Apple: Der Wiederherstellungsschlüssel ist die Lebensversicherung des Accounts
Apples Sicherheitsmechanismen befinden sich derzeit wieder einmal in der Kritik. Recht spät führte man die Möglichkeit ein, den eigenen Account per Zwei-Faktor-Authentifizierung zu schützen. Hierbei ist dann nicht nur der Nutzername und ein Passwort zum Einloggen nötig, sondern auch eine zweite Instanz, die in Form eines Codes daherkommt.
Dieser Code kann auf ein von euch definiertes, vertrautes Gerät gepusht werden, alternativ klassisch per SMS ankommen. Wie beispielsweise Google bietet auch Apple bei der Einrichtung der Zwei-Faktor-Authentifizierung den Heiligen Gral an: den Superschlüssel. Diesen sollte man unbedingt aufbewahren. Digital und analog. Machen, unbedingt.
Seid nicht so unvorsichtig, dieses Schlüssel zu übergehen – vielleicht mit dem Gedanken „Den brauche ich nicht“. Ihr werdet ihn brauchen – irgendwann. Die Zwei-Faktor-Authentifizierung ist ein wichtiges Sicherheits-Feature in der heutigen Zeit, gehen wir davon aus, dass Angreifer nicht auf den Server eines Anbieters Zugriff haben, dann versuchen sie dieses mit Pech über die Accounts der Nutzer. Accounts mit dem Schutz „Nutzernamen und Passwörter“ sind um Weiten angreifbarer als die Zwei-Faktor-Authentifizierung, bei der ein gesendeter Code als zusätzliche Instanz absichert.
Nun zur Sache, die Owen Williams passierte. Ich kürze das Ganze mal ab: jeder, der eure Apple ID kennt, kann euch derzeit aussperren. Versuche ich in euren Google-Account zu kommen, dann wird mich Google langsamer machen, nach einer gewissen Anzahl der Fehleingaben erscheinen Captchas, die den mutmaßlichen, vielleicht sogar automatisierten Angreifer ausbremsen. Auch wird eine Kontosperrung nicht vorgenommen – zumindest konnte ich das trotz zahlreicher Captcha-Eingaben nicht bei mir nachvollziehen.
Der Account bleibt in Nutzerhand, selbst wenn Angreifer X Mal das Passwort ändert. Anders bei Apple. Bei aktivierter Zwei-Faktor-Authentifizierung wird dort nach circa 10 Fehleingaben das Konto gesperrt. Keine Captchas – sondern eine direkte Sperre. Diese Sperre betrifft dann auch den Nutzer, da der Zugriff auf Dienste, die über iCloud laufen, nicht mehr möglich ist.
Hier kommt nun das Entscheidende: der Nutzer kann – und dies ist halt ein Sicherheitsaspekt – sein Konto nur noch aktivieren, sofern er Zugriff auf seinen Sicherheitscode hat, den er hoffentlich bei der Einrichtung der Zwei-Faktor-Authentifizierung irgendwo sicher abgelegt hat. Selbst Zweit-Instanzen wie der gepushte Code auf autorisierte Geräte oder die klassische SMS helfen in diesem Moment nicht, zur Freischaltung muss der Code zwingend eingegeben werden.
Was, wenn der Code nicht mehr vorliegt? Owen Williams berichtet von zwei Anrufen, die er mit Apple führte. Kurzum: man könne ihm nicht helfen, er möge eine neue ID anlegen. Heißt: Unter Umständen Mail-Adresse futsch, Apps, Musik und Filme – nicht zu vergessen: die Zeit, die für etwaige Neueinrichtung draufgeht. Für Apple spricht, dass ein Sicherheitssystem funktioniert, wie beschrieben. Ist der Key weg, hat man Pech gehabt.
Meine Meinung dazu: Das Problem ist, dass jeder Vollhorst den Account einer anderen Person sperren kann, die die Zwei-Faktor-Authentifizierung nutzt. Hier hätten Captchas greifen dürfen, ein Account nicht gleich gesperrt werden müssen, beziehungsweise hätte die Konstellation Passwort und Trusted Device ausreichen dürfen, um den rechtmäßigen Besitzer wieder mit Zugriff auf einen Account zu segnen.
Was sagt ihr dazu?
Ist doch quatsch was Apple da macht. Warum muss der Account sofort gesperrt werden und warum kann man es nicht per Zwei-Faktor-Authentifizierungscode wieder entsperren?
Sehe ich genau wie du. Den Account direkt zu sperren ist hart. Vor allem sehe ich dies auch dann als sehr nervend an, wenn man gerade im Urlaub ist und seinen Sicherheitscode zu Hause auf seinem privaten Rechner etc. aufbewahrt. Gleichzeitig ist es aber auch korrekt von Apple, den Account zu sperren. Immerhin wird man beim einrichten der zwei Fakt-Auth ja auch über dies Informiert. Ein schwieriges Thema mit einem enormen Frustpotential.
http://cdn.shopify.com/s/files/1/0260/8871/products/product-sticker_ea143983-7c30-4d9d-a595-e947bc65ac04.png?v=1377520908
Deswegen habe ich den Code in 1Password gespeichert. Vielleicht sollte ich den auch noch mal ausdrucken oder so…
Nachtrag: habe den gerade in meinem Onlinebanking gespeichert, meine Bank (DKB) bietet da einen „Tresor“ an. Und wenn ich meiner Bank nicht trauen kann, wem dann noch…
„Für Apple spricht, dass ein Sicherheitssystem funktioniert, wie beschrieben.“
Da gibt es nichts schön zu reden. Ein so undurchdachtes System bleibt auch dann totaler Mist, wenn es funktioniert.
Danke für den Hinweis!
Ich habe noch ein Problem. Ich habe einen Account, mit dem ich meine ganze Musik und Apps kaufe. Angeblich, gebe ich das Passwort immer falsch ein. Nun gut, könnte man meinen, dann gehe ich einfach auf iforgot.apple.com und sage Passwort zurücksetzen. Klappt aber nicht. 1. Kommt keine Mail an und 2. mein eingegebenes Geburtsdatum wäre falsch. Jetzt habe ich diese Mailadresse (Apple-Account ID) auch bei meinem zweiten Account als alternative Mailadresse angegeben. Ok, dachte ich mir, dann rufst Du mal die Hotline an. Ergebnis: die erkennen meine alte Mailadresse (Apple-Account) nicht mehr also Apple-ID, sondern nur noch als Adresse für die E-Mail-Authentifizierung.
Lösung: keine … 🙁
Ja das gleiche habe ich auch durch!! Danke Apple bei mir nicht mehr..
Erst wird nach möglichst 100Prozent Sicherheit geschrien, und wenn dann jemand zu blöd ist, wird auf den Anbieter geschimpft. Wenn ich die Pin meiner EC Karte dreimal falsch eingebe ist die auch gesperrt und es gibt keine Backdoor für Dummköpfe.
OMG, echt klasse. Ich glaube jeder Informatik-Grundkurs-Student/Schüler bekommt eine einfache Rekursion hin, um Apple-IDs (Sind ja einfach nur E-Mailadressen) zu generieren oder man holt sich eine der vielen Listen…. Wenn man jetzt noch einen Random-Proxy oder ein Botnetz hat……Ich meine, ich bin kein Hacker, aber für sowas brauch man echt kein Informatikstudium und wenn man eins hat, braucht man nur 5 Minuten….
public static void genMail(int max, int pos, String mail){
String zeichenSet = „abcdefghijklmnopqrstuvwxyz._1234567890“;
for (int zeichen = 0; zeichen < zeichenSet.length(); zeichen++) {
String tmpmail = mail + zeichenSet.charAt(zeichen);
// Ergebnis verarbeiten:)
String[] providerArray = {"@web.de", "@googlemail.de", "@googlemail.com", "@gmx.de", "@t-online.de"};
for (String provider : providerArray) {
System.out.println(tmpmail + provider);
// Request senden
//…
}
if(pos != max){
genMail(max, pos + 1, tmpmail);
}
}
}
Nicht nur die „Mail-Adresse“ sondern auch ALLE Emails sind weg! Das halbe Leben sozusagen.
Nee, die sind nicht weg. Die liegen im Time Machine Backup auf mehreren Festplatten. Darauf hat man jederzeit noch Zugriff.
@Maik: Apple sperrt dir in dem Fall aber nicht die Karte (du könntest immer noch mit Perso zum Schalter gehen und Geld erhalten), Apple sperrt dir das KONTO. Das bedeutet, Miete und Stadtwerke werden nicht mehr abgebucht, Kreditrate oder Handyrechnung auch nicht. Fazit: Wenn es dir nicht gelingt, dein Konto innerhalb von 2-3 Tagen zu entsperren, bist du am Arsch. Und Apple will an der Stelle von dir und deinem Perso nichts wissen; die entsperren nur gegen Vorlage eines Papiers, das du hoffentlich noch hast und findest. Da werden 2-3 Tage ganz schnell ganz wenig.
Klingt nicht nach Sicherheit für den Nutzer. Für den Nutzer sollte Sicherheit seiner Daten auch bedeuten, dass er im Falle eines Falles auch wieder an seine Daten kommt.
Mal ein Beispiel aus eigener Erfahrung, was allerdings etwas weniger kritisch war.
Ich habe einen battle.net-Account, diesen mit dem Authenticator von Blizzard geschützt. Handy neu geflasht, vorher vergessen Seriennummer der App und Wiederherstellungscode zu notieren und den Auth vorher nicht im Account entfernt. Mit den beiden genannten Nummern wäre das ein kurzes Telefonat mit Blizzard geworden. So wurde es ein langes mit Abfrage einiger relevanter Informationen, sowie einem beidseitigen Scan des Persos, der per Mail an den Support ging.
Wäre bei Apple doch auch machbar. Und selbst wenn so was etwas mehr kostet… hey, Blizzard ist zwar nicht arm, Apple allerdings auch nicht. Und bei den Preisen würde ich da schon etwas mehr Support erwarten. Egal ob eigene Dummheit oder nicht!
Denn es ist doch meist so wie @Dorgo sagt: Man hat den Code nicht zur Hand, wenn es brennt.
@Maik
Wenn dem so wäre und dein Konto bei der Bank dann für immer dicht wäre… na, klingelt es?
PIN falsch eingeben ist kein Problem: Am Schalter können die die Karte wieder entsperren, und man kann erneut den PIN probieren (ist mir mal passiert, dass auf einmal die Gehirnzelle mit dem PIN weg war,.. – ein paar Tage später konnte ich mich wieder erinnern)
@Maik: da muss man aber schon ziemlich Apple-verliebt sein, um diesen Murks zu verteidigen.
Wenn meine EC-Karte gesperrt wird, gehe ich zu meiner Bank, bekomme für ein paar Euro Strafgebühr eine neue und die Sache ist gegessen. Genauso wie man seine Handy-Nummer weiter nutzen kann, auch wenn man glorreicherweise seine PIN vergessen hat und weder PIN2 noch PUK aufgehoben hat. Auch da hilft einem der jeweilige Anbieter (gegen eine Gebühr) gerne weiter.
Bei Apple aber ist nach der Schilderung im Artikel der Account mitsamt aller E-Mails und aller darüber gekaufter Software, Musik usw. dauerhaft weg. Und das ist eben maximal kundenunfreundlich. Vor allem wenn Google und Co. vormachen wie es besser geht.
Ich finde es bitter, dass jeder „Vollhorst“ somit den Account eines anderen Nutzers sperren lassen kann – immer wieder und wieder. Diese Umsetzung finde ich ein Unding.
Die Sache ist meiner Meinung noch viel übler. Nicht nur Musik, Bücher, Apps sind weg. Wer Finde mein iPhone/iPad verwendet ist richtig angeschmiert. Man kann die Geräte ohne Accountzugang nicht mehr wiederherstellen oder mit einer anderen Apple ID verbinden.
der apple account wird nur gesperrt wenn man die 2-faktor-authentifizierung aktiviert hat oder ? wenn die nicht aktiviert ist passiert nichts nach 10 versuchen?
Hilfe mir Apple, ich bin dumm.
Das einzig Gute an diesem Artikel ist, dass mancher jetzt seinen Wiederherstellungsschlüssel sucht. Oder sich einen neuen generieren lässt um den dann an einem sicheren Ort aufzubewahren.
Ob jetzt Captchas angebracht wären oder nicht ist persönliche Meinung. Ich denke, nach 10 Versuchen kann man schon davon ausgehen, dass ein Unbefugter versucht, in den Account zu kommen.
Kalle le Troll. Gib mir bitte mal deine ID, ich sperr dich dann immer wieder automatisiert. Viel Spaß.