Apple: Der Wiederherstellungsschlüssel ist die Lebensversicherung des Accounts
von caschy | 48 Kommentare
Apples Sicherheitsmechanismen befinden sich derzeit wieder einmal in der Kritik. Recht spät führte man die Möglichkeit ein, den eigenen Account per Zwei-Faktor-Authentifizierung zu schützen. Hierbei ist dann nicht nur der Nutzername und ein Passwort zum Einloggen nötig, sondern auch eine zweite Instanz, die in Form eines Codes daherkommt.
Dieser Code kann auf ein von euch definiertes, vertrautes Gerät gepusht werden, alternativ klassisch per SMS ankommen. Wie beispielsweise Google bietet auch Apple bei der Einrichtung der Zwei-Faktor-Authentifizierung den Heiligen Gral an: den Superschlüssel. Diesen sollte man unbedingt aufbewahren. Digital und analog. Machen, unbedingt.
Seid nicht so unvorsichtig, dieses Schlüssel zu übergehen – vielleicht mit dem Gedanken „Den brauche ich nicht“. Ihr werdet ihn brauchen – irgendwann. Die Zwei-Faktor-Authentifizierung ist ein wichtiges Sicherheits-Feature in der heutigen Zeit, gehen wir davon aus, dass Angreifer nicht auf den Server eines Anbieters Zugriff haben, dann versuchen sie dieses mit Pech über die Accounts der Nutzer. Accounts mit dem Schutz „Nutzernamen und Passwörter“ sind um Weiten angreifbarer als die Zwei-Faktor-Authentifizierung, bei der ein gesendeter Code als zusätzliche Instanz absichert.
Nun zur Sache, die Owen Williams passierte. Ich kürze das Ganze mal ab: jeder, der eure Apple ID kennt, kann euch derzeit aussperren. Versuche ich in euren Google-Account zu kommen, dann wird mich Google langsamer machen, nach einer gewissen Anzahl der Fehleingaben erscheinen Captchas, die den mutmaßlichen, vielleicht sogar automatisierten Angreifer ausbremsen. Auch wird eine Kontosperrung nicht vorgenommen – zumindest konnte ich das trotz zahlreicher Captcha-Eingaben nicht bei mir nachvollziehen.
Der Account bleibt in Nutzerhand, selbst wenn Angreifer X Mal das Passwort ändert. Anders bei Apple. Bei aktivierter Zwei-Faktor-Authentifizierung wird dort nach circa 10 Fehleingaben das Konto gesperrt. Keine Captchas – sondern eine direkte Sperre. Diese Sperre betrifft dann auch den Nutzer, da der Zugriff auf Dienste, die über iCloud laufen, nicht mehr möglich ist.
Hier kommt nun das Entscheidende: der Nutzer kann – und dies ist halt ein Sicherheitsaspekt – sein Konto nur noch aktivieren, sofern er Zugriff auf seinen Sicherheitscode hat, den er hoffentlich bei der Einrichtung der Zwei-Faktor-Authentifizierung irgendwo sicher abgelegt hat. Selbst Zweit-Instanzen wie der gepushte Code auf autorisierte Geräte oder die klassische SMS helfen in diesem Moment nicht, zur Freischaltung muss der Code zwingend eingegeben werden.
Was, wenn der Code nicht mehr vorliegt? Owen Williams berichtet von zwei Anrufen, die er mit Apple führte. Kurzum: man könne ihm nicht helfen, er möge eine neue ID anlegen. Heißt: Unter Umständen Mail-Adresse futsch, Apps, Musik und Filme – nicht zu vergessen: die Zeit, die für etwaige Neueinrichtung draufgeht. Für Apple spricht, dass ein Sicherheitssystem funktioniert, wie beschrieben. Ist der Key weg, hat man Pech gehabt.
Meine Meinung dazu: Das Problem ist, dass jeder Vollhorst den Account einer anderen Person sperren kann, die die Zwei-Faktor-Authentifizierung nutzt. Hier hätten Captchas greifen dürfen, ein Account nicht gleich gesperrt werden müssen, beziehungsweise hätte die Konstellation Passwort und Trusted Device ausreichen dürfen, um den rechtmäßigen Besitzer wieder mit Zugriff auf einen Account zu segnen.
Was sagt ihr dazu?
Wird geladen ...
@Max
Es ist egal ob du 2-Faktor aktiviert hast oder nicht. Die 10 Versuche sind auch keine feste Regel. Es kommt drauf an, was du eingibst, und wie schnell. Wenn’s nach Bot aussieht, wird schnell gesperrt. Wenn du nur einen Buchstaben vertippst hast, bekommst du mehr Versuche.
http://support.apple.com/de-de/TS2446
@Iruwen
Warum sollte ich das tun? Glaubst du ich bin dumm?
Birne hat hier tatsächlich den wichtigsten Punkt genannt. Wenn Finde mein iX aktiviert ist, hilft da auch kein neuer Account weiter. Ein Anruf hilft nicht weiter und auch ein Besuch im Apple-Store nicht. (laut Aussagen in Apple Supportforen)
Einzig und allein ein Bug in iOS 7 bot mal eine Möglichkeit. Ein JB übrigens auch nicht.
Durch diese geniale Umsetzung hat man, wenn man wirklich pech hat, Gerâte, die in Funktionalität erheblich kastriert sind.
well done Apple, well done.
Ja und jetzt hier wieder schön gegen Apple bashen. HALLO WACH! Bei der Einrichtung der 2Way-Authentifizierung wird explizit auf die Wichtigkeit des Wiederherstellungsschlüssels hingewiesen. Wenn dann der Intellekt nicht mitkommt liegt es,.. natürlich an Apple, an wem auch sonst. Ist wie dieses Beispiel mit dem Bauern und der Badehose.
Bravo Guido, ja keine Verantwortung oder Kundenfreundlichkeit beim Unternehmen suchen wozu auch, die dummen User sind selbst Schuld von daher auch alles gut.
Erstens hast du von Kundenzufriedenheit und Kundenbindung wohl noch nichts gehört und zweitens bist du jemand der anscheinend fehlerfrei durchs Leben geht und daher sich es rausnehmen kann so über andere zu schreiben. Du bist ja zu beneiden.
Ich denke Apple weißt wirklich deutlich genug darauf hin, wie wichtig dieser Code ist. Wer dafür zu blöd ist, darf sich gerne ein bisschen durchkämpfen. Mit Perso und so wird’s sicher irgendwie gehen. Ein „trusted“ device kann viel zu leicht geklaut werden, und dann möchte ich nicht, dass der Dieb auch gleich mein Passwort zurücksetzen kann.
@ Guido
Sorry, aber wenn dein Intellekt nicht mitkommt, sind’s die Apple Basher. Aber auch andere hier scheinen sich nicht gerade mit Intellekt zu bekleckern. Es geht hier garnicht drum, ob du selber die 10 Fehleingaben machst, sondern a n d e r e Mann o_O
Und wieder rechtfertigen die Apple Jünger das Versagen von Apple obwohl ihr iGott hier wieder richtigen Bockmist verzapft hat.
Warum um alles in der Welt wird die Apple ID überhaupt gesperrt? Ich bin hier ganz der Meinung von Caschy. Captchas, wie von Google in solchen Fällen eingesetzt, sind hier doch eindeutig der bessere Weg.
Und was nützt der schön ausgedruckte Key zu Hause, wenn ich aber unterwegs bin, z. B. Beruflich oder im Urlaub und dringend Zugriff auf das Apple Konto brauche aber keinen Zugriff auf das tolle Papier habe?
Nein hier werden die eigentlichen Opfer eines unfähigen Unternehmens wiederholt allein gelassen und einfach als zu dumm hingestellt. Obwohl sie nichts falsch gemacht haben.
Wenn der Account gesperrt ist, kommt erst einmal senden an andere mailadresse oder Fragen beantworten.
Erst wenn das nicht hilft kommt der key, so jedenfalls ohne 2 way heute Morgen.
@Gast
Mit Müll wie „Apple Jünger“ und „iGott“ verabschiedest du dich gleich am Anfang aus der Diskussion.
Wenn ich unterwegs bin, nützt mir das ausgedruckte Papier nichts. Ist klar. In dem hat hat man die Möglichkeit, im Passwortmanager seiner Wahl nachzusehen.
Ach Guido …. gerade mit deiner Nachricht solltest du nicht das Wort „Intellekt“ nutzen. Denn du hast es einfach nicht begriffen. Lies nochmal, langsam und bedächtig. Aber überfordere dich nicht … .
@Caschy: Danke für den Hinweis, dass Apples Faktor-2-Auth. so be…en ist und als Reaktion auf Brute-force-Angriffe stumpf und billig sperrt.
@Tom: Hier geht’s aber gerade explizit um die 2FA
@Kalle: Sorry. Ich konnte einfach nicht widerstehen 😉
Apple stellt sicherlich schöne Produkte her. Aber warum dann hier tatsächlich dieses billige, unnötige Sperren? Anstatt sichere, kundenfreundlichere Alternativen anzubieten. Andere Anbieter bekommen das doch auch hin.
Gott sei Dank bin ich ein Android Depp, der sowas nicht hat.
@Gast
Was jetzt sinnvoller ist, Captcha oder gleich Account-Sperrung, darüber könnte man debattieren. Was ist, wenn dir der Angreifer über die Schulter geschaut hat und fast dein komplettes Passwort weiss, nur nicht den letzten Buchstaben? Dann wartet er einfach die Captchas ab. In dem Fall wäre Sperrung und Reaktivierung über den Code sinnvoll.
Was Caschy schreibt stimmt so nicht ganz. Google sperrt Accounts bei „ungewöhnlicher Aktivität“ auch ohne Captcha. Bei mir bisher zwei mal. Einmal nachdem ich ihn zum ersten mal im Ausland benutzt habe. Ein anderes mal nachdem ich drei Gmail-Sessions offen hatte (zwei mal zu Hause und nach ner Viertel Stunde später beim Kumpel eingeloggt, sicher kein alltägliches Scenario). Also die selbe Situation. In meinem Fall hatte ich damals noch kein zwei-Faktor aktiviert.
@Richard: Kannst du bei Apple doch genauso! Gegen Vorlage eines wichtigen Dokuments. Ob das jetzt dein Ausweis oder dein Sicherheitscode ist, ist dabei doch Wayne. Es wird dir bei der Einrichtung ausdrücklich gesagt, das der Code wichtig ist. Er wird sogar ganz groß und in Fettschrift eingeblendet.
@Guido: Korrekt! Aber die Apple Hater, wollen es ja nicht hören^^
—
Ansonsten ist die Lösung aufjedenfall Effektiv! Zudem besteht scheinbar Handlungsbedarf, wenn jemand schon deine Apple ID kennt und nur noch nach dem richtigen Passwort sucht…
Aber Hauptsache man kann wieder Apple bashen, richtig 😉
Zudem es gibt nur: Sicherheit vs. Benutzerfreundlichkeit. Eines von beiden leidet in der Regel immer, wenn das andere erhöht wird! Und mit der Zwei-Faktor-Authentifizierung entscheidet man sich ganz klar für mehr Sicherheit auf kosten der Benutzerfreundlichkeit!
@Kalle Ja darüber welche Methode sinnvoller ist, kann man wahrlich debattieren. Das Hauptproblem beim sofortigen Sperren sehe ich wie Caschy dabei, dass jeder Volltrottel unter Umständen einfach dein Apple Konto sperren kann. Das kann ein bot sein oder einfach jemand der dich persönlich ärgern möchte. Und als Opfer hat man keine Möglichkeit sich zu wehren bzw wieder an seine Daten und Eigentum zu kommen, wenn man diesen key nicht mehr hat.
Ich habe mich schon länger von Apple verabschiedet. Mein letztes iPhone war ein 4er. Seit einiger Zeit nutze ich die 2FA bei Google. Unterwegs ist mein Phone immer mit Pin oder Muster gesperrt. Habe bei Google eine Telefonnummer und eine alternative email zur Wiederherstellung angegeben.
Ich finde es super, was Apple da macht. Hoffentlich zerschiessen sich die ganzen Apple-Fanboys schön Ihre Konten 🙂
Genau wegen diesen „Sicherheitsfeatures“, nutze ich die 2-Faktor-Authorisierung nicht.
@Gast
Vorher muss er die Apple-ID erstmal kennen. Ein automatisierter Angriff auf beliebige generierte Adressen geht nicht, dann greift die Bot-Sperre.
@Ralf
Solltest du aber. Hast du den Artikel gelesen? Es geht um jemanden, der seinen Wiederherstellungsschlüssel nicht hinterlegt hat.