Entwickler kritisiert iOS-Passwortabfrage

App-Entwickler Felix Krause kritisiert Apple. Zu lange habe man die Nutzer darauf getrimmt, in allen möglichen Situationen und an allen Orten ihre iCloud-Zugangsdaten in iOS einzugeben. Er hat eine Machbarkeitsstudie entwickelt, die zeigt, dass man Apples Abfrageoptik fälschen kann. Dies könnten auch böswillige Angreifer, so wie er meint. Zwar teste das Apple-App-Store-Team sehr gut, damit so etwas nicht passiere, aber wenn alles mal dumm zusammenkommt, dann könnte eine solche böswillige App durchflutschen – und vielleicht mit einem Trigger auf Basis Zeit oder Ort versehen werden, um Nutzerdaten abzufischen.

Er empfiehlt, den sperrigen Weg über den Home-Button zu gehen. Wird dieser gedrückt und der Abfrage-Prompt ist noch da, dann sei die Abfrage valide. Eine böswillige App würde geschlossen werden – inklusive der Fake-Abfrage. Definitiv ein kniffliges Problem, welches nicht nur Apple betrifft – auch LastPass-Nutzer bekamen schon Fake-Abfragen im Browser und Angreifer versuchten auch schon, Windows-Zugangsdaten so zu entlocken.

Zwar nervt Apple die Nutzer schon seit langem damit, dass diese eine Zwei-Faktor-Authentifizierung nutzen, sodass die Kombination aus Nutzernamen und Passwort alleine unnütz ist, aber vielleicht könnte man es tatsächlich besser lösen – mit der Option, dass nur in den Systemeinstellungen das Passwort eingegeben werden kann. Das ist zwar unbequemer, aber eben doch vertrauenswürdiger.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Bye Entwicklerlizenz.

  2. Mein iPhone nervt mich seit 2 Jahren mit diesen Passwort-Popups für meinen iCloud-Account. Egal wie oft ich es neu eingebe, nach einigen Tagen taucht es wieder auf.

    Tipp um zu schauen ob es vom System ist: Einfach erst einmal ein falsches Passwort eingeben und gucken was dann erscheint.

  3. Komisch finde ich immer das bei mir in den Laden immer so viele Leute kommen die ihre Zugangsdaten nicht wissen. Da merke ich immer das die ihr Smartphone nicht wirklich benutzen außer für Whatsapp, Telefonieren und SMS. Da hätte es aber ein Telefon für den Drittel des Preises auch getan.

    Aber im allgemeinen Weiß kaum jemand zumindest kommt es mir immer so vor wie wichtig das Icloud Konto oder das Googlekonto ist.

    Besonderes wenn Die irgendwann das Telefon tauschen.

  4. @Raphael
    Was Lokal passiert bleibt auch Lokal.

  5. @Simon: Das ist für die meisten kein Problem, dann wird ein neuer Account angelegt und fertig …

  6. @Simon: das man seine Zugangsdaten nicht weiß ist ja, wie du auch festgestellt hast – die Regel. d.h. nicht der Nutzer muss sich ändern, sondern die Geräte. Ich finde es ein Unding das immernoch Passwörter eingegeben werden müssen. Die sind meiner Meinung nach genauso unsicher wie Fingerabdrücke oder Gesichtserkennung aber ungleich sperriger zu handhaben.
    Ganz ehrlich: ich habe bei mir alle, wirklich alle nervenden Sicherheitseingaben ausgeschaltet, seit Jahren! Nur PIN und Fingerabdruck, das wars. Sollte mein Gerät mal gestohlen werden kann ich es aus der Ferne lokalisieren und löschen etc.

  7. @maatik: Mit Blick auf die Zugriffssicherheit gibt es m.E. keine Alternative zum klassischen Passwort, aber natürlich nur, wenn es auch zumindest halbwegs sicher gewählt ist. Mein Smartphone unterstützt keine Gesichtserkennung, aber wenn es das täte, hätte ich es deaktiviert, so wie ich auch schon jetzt das Entsperren per Fingerabdruck deaktiviert habe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.