Kein Bug, sondern ein Feature
2-Faktor-Authentifizierung: Warum die Bestätigungscodes überall angezeigt werden
Apples Zwei-Faktor-Authentifizierung hatten wie diese Woche schon zum Thema. Im Zusammenhang damit erhalten wir regelmäßig Anfragen bezüglich der Tatsache, dass die Bestätigungscodes auf allen Geräten angezeigt werden – also auch dem Gerät, auf dem an sich gerade anmelden will. Für einen Unbefugten, der im Besitz eures Apple-Passworts ist, stellt die Zwei-Faktor-Authentifizierung dadurch in der Tat keine zusätzliche Hürde dar – zumindest nicht direkt.
Schutz für das iCloud-Konto, nicht das Gerät
Hierbei handelt es sich allerdings nicht um einen Fehler, sondern das Verhalten ist Teil des Konzepts. Ihr dürft die Zwei-Faktor-Authentifizierung nicht als Schutzmaßnahme für die einzelnen Geräte sehen, das System soll eure Benutzerkonto bei Apple zusätzlich sichern. Auf diese Weise wird gewährleistet, dass sich niemand von einem fremden Gerät aus unbefugt bei Apple oder einem iCloud-Dienst anmelden kann.
Natürlich könnte Apple die Anzeige des Zugangscodes auf dem gerade genutzten Gerät unterdrücken und diesen statt dessen nur auf anderen Geräten des selben Nutzers anzeigen. Dies würde allerdings nicht nur voraussetzen, dass man um die Zwei-Faktor-Authentifizierung zu verwenden mehrere Apple-Geräte besitzt, sondern auch dass man ständig mindestens zwei davon zur Hand hat. Dergleichen ist nicht praktikabel.
Im Notfall Geräte fernlöschen oder entfernen
Wenn euch tatsächlich mal ein Apple-Gerät abhanden kommt, müsst ihr also anders und vor allem schnell reagieren. Über die Funkion “Mein iPhone suchen“ könnt ihr das Gerät aus der Ferne orten, sperren oder auch gleich komplett löschen.
In diesem Zusammenhang muss man auch erwähnen, dass Apple die Verwaltung der „vertrauenswürdigen Geräte“ umgestellt hat. Daher bekommt ihr die Bestätigungscodes mittlerweile auf all eure Geräte. Während man diese früher noch ausdrücklich bestimmen musste bzw. konnte, gelten heute alle Apple-Geräte, an denen man sich einmal mittels Zwei-Faktor-Authentifizierung als Eigentümer legitimiert hat, als vertrauenswürdig. Sollte es nötig sein, einem Gerät diesen Status zu entziehen, so kann man es auf der Apple-ID-Account-Übersicht entfernen. In der Folge werden darauf keine Bestätigungscodes mehr angezeigt, auf iCloud und andere Apple-Dienste kann von diesem Gerät erst wieder zugegriffen werden, wenn man sich erneut mit der Zwei-Faktor-Authentifizierung angemeldet hat.
Interessanter Artikel, war mir so nicht bewusst.
Was einem auch nicht bewusst ist: Man ist gezwungen die 2FA zu aktivieren, wenn man Ende-zu-Ende-Verschlüsselung für die wichtigsten Daten nutzen will.
Siehe https://support.apple.com/en-us/HT202303
Es ist zwar bequem aber trotzdem unsicher die Bestätigungscodes überall anzuzeigen. Wenn einem ein Gerät entrissen wird, hat man kein zweites Gerät schnell zur Hand. Ok, man muss immer noch vorher das Passwort wissen. Naja, so isses halt
Es ist nicht unsicher.
Wenn Du dein Auto mit laufendem Motor hinstellst und jemand wegfährt ist das Vergleichbar mit dem gestohlenen Smartphone, dass gerade nicht gesperrt war.
Nein, nicht ganz. Beim Smartphone muss derjenige noch das PW für deine Apple ID haben.
Also ist es (wenn ich schon vergleiche) sicherer, als würdest Du dein Auto mit laufendem Motor abstellen. Analog könnte der Dieb zwar einsteigen und das Fahrzeug durchsuchen, aber dennoch nicht wegfahren.
Edit: Unsicher ist es nur, wenn Du ganz frische das PW Deiner Apple ID eingegeben hast und derjenige es dann in dem kurzen Zeitfenster nimmt.
Du hast es wohl auch nach dem lesen des Artikels nicht verstanden.
Wen meinst du?
Und wieso genau soll es unsicher sein den Code auf allen Geräten anzeigen zu lassen?
Wenn einem das Gerät entrissen wird, ist es in der Regel noch gesperrt. Evtl. können sie zwar den aentsperrcode finden, aber bis dahin hatte man die Zeit auf Apples Seite zur Apple ID das Gerät für 2FA deaktivieren zu lassen.
Steht übrigens im Artikel … also bitte genauer nachlesen, wenn einem eine Seltsamkeit auffällt.
Danke für all die Antworten!
Mit „Entrissen“ meinte ich mitten in der Benutzung und da ist das Gerät entsperrt.
Und ich erwähnte, dass man trotzdem das PW braucht.
Also verstehe ich: es wird die iCloud Anmeldung geschützt, nicht das Gerät.
Ist mir gerade heute aufgefallen – danke für den Artikel.
Das bestätigt mir aber mal wieder, warum ich sie bislang immer noch nicht aktiviert habe und auch allen Bekannten davon abrate.
Nicht nur das ich mich selbst ausschließe, wenn ich mal kein Applegerät zur Hand habe (ja auch das iPhone ist in seltenen Fällen mal nicht dabei), nein auch jeder Dieb bekommt den Code bequem serviert.
Welcher Dieb kommt denn an dein Gerät dran ohne den Sperrcode zu umgehen? Dein Zwillingsbruder mit Face-ID oder was? :D
Wie oft kommt es denn vor dass man kein Apple-Gerät dabei hat und sich auf der iCloud-Website anmelden will?
Mit Face ID redest du von einem einstelligen Prozentsatz aller im Einsatz befindlichen iOS-Geräte. Nicht gerade repräsentativ.
Die ganzen Entsperrcodes sind zwar nett, aber da muss ich im Bus oder Zug nur mal über ein paar Schultern schauen, bevor ich es demjenigen vor dem nächsten Halt aus der Tasche ziehe. Die meisten Codes sind nicht gerade einfallsreich, es soll ja schnell gehen wenn man das Gerät mal braucht. Entsperrt ist so ein Gerät also schnell.
Da hilft mir ein sicheres Passwort mehr!
Dann bist du ein schlechter Ratgeber der gar nicht die Kompetenz hat Ratschläge zu geben da du es nicht verstanden hast.
Nö!
ich werde langsam misstrauisch, ob du nicht einfach bloss ein Troll bist …
war an @longlife gerichtet
Was erwartest du auf ein derart substanzloses Kommentar!?
@longlife
auf meine antwort (weiter unten) hast du noch nicht reagiert … was ist los?
Der Code wird nur auf Geräten angezeigt die bereits als vertrauenswürdiges Gerät registriert wurden UND entsperrt sind. Für den Notfall wird eine Telefonnumer hinterlegt (möglichst nicht die Nr des iPhones). Ich gebe zu das Konzept ist nicht einfach zu verstehen und ist auch nicht sehr komfortabel aber es bringt ein deutlichen Zuwachs an Sicherheit für die eigene Apple-ID. Die Empfehlung die du deinen Bekannten gibst ermöglicht Unbefugten einen einfacheren Zugriff auf deren Apple ID. Vielleicht solltest du dies noch einmal überdenken.
Entsperrt ist so ein Gerät schnell, sie meine Antwort auf „Dan D“.
Mit nicht verstehen hat das nichts zu tun, sondern man behindert sich selbst erheblich, dafür dass man noch eine zusätzliche Hürde hat.
Grad wenn man sich mal eben in eine Familien-ID einloggen muss, aber grad eben nicht eines deren „vertrauenswürdigen“ Geräte vor sich hat.
Ah ich sehe schon, da ist jemand „beratungsresistent“. Viel Spaß mit angeblich schnell entsperrten Geräten (TouchID?) und Familien-IDs.
Also zusammengefasst:
Deiner Meinung nach ist es sicherer, wenn der Dieb nur mit Logindaten deine Apple ID übernehmen kann.
Unsicher ist, wenn der Dieb deine Logindaten, eines deiner Geräte und noch das Passwort/PIN/Finger/Gesicht zu dem Gerät besitzt.
Bin froh, dass ich nicht einer deiner Bekannten bin.
2-Faktor Authentifizierung schützt dich unter anderem davor, dass deine Apple ID von der anderen Seite der Erde übernommen werden kann, z.B. um alle deine Apple Geräte zu sperren und ein Lösegeld für die Freigabe zu fordern.
Eine Verminderung der Sicherheit kann ich beim besten Willen nirgends feststellen.
Der Finder/Dieb sieht doch in dem Moment auch nur den Code. Ohne Eingabefeld ist der Code dann eh nicht zu gebrauchen.
Nein es ist kein Code zu sehen solange das iPhone gesperrt ist.
Könnte einFremder, so er mein Passwort für die Cloud kennt, nicht auch seinen eigenen Rechner als vertrauenswürdig definieren und würde in der Folge den entsprechenden Code auf dieses (fremde) Gerät bekommen?
Dafür muss er das Gerät erst mal mit der Apple-ID iCloud anmelden und braucht wiederum den Bestätigungscode.
Es geht doch darum deine Cloud zu schützen und den Zugriff darauf durch die zusätzliche zwei Faktor-Authorisierung zu schützen. Warum sollte ein Fremder das Passwort für deine Cloud kennen und selbst wenn, dann greift ja gerade die Zweifaktor-Authorisierung ein. Denn dafür ist sie gedacht.
@Klaus Nein!
Um ein weiteres Gerät als vertrauenswürdig einzustufen, muss man sich ja zunächst in der iCloud anmelden. Und da braucht man einen zweiten Faktor.
Ich stelle fest dass das Konzept der 2FA für viele zu komplex und unverständlich ist. Jedoch erhöht es deutlich die Sicherheit des eigenen Account. Wenn der Account durch Fremde übernommen wurde habt ihr ein richtig dickes Problem und dann kann euch (vielleicht) nur noch Apple helfen. Deshalb ist die Aktivierung der 2FA quasi ein MUSS und kein KANN.
Sehe ich genauso!
Problematisch und erschreckend zu erfahren ist, die Daten mit möglicher Ende-zu-Ende-Vershlüsselun sind in oCloud überhaupt nicht Ende-zu-Ende-verschlüsselt. So sind z.B. die Passwörter der iCloud-Keychain quasi als Klartext auf dem Server (Achtung: man bezeichnet dies als Klartext, auch wenn sie verschlüsselt gespeichert werden, weil der Dritte, der speichert, den Schlüssel zum Entschlüsseln besitzt und somit ohne zu fragen z.B. der NSA alle Daten unverschlüsselt liefern können – und Apple mach dies tatsächlich durch NSLs etwas verschwiegen, weil sie dies müssen, aber wenn die Daten Ende-zu-Ende-verschlüsselt sind, kann Apple für die NSA nichts machen und es erleichtert ihnen die Arbeit, weil sie dann der NSA die geforderten Daten nicht unverschlüsselt und aufbereitet liefern können und sich somit Zeit und Geld deswegen sparen können). Dank 2FA ist dies laut Apple bei einigen Daten nicht mehr wie im Post https://www.ifun.de/2-faktor-authentifizierung-warum-die-bestaetigungscodes-ueberall-angezeigt-werden-125477/#comment-494316 erwähnt.
Damals dachte ich auch, dass 2FA ziemlich kompliziert ist. Dann habe ich es irgendwann auf meinem Apple-Account aktiviert (bzw. wurde es nicht automatisch aktiviert?) und seit dem konnte ich mich damit anfreunden.
Ich habe es zwar nicht auf jeder Plattform aktiviert aber auf „wichtigen“ Sachen wie eben der Apple-Account, wo meine Geräte mit verknüpft sind, finde ich es sehr, sehr sinnvoll.
Schön wäre es halt, wenn derjenige, der mehr als ein Apple Gerät sein eigen nennt, dies bewusst deaktivieren könnte, dann wäre für mich die 2 Faktor Authentifizierung auch gefühlt sicher…
Aber vielen Dank @ifun für die Erläuterungen :-)
Es geht aber eben nicht um gefühlte Sicherheit, sondern um Echte.
ist oft deckungsgleich… es wäre ein Leichtes gewesen, dies hier zu erreichen!
Naja .. aber an den Code kommt man doch auch nur wenn man den Passcode überwunden hat .. das vorschnelle Entfernen bzw. Löschen empfehle ich definitiv nicht.. sonst kann man es nicht mehr Orten.
Mir persönlich gefällt dieser Artikel nicht.
6-stelligen Passcode einstellen und fast alle Probleme, die hier beschrieben wurden, sind somit nichtig.
Haben viele erst seit gestern die 2FA?
Habe diese schon seit es sie gibt und es gibt absolut keine Probleme damit und wieso genau sollte es unsicher sein die Codes auf allen Geräten anzeigen zu lassen?
Außerdem ist das nicht neu.
Erschreckend, dass so viele diese simple 2FA nicht verstehen…
Grundsätzlich ist es sehr gut.
Eine Kleinigkeit ist mir jedoch aufgefallen, was mich sehr interessieren würde. Ich hoffe das dies selbstverständlich nie passieren wird, aber sollte man zum Beispiel in den Ferien sein und man als Beispiel nur das iPhone mitgenommen hat, einem dieses gestohlen wird … was dann ??? Wenn man nun auf Grund dessen das gestohlene Gerät sperren, löschen oder was auch immer machen möchte, von irgendeinem PC, Tablet oder was auch immer, geht dies ja nicht, da man auf dem Gerät von dem man in den Ferien aus keinen Bestätigungscode bekommt.
Hat hier jemand eine Lösung hierfür?
Einfach iCloud nicht nutzen, dann braucht man 2FA auch nicht. Außerdem müsste ein Dieb erstmal mein PW herausbekommen und findet dann … nichts vor.
Wacht doch mal auf und macht euch nicht immer abhängig von externen Clouddiensten. Inzwischen hat doch so gut wie jeder ein NAS zuhause stehen, der genau für solche Zwecke geeignet ist. Passwörter würde ich auch nie in der Cloud speichern. Naja, eines Tages kommt hoffentlich das böse Erwachen für den Großteil der naiven Menschen. Eure Daten gehören nur euch!