Apple: Zwei-Faktor-Authentifizierung nicht konsequent
von caschy | 15 Kommentare
Apple kommt in Sachen Security seit langem nicht mehr zur Ruhe. Recht spät führte man die Möglichkeit ein, den eigenen Account per Zwei-Faktor-Authentifizierung zu schützen. Hierbei ist dann nicht nur der Nutzername und ein Passwort zum Einloggen nötig, sondern auch eine zweite Instanz, die in Form eines Codes daherkommt. Doch auf keinen Fall sollte man den Sicherheitsschlüssel verlegen.
Um diesen soll es hier aber nicht gehen, sondern um die Zwei-Faktor-Authentifizierung, die sich momentan wieder Vorwürfe gefallen lassen muss. Normalerweise geht man als Nutzer davon aus, dass eine Zwei-Faktor-Authentifizierung dafür sorgt, dass alles dicht ist.
Egal in welchen Dienst ich mich einlogge: ich brauche Benutzername, Passwort und den Code, der per Generator-App oder SMS kommt. Vorher sollte nichts möglich sein. Ganz so ist es allerdings nicht, denn Dani Grant zeigt in ihrem Blog, dass die Zwei-Faktor-Authentifizierung doch nicht ganz konsequent durchgezogen ist.
Bei einem Account, der mit der Zwei-Faktor-Authentifizierung geschützt ist, reichte Nutzername und Passwort, um sich in iMessage, iTunes, FaceTime, AppStore und die Webseite von Apple einzuloggen. Ja natürlich – hier ist nicht das meiste möglich, es gibt einem Angreifer aber noch Informationen zu Adressen, Bestellvorgängen und im Falle von iMessage ist auch laut Aussage von Dani Grant auch das Versenden von Nachrichten möglich.
Bei iMessage bekommt der Nutzer zwar eine Information per Mail, beim Rest aber nicht. Sicherlich eine Lücke, die viele weglächeln wollen, weil so viele Infos nicht freigegeben werden – doch ich finde, eine Zwei-Faktor-Authentifizierung sollte konsequent und dauerhaft durchgezogen werden.
Wer das Ganze nachvollziehen will: einfach mal versuchen, auf einem anderen Rechner eure Daten einzugeben – es wird klappen, habe es auch nachvollzogen.
Wird geladen ...
In Sachen Sicherheit war Apple nie wirklich vorne mit dabei. Da schneidet selbst Microsoft noch besser ab.
@Peter
Warum beschleicht mich gerade das komische Gefühl, dass du deine Behauptung weder belegen kannst, noch es überhaupt möchtest?
Zum Beitrag:
Apple hat die 2FA ja ausschließlich für iCloud-Dienste implementiert. Das macht die Sache sicherlich nicht besser, erklärt aber, warum andere Dienste weiterhin ohne 2FA zu erreichen sind.
Dass die 2FA bei Apple generell schon kaputt auf die Welt gekommen ist, braucht an der Stelle nicht noch mal breitgetreten werden. Arg peinlich ist’s halt schon…
Apple nervt, ich bekomme keine Mail zum Zurücksetzen meiner Sicherheitsinformationen, egal wie oft ich auf den Link klicke. Ohne Zurücksetzen der Sicherheitsfragen, kann ich aber auf einem neuen Device keine Käufe im AppStore mehr tätigen.
Kann ich so nicht ganz nachvollziehen. Warum beschweren, die Apple 2-Factor-Auth ist so vollständig wie Apple es auch selbst „bewirbt“.
„Sign in to My Apple ID to manage your account
Sign in to iCloud on a new device or at iCloud.com
Make an iTunes, iBooks, or App Store purchase from a new device
Get Apple ID related support from Apple“
– http://support.apple.com/en-us/HT204152
@Micha
http://www.cnet.com/news/apples-culture-of-secrecy-delays-security-response-again/
@Jan: Das stimmt, geht aber am Ziel der Kritik vorbei. Es geht darum, dass die Zwei-Faktor-Geschichte nicht konsequent umgesetzt ist; nicht darum, das Apple je etwas anderes behauptet hätte. Diese Kritik finde ich berechtigt und wird wohl kaum dazu führen, dass die Sicherheit schlechter wird… 😉
@Jan
Ist ja richtig. Dennoch muss man Apple anlasten, dass man nicht schon den Login selbst per 2FA absichert. So wie es ist, ist es halt kein besonders sinniges Sicherheitskonzept.
Das größte Problem dürfte sein, dass eine 2FA einen enormen Rattenschwanz in der ganzen Authorisierungshierarchie nach sich zieht, die programmiertechnisch nicht immer ganz profan ist. Das wirkt sich praktisch auf jede App, jeden Dienst und jeden Task aus, der mit deiner Apple-ID arbeitet.
Um das einigermaßen zu umschiffen, arbeitet Google bspw. mit anwendungsspezifischen Passworten, die man selbst generieren und jederzeit zurückziehen kann.
Apple hat nicht nur die 2FA „veräppelt“ sondern ist auch sonst in Accountsachen sehr inkonsistent. Überall kann man etwas anderes Ändern, eine Seite für alle Einstellungen gibt es schlicht nicht. Im Internet ist Apple nicht gerade vorne dabei, siehe auch beim wirklich schlechten CloudDrive, das funktioniert auch nur alle Jubeljahre mal vernünftig… hier muss Apple noch viel lernen! Bevor jemand fragt, ich besitze viele Apple Produkte – Gehöre also nicht zu den Apple Bashern 😉
@Micha
Das mit dem Rattenschwanz wird auch das Problem sein. Man merkt als User aber auch schon, dass Apple nach und nach 2FA immer mehr in seine Services implementiert.
Daher gibt es z.B. seit einigen Wochen auch die anwendungsspezifischen Passwörter die du erwähnst. Die man für Drittanbieter-Apps verwenden muss.
@Jan
„Daher gibt es z.B. seit einigen Wochen auch die anwendungsspezifischen Passwörter die du erwähnst. Die man für Drittanbieter-Apps verwenden muss.“
Wo das denn genau?
@Cicero
appleid.apple.com -> Passwörter und Sicherheit -> Anwendungsspezifischen Passwörter
Man merkt hat, dass Apple in viele einzelne Services fragmentiert ist ohne konsistenten oder gar einheitlichen Login. Angeblich laufen dort sogar für manches noch uralte Installationen. Man kann nur hoffen, dass sie intern mal auch Swift konsequent einsetzen und ihre Plattformen unter Kontrolle kriegen.
2FA ist Unsinn, wenn man trotzdem noch durch das reine Abgreifen des Passwortes beim Eintippen eine relevante Menge an Diensten nutzen kann. Das ist nämlich der einzige Sicherheitsvorteil von 2FA. Bruteforce steht da auch wieder mal halb die Tür offen.
Wenn man sowas implementiert, dann bitte aber richtig… Apple sollte da dringend nachbessern. Könnte Placebo sein, aber ich fühle mich um gute 300% sicherer bei Diensten, die eine 2 Schritte Authentifizierung haben ohne Mein Tablet kommt keiner in meine Accounts…dieser Sicherheitsmechanismus sollte viel weiter verbreitet sein. Ach was liest und hört man denn nicht jeden Tag von neuen Datendiebstählen und Hackerangriffen…
Schlimm, dass eine so reiche Firma wie Apple es nicht auf die Reihe bekommt, die Sicherheit der Accounts zu gewähren!
@geeg
„2FA ist Unsinn, wenn …“ DAS ist Unsinn. Erst wenn du über das normale Login an die Funktionen und/oder Daten rankommst, die durch die 2FA abgesichert werden sollen wird die 2FA zu Unsinn.
Die Gefahr besteht allerdings, dass durch andere Hintertüren eben das ausgehebelt wird, wenn man einen teilweisen Zugriff hat.