Apple: Der Wiederherstellungsschlüssel ist die Lebensversicherung des Accounts

9. Dezember 2014 Kategorie: Apple, Backup & Security, geschrieben von:

Apples Sicherheitsmechanismen befinden sich derzeit wieder einmal in der Kritik. Recht spät führte man die Möglichkeit ein, den eigenen Account per Zwei-Faktor-Authentifizierung zu schützen. Hierbei ist dann nicht nur der Nutzername und ein Passwort zum Einloggen nötig, sondern auch eine zweite Instanz, die in Form eines Codes daherkommt.

Apple

Dieser Code kann auf ein von euch definiertes, vertrautes Gerät gepusht werden, alternativ klassisch per SMS ankommen. Wie beispielsweise Google bietet auch Apple bei der Einrichtung der Zwei-Faktor-Authentifizierung den Heiligen Gral an: den Superschlüssel. Diesen sollte man unbedingt aufbewahren. Digital und analog. Machen, unbedingt.

Seid nicht so unvorsichtig, dieses Schlüssel zu übergehen – vielleicht mit dem Gedanken „Den brauche ich nicht“. Ihr werdet ihn brauchen – irgendwann. Die Zwei-Faktor-Authentifizierung ist ein wichtiges Sicherheits-Feature in der heutigen Zeit, gehen wir davon aus, dass Angreifer nicht auf den Server eines Anbieters Zugriff haben, dann versuchen sie dieses mit Pech über die Accounts der Nutzer. Accounts mit dem Schutz „Nutzernamen und Passwörter“ sind um Weiten angreifbarer als die Zwei-Faktor-Authentifizierung, bei der ein gesendeter Code als zusätzliche Instanz absichert.

Nun zur Sache, die Owen Williams passierte. Ich kürze das Ganze mal ab: jeder, der eure Apple ID kennt, kann euch derzeit aussperren. Versuche ich in euren Google-Account zu kommen, dann wird mich Google langsamer machen, nach einer gewissen Anzahl der Fehleingaben erscheinen Captchas, die den mutmaßlichen, vielleicht sogar automatisierten Angreifer ausbremsen. Auch wird eine Kontosperrung nicht vorgenommen – zumindest konnte ich das trotz zahlreicher Captcha-Eingaben nicht bei mir nachvollziehen.

Der Account bleibt in Nutzerhand, selbst wenn Angreifer X Mal das Passwort ändert. Anders bei Apple. Bei aktivierter Zwei-Faktor-Authentifizierung wird dort nach circa 10 Fehleingaben das Konto gesperrt. Keine Captchas – sondern eine direkte Sperre. Diese Sperre betrifft dann auch den Nutzer, da der Zugriff auf Dienste, die über iCloud laufen, nicht mehr möglich ist.

Hier kommt nun das Entscheidende: der Nutzer kann – und dies ist halt ein Sicherheitsaspekt – sein Konto nur noch aktivieren, sofern er Zugriff auf seinen Sicherheitscode hat, den er hoffentlich bei der Einrichtung der Zwei-Faktor-Authentifizierung irgendwo sicher abgelegt hat. Selbst Zweit-Instanzen wie der gepushte Code auf autorisierte Geräte oder die klassische SMS helfen in diesem Moment nicht, zur Freischaltung muss der Code zwingend eingegeben werden.

Was, wenn der Code nicht mehr vorliegt? Owen Williams berichtet von zwei Anrufen, die er mit Apple führte. Kurzum: man könne ihm nicht helfen, er möge eine neue ID anlegen. Heißt: Unter Umständen Mail-Adresse futsch, Apps, Musik und Filme – nicht zu vergessen: die Zeit, die für etwaige Neueinrichtung draufgeht. Für Apple spricht, dass ein Sicherheitssystem funktioniert, wie beschrieben. Ist der Key weg, hat man Pech gehabt.

Meine Meinung dazu: Das Problem ist, dass jeder Vollhorst den Account einer anderen Person sperren kann, die die  Zwei-Faktor-Authentifizierung nutzt. Hier hätten Captchas greifen dürfen, ein Account nicht gleich gesperrt werden müssen, beziehungsweise hätte die Konstellation Passwort und Trusted Device ausreichen dürfen, um den rechtmäßigen Besitzer wieder mit Zugriff auf einen Account zu segnen.

Was sagt ihr dazu?


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25419 Artikel geschrieben.