwingen.

Wäre 2FA Pflicht, sie hätte die Scherereien nicht gehabt.

 

[Freddy K.]

Nein, aber dumme Leute muss man zu ihrem Glück verhelfen. ...

Du unterstellst gerade einer Menge an Leuten sie wären dumm, und deshalb müsse man sie zwingen. Das ist … tja was ist das?

Stimmt, jeder hat die Wahl und kann den Anbieter wechseln wie er möchte, aber du ignorierst das es auch um „bereits laufende Verträge“ geht. Da kann man nicht machen, was einem gerade passt. Auch Apple nicht.

Traurig, es geht Menschen immer nur um Macht und Kontrolle.

... Das meinte ich mit: Dumme Leute muss man zu ihrem Glück zwingen. ...

Hast du ihr das auch so ins Gesicht gesagt?

 

[rootie]

Einfach nur der Vollständigkeit halber: Mit „dummer Nutzer“ ist keiner persönlich gemeint. Es ist eine Floskel, um aufzuzeigen, dass gewisse Probleme an gewissen Stellen nicht gelöst werden können und deswegen gewisse Maßnahmen ergriffen werden müssen.

@Freddy K. Extra Deinetwegen zitiere ich mich noch einmal selber. Wieder einmal sieht man, wie selektiv Du liest. Genau deswegen hatte ich es vorhin schon geschrieben. Aber naja, ich muss mich wohl damit abfinden, dass Du nur das liest, was Du lesen willst und Dir es einfach so hindrehst wie Du es brauchst. Schade, aber so kann es halt keine sinnvolle Diskussion werden.

Und ja ich habe es ihr gesagt, dass es sehr dumm war, so ein Passwort zu nehmen. Sie hat gesagt „Ja ich weiß. Aber ich kann mir nix anderes merken.“ Das ist auch kein Problem, da ich diese Dame schon sehr lange kenne und sie genau weiß, dass ich sie damit nicht persönlich beleidige. Aber Zwischenmenschliches scheint wohl nicht die Stärke mancher User hier zu sein.

 

[kelevra]

Ich denke das "dumm" fasst du etwas falsch auf, @Freddy K. und da muss ich dich auch etwas kritisieren @rootie.

Laien wäre hier die bessere und angebrachtere Wortwahl. Und mal ehrlich, die ganzen schwachen Passwörter, die man innerhalb Minuten mit der Rechenleistung eines Toasters bruteforcen kann, werden von Laien verwendet. Das ist auch die Mehrheit der Anwender. Und da man nicht von allen Anwendern erwarten kann, dass sie sich mit IT Sicherheit befassen geschweige denn ausreichend auskennen, muss man eben entsprechend Spielregeln definieren. Damit schützt man die Anwender und nicht zuletzt den Dienst. Vor Allem muss man sich als Dienstleister nicht anhören, man hätte nichts für die Sicherheit der Accounts getan und wird womöglich noch verklagt.

 

[rootie]

@kelevra Siehe #135

 

[Freddy K.]

@rootie Ok, da wir gerade über unser persönliches Gesprächsverhalten sprechen, zitiere ich dich auch noch mal. Dein erster Beitrag im Thema begann wie folgt:

Es gibt schlicht und einfach keinen Grund gegen die 2FA. ...

Beginnt man in deinen Augen so eine „Diskussion“?

Und wie oft du irgendwelche Leute oder irgendwas als dumm bezeichnest, kann sich ja jeder selber raussuchen. Zeichnet deine Beiträge im allgemeinen aus: Vorgefasste Meinung & dies oder jener ist dumm.

Ein Grund warum es mir so viel Spaß macht, mich mit dir zu unterhalten.

 

[kelevra]

Na, jetzt lasst aber mal gut sein, ihr zwei. @rootie hat es anders gemeint, als du es verstanden hast. Ich denke die Kritik bzgl. der Wortwahl kam auch an. Deine Position, @Freddy K., bzgl. 2FA bzw. Apples Zwang hast du auch dargelegt. Auch wenn ich deine Einstellung nicht nachvollziehen kann.

Die Standpunkte gehen, denke ich soweit auseinander, dass ein Voranschreiten in der Diskussion nicht abzusehen ist.

 

[Macbeatnik]

Du unterstellst gerade einer Menge an Leuten sie wären dumm, und deshalb müsse man sie zwingen. Das ist … tja was ist das?

Ja, ich bin zum Beispiel so einer, der annimmt, das der Großteil der Nutzer dumm ist, Sicherheit ist untergeordnet der Bequemlichkeit und wenn er dann ließt, das wieder einmal Passwörter und Accountdaten zu häuf in Umlauf gebracht werden, dann ändert er sein passwort von 1234 eben auf 123456, den mehr zahlen sind ja sicherer. Und gerade diese Nutzer muss man zu ihrem Glück zwingen, mit Bevormundung hat das, zumindest auch wie das hier einige in Thread sehen nichts zu tun, sie wollen oder können auch nicht lernen.