• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Na, habt Ihr genügend in Stoffen geschwelgt? Dann könntet Ihr Euch jetzt die zahlreichen Einsendungen dieses Monats anschauen und entscheiden, welches Foto davon Euch am Besten gefällt. Hier geht es lang zur Abstimmung --> Klick

Riesen Sicherheitslücke: Apple ID Passwort mit Passcode ändern

jensche

jensche

Harberts Renette
Registriert
27.10.04
Beiträge
7.014
_macminimal schrieb:
Inwiefern kommt da nun relevanter Weise "wenn biometrische Anmeldung fehl schlägt" zum Tragen?
Zum Vergrößern anklicken....
Nach 3 Fehlschlägen von Face ID kommt automatisch der Passcode. 4-6 stellen kann man schon im Augenwinkel mitschauen.

Oder wenn jemand Face ID (evtl. sogar aus versehen deaktiviert). Z.b. mit 3mal auf die Seitentaste klicken. Dann kommt der Passcode.

Oft aber auch schon wenn FaceID nicht sauber funktioniert.
 
Joh1

Joh1

Golden Noble
AT-Fan
Registriert
01.04.14
Beiträge
14.992
_macminimal schrieb:
Natürlich kann das mal passieren, wenn ich allerdings 99% der Anmeldungen (erfolgreich) biometrisch tätige, muss es schon mit dem Teufel zugehen, dass genau dann wenn ich von Betrügern beobachtet werde, mein biometrisches Verfahren fehl schlägt UND ich dann sichtbar für den/die Betrüger, meinen numerischen Passcode eingebe UND anschließend mein iPhone/iPad auch noch von genau denen geklaut wird...
Zum Vergrößern anklicken....
Das trifft ja auch alles zu wenn man nur den Code eingibt.
Bis auf den einen Zufall.
Aber auch da müssen die Diebe dich dabei erstmal sehen und es dir dann noch klauen.

jensche schrieb:
Oder wenn jemand Face ID (evtl. sogar aus versehen deaktiviert). Z.b. mit 3mal auf die Seitentaste klicken.
Zum Vergrößern anklicken....
Wieso Face-ID deaktivieren durch dreimal die Seitentaste klicken?
Ich deaktiviere dadurch kein Face-ID.
 
_macminimal

_macminimal

Langelandapfel
Registriert
11.11.14
Beiträge
2.675
Joh1 schrieb:
Das trifft ja auch alles zu wenn man nur den Code eingibt.
Bis auf den einen Zufall.
Aber auch da müssen die Diebe dich dabei erstmal sehen und es dir dann noch klauen.
Zum Vergrößern anklicken....
Genau das schreibe ich doch?!

Ausgangspunkt: "Kriminelle könnten meinen numerischen Passcode ausspionieren und mit eben diesem auch Kontrolle über meine A-ID erlangen."

Mein Input dazu (verkürzt): "Wenn man (hauptsächlich) biometrische Anmeldung nutzt, halte ich dieses Szenario für unwahrscheinlich"

Antwort: "äääh ja, aber..."

Ist alles iO, aber ich habe den Eindruck einige (wir) reden hier aneinander vorbei?

Joh1 schrieb:
Weil man dann wenn es fehlschlägt was ja durchaus mal sein kann dann auch in der Öffentlichkeit den Code eingeben muss...
Zum Vergrößern anklicken....
Dann sollte man sich in genau diesen (tendenziell seltenen) Fällen nicht "beobachten" PLUS sich danach das iPhone nicht klauen lassen. Sowas gilt natürlich auch dann, wenn man mal in der Öffentlichkeit sein A-ID-PW über die Sicherheitsfragen zurücksetzen muss... ;)
 
jensche

jensche

Harberts Renette
Registriert
27.10.04
Beiträge
7.014
_macminimal schrieb:
"Wenn man (hauptsächlich) biometrische Anmeldung nutzt, halte ich dieses Szenario für unwahrscheinlich"
Zum Vergrößern anklicken....
eben nicht... aus versehen den seitenknopf 3 mal gedrückt kommt Passcode abfrage, FaceID nicht sauber ausgeführt kommt Passcode usw.
 
_macminimal

_macminimal

Langelandapfel
Registriert
11.11.14
Beiträge
2.675
jensche schrieb:
eben nicht... aus versehen den seitenknopf 3 mal gedrückt kommt Passcode abfrage, FaceID nicht sauber ausgeführt kommt Passcode usw.
Zum Vergrößern anklicken....
Ich weiß... (bei Fehlversuchen kommt die Code-Abfrage) was ist deine Frage?! Bzw was habe ich dazu noch nicht geschrieben?
 
SchwanzusLongus

SchwanzusLongus

Prinzenapfel
Registriert
23.09.15
Beiträge
545
Ihr diskutiert hier über ein theoretisches Ereignis, das in der Kombination nicht allzu oft auftreten dürfte...
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
 
  • Like
Reaktionen: AndaleR und voyager

Benutzer 250503

Gast
wie es geschehen kann wissen alle.
das es geschehen kann, sie davon wissen, es nicht gepatch wurde, ist der Aufreger.
Das Dich solche Dinge nicht sonderlich kümmern ist nicht schockierend neu und hast es schon durchblicken lassen.:cool:
 
BalthasarBux

BalthasarBux

Weißer Trierer Weinapfel
Registriert
25.12.19
Beiträge
1.524
Aravanadi schrieb:
Gerüchteweise sollte es was neues mit iOS/iPadOS 17 geben, aber vielleicht muss man erst mal die kommende Keynote abwarten.
Zum Vergrößern anklicken....
Was sollen das für Gerüchte sein? iOS 17 Beta gibt es schon ne Weile. Welche Gerüchte oder Funktionen beziehen sich denn darauf, dass die Schwachstelle "PIN für Passwortänderung und Aussperrung aus der eigenen AppleID" beschränkt wird?
_macminimal schrieb:
Ich beziehe mich auf die Argumentation, dass "Betrüger den Passcode ausspähen" (indem sie zusehen während man diesen eingibt) und später, wie hier kritisiert, damit sogar A-IDs (PWs) ändern könnten.
Zum Vergrößern anklicken....
Die Häufigkeit halte ich für irrelevant. Es sollte gar nicht zur Debatte stehen, dass dieser Code allein ohne irgendeinen anderen Faktor ermöglicht, das AppleID-Passwort zu ändern. Mindestens sollte man es deaktivieren können. Seit biometrischen Möglichkeiten ist mein "Code" sowieso alphanumerisch und lang, aber ich bin auch nicht Ziel solcher Angriffe.
SchwanzusLongus schrieb:
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
Zum Vergrößern anklicken....
Man fühlt sich häufig unangreifbar und klug, wenn einem sowas noch nie passiert ist. Aber solche Aktionen passieren meist sehr schnell und sehr gut geplant. So ein Angriff findet natürlich nicht gezielt auf dich statt, aber an Orten, wo viele Leute sind. In einer Bar liegen zig iPhones auf Tischen. Man sieht ja, ob jemand regelmäßig einen Code eingibt, wenn er was am iPhone macht. Diese Person kann man dann genauer beobachten.
Heißt: Wenn du vorsichtig bist, wird dir wohl nie was passieren. Darum geht es aber nicht. Es sollte nicht möglich sein, diese Schwachstelle so einfach ausnutzen zu können. Wie bereits beschrieben, sind die Auswirkungen extrem: Man verliert tendenziell die Kontrolle über die komplette AppleID, kann von der ausgeschlossen werden. Zusätzlich kann auch ApplePay weiterverwendet werden und die Person hat Zugriff auf alles, was im iCloud-Keychain liegt. Nur durch Eingabe eines 4-6stelligen PINs. Das sollte nicht möglich sein. https://www.macrumors.com/2023/02/24/iphone-stolen-passcodes-report/

Diese Info muss halt auch zur letzten Person durchdringen, die als GerätePIN nur 123456 nutzt, weil sie denkt, dass auf dem Gerät ja nix wichtiges ist. Was dieser Code Stand jetzt alles bewirken kann, ist doch keinem Menschen klar, der sich hiermit nicht beschäftigt.
 
  • Like
Reaktionen: Benutzer 250503
_macminimal

_macminimal

Langelandapfel
Registriert
11.11.14
Beiträge
2.675
BalthasarBux schrieb:
Die Häufigkeit halte ich für irrelevant. Es sollte gar nicht zur Debatte stehen, dass dieser Code allein ohne irgendeinen anderen Faktor ermöglicht, das AppleID-Passwort zu ändern. Mindestens sollte man es deaktivieren können. Seit biometrischen Möglichkeiten ist mein "Code" sowieso alphanumerisch und lang, aber ich bin auch nicht Ziel solcher Angriffe.
Zum Vergrößern anklicken....
Ich halte die "Häufigkeit" für absolut relevant, denn diese sagt u.a. etwas über die Wahrscheinlichkeit und demnach das reale Risiko aus. Das hierbei eine andere (welche?) Mechanik besser wäre ist ein angegliedertes Thema.
 
Manou Sakis

Manou Sakis

Friedberger Bohnapfel
Registriert
17.10.22
Beiträge
536
SchwanzusLongus schrieb:
Ihr diskutiert hier über ein theoretisches Ereignis, das in der Kombination nicht allzu oft auftreten dürfte...
  1. Die Situation, dass die biometrische Entsperrmethode nicht funktioniert, muss eintreten
  2. Ein pöser Dieb muss mich in genau diesem Moment beim Eingeben meines Passcode beobachten UND diesen auch noch richtig erkennen
  3. Der pöse Dieb muss mir mein Device klauen
Zum Vergrößern anklicken....
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
 
O-bake

O-bake

Welscher Taubenapfel
Registriert
21.01.07
Beiträge
759
Manou Sakis schrieb:
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
Zum Vergrößern anklicken....
Wenn mich jemand mit vorgehaltener Waffe ausraubt, ist das wohl kaum eine Sicherheitslücke seitens Apple. Bei roher Gewalt und genügend krimineller Enrgie ist halt irgendwann ein Ende erreicht. Bei mehr oder weniger allem. Und das ist ja wohl eine absolute extrem-Ausnahme.

Übrigens: wenn ich meine PIN auf meine EC-Karte notiere und diese verliere, ist es keine Sicherheitslücke seitens meiner Bank. Das gleiche ist übrigens, wenn ich jemandem meinen iOS Passcode "zeige". Für ein letztes Minimum ist man eben noch selbst verantwortlich. Es sind nicht ausnahmslos immer die anderen Schuld.
 
AndaleR

AndaleR

Moderator
AT Moderation
Registriert
09.08.20
Beiträge
7.384
Wer vor diesem Leck Angst hat, kann sich noch schützen - über Beschränkungen (Bildschirmzeit) kann man dann die Code-Änderung nochmal über einen Code schützen… Also bitte nicht sagen, man kann sich nicht schützen.

Das ganze haben wir hier im Forum ja schon vor längerem diskutiert (Links in dem Thread schon gepostet), dachte jetzt kurz, da wär was neues auf dem Markt. Letzten Endes wird es NIE den ultimativen Schutz geben - man kann nur versuchen, aufzupassen. Allein FaceID - das nutze ich ja immer. Überlege, wie oft ich den Passcode eingeben musste in der Öffentlichkeit und dann noch, wenn neben mit ein fremder sitzt… Relativ selten?
 
SchwanzusLongus

SchwanzusLongus

Prinzenapfel
Registriert
23.09.15
Beiträge
545
Ich verstehe den Punk schon - Passcode und iPhone weg => potentiell alles was du darauf gespeichert und in deinem Account hast ist weg bzw. der ganze Account.

PIN deiner Bankkarte und Karte wird geklaut => Ich rufe bei der Hotline an und lasse die Karte sperren. Abgesehen von Tageslimit etc.

Warum Apple da nicht einfach eine Option "Passcode für Passwortänderung" oder so einbaut versteht wohl keiner.
 
_macminimal

_macminimal

Langelandapfel
Registriert
11.11.14
Beiträge
2.675
Manou Sakis schrieb:
Scheint ja im Frühjahr in USA oft genug passiert zu sein... Laut Medienberichten waren da organisierte Banden am Werk,. Es wurden den Opfern ihre iPhones teilweise unter Vorhalt von Waffen bzw. Androhung von Gewalt abgenommen. Da hat man sich nichtmal die Mühe gemacht unauffällig vorzugehen. D.h. die Täter konnten einen bevölkerten Ort überblicken, z.B. ein Cafe, und wenn es ihnen gelungen ist einen Passcode zu erspähen - auch durch mitfilmen! - wurde die Person im Anschluss überfallen.
Zum Vergrößern anklicken....
Mal ehrlich, wer ein Handy mit vorgehaltener Waffe raubt, der muss vorher auch keinen Passcode "ausspähen". :eek:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten