Zwei-Faktor-Authentifizierung - Klage gegen Apple

[rootie]

https://www.heise.de/mac-and-i/meld...n-ohne-zweiten-Faktor-verfuegbar-3185773.html

Und das ist ja auch gut so, dass es da ohne 2FA geht. Das ist aber kein Argument GEGEN die 2FA. In diesem einen speziellen Fall, wo man nur ein vertrauenswürdiges Gerät besitzt, hat man - wenn man just dieses verloren hat - halt keinen Code, den man erhalten könnte. Dann reicht für diesen Notfall die Apple ID und das Passwort. Das heißt, dass genau in diesem Fall die 2FA KEINEN zusätzlichen Schutz bietet, aber auch nicht WENIGER Schutz.

Kurz gesagt: Man hat mit der 2FA immer mindestens den Schutz, den man ohnehin hat. In 99% aller Fälle sogar mehr Schutz.

Und mir sträubt es wirklich die Nackenhaare, wie sich hier manche Leute Fälle konstruieren, nur um ein Argument gegen die 2FA zu erfinden.

Ist das denn so schwer zu verstehen? Die 2FA ist dazu da, Remote Hacker auszuschalten, die von irgendwo her Eure Apple ID samt Passwort haben. Beispielsweise weil Ihr es mal irgendwo in eine Spam-Mail eingetippt habt, wo „Apple“ zum Verifizieren des Accounts diese Infos haben will. Habt Ihr keine 2FA, ist Euer Account eine Sekunde später direkt kompromittiert, weil da Skripte loslaufen, die den Account direkt übernehmen. Und dann zu Apple gehen und den Account wieder freischalten lassen, kostet mehr Zeit als Ihr je für die Eingaben der 6-stelligen Codes brauchen werdet.

Die 2FA schützt NICHT vor Situationen, wo Ihr Euer Notebook offen rumstehen und dann auch noch das Apple ID - Passwort irgendwo gespeichert habt. Wenn nur das Notebook offen ist und die Leute das Passwort nicht wissen, ist es WIEDER kein Problem, weil selbst in dieser Situation müsste Euer Partner oder Nachbar oder Freund noch das Passwort haben. Eine 2FA-Abfrage erscheint NIE ohne Passworteingabe vorher.

So, ich hoffe, ich konnte nun noch einmal ein wenig Aufklärung schaffen. @giesbert und @NorbertM und noch ein paar haben es eh schon versucht. Scheint aber ein Kampf gegen Windmühlen zu sein.

Und ja ich finde es gut, dass man die Leute dazu zwingt. Warum? Dann führt die Dummheit der Leute, die Passwörter wie 12345 verwenden, wenigstens nicht mehr zu Massenhacks. Und für alle Profis unter Euch: Auch Euch kann es passieren, dass Ihr mal auf eine sehr gut gemachte Spam reinfallt und dann Euer Passwort ins Netz schickt. Bis Ihr das gemerkt habt und versucht, Euer Passwort zu ändern, ist es schon zu spät. Aber das passiert Euch Profis ja nicht, gell? [emoji48] *scnr*

 

[Martin Wendel]

eigentlich will ich ein Opt-In für "Ich wills nur auf das eine Gerät" oder so ;p Weiß da wer was? bin ich zu blöd und sowas gibts ggf?

Nein, das ist meines Wissens nach nicht möglich. Aber stellt sich da für dich nicht letztendlich dasselbe Problem?

Was die Sache an sich angeht: Es ist bei Bankkonten ja auch nicht anders. Wenn du am Handy eine Überweisung tätigen willst, bekommst du per SMS den Bestätigungscode oder aber dein Gerät ist als Trusted Device gespeichert. Die Transaktion findet hier also auch soz. auf dem zweiten Faktor statt, trotzdem ist es eben ein zweiter Faktor.

 

[Jan Gruber]

Nein, das ist meines Wissens nach nicht möglich. Aber stellt sich da für dich nicht letztendlich dasselbe Problem?

Was die Sache an sich angeht: Es ist bei Bankkonten ja auch nicht anders. Wenn du am Handy eine Überweisung tätigen willst, bekommst du per SMS den Bestätigungscode oder aber dein Gerät ist als Trusted Device gespeichert. Die Transaktion findet hier also auch soz. auf dem zweiten Faktor statt, trotzdem ist es eben ein zweiter Faktor.

Ja stimmt schon. Auf einem Gerät bietet sich mir das gleiche Problem - dem Smartphone. Da hab ich weniger Sorgen damit mit weils ich mein iPhone eben das "ich nehme es selbst aufs Klo mit"-Gerät ist. Beim Notebook ist das nicht so. Eigentlich stört mich vA dass sie aufs Macs den Code darstellen und nicht immer aufs Handy weiter schicken.

Den Umstand dass du auf das Gerät den Code auch kriegst tragen sie jetzt ja sogar Folge. Sowohl iOS als auch macOS bieten es ja mittlerweile an den Zweiten Faktor automatisch "aus den Nachrichten" zu übernehmen.

Und gut @rootie @giesbert und @NorbertM Akzeptiere ich =) Heißt mein "Fall" wird davon nicht abgedeckt (echter Zugriff), klar hilft es bei Remote oder generell nur nem Hack. Am Ende gilt halt: Nie so blöd sein sein Gerät entsperrt wo stehen lassen, fertig. Selbst bei Leuten denen man aktuell noch traut nicht ^^ Ändert sowieso nichts dran - 2FA muss sein.

Im Gegenteil wünsche ich mir da noch viel mehr Schutz von Apple. Hab seit einiger Zeit so nen Yubikey - der könnte auch besser in macOS eingebunden sein.

 

[rootie]

Jetzt hast Du es richtig beschrieben: Dein Fall wird in der Tat nicht von der 2FA abgedeckt. Aber was nicht ist, kann ja noch werden [emoji16]

 

[NorbertM]

mein iPhone eben das "ich nehme es selbst aufs Klo mit"-Gerät ist.

Und wenn es da reinfällt, hast du kein Gerät mehr um den Code zu empfangen.

 

[Wuchtbrumme]

die Leute hatten zwei Klagen vorbereitet: wenn Apple Zwei-Faktor-Authentifizierung einführt und wenn nicht.

 

[Jan Gruber]

Und wenn es da reinfällt, hast du kein Gerät mehr um den Code zu empfangen.

Na warum denkst du war ich so froh als die Dinger endlich wasserdicht wurden?

Und wenn es da reinfällt, hast du kein Gerät mehr um den Code zu empfangen.

Na gut, damit kann ich leben =) Und den "Zeitklau" dass das aufs gleiche Gerät kommt auch ^^ Ich denke es wird. Hab mich Anfang des Jahres länger mit diesen Hardware-Keys beschäftigt, offenbar hat Apple da jetzt auch vor "mehr" einzubauen. Vor allem auch in iOS - und was wäre eigentlich mein großer Wunsch. Einfach Key anstecken oder im Zweifel anhalten - als zweiten oder meinetwegen auch dritten Faktor

 

[Freddy K.]

...
nur um ein Argument gegen die 2FA zu erfinden. ...

Ist es nicht eher so, dass einige Leute hier schlechte Erfahrungen mit 2FA gemacht haben? Glaube nicht, dass sie die erfunden haben.

Habe auch gerade festgestellt, dass ich, dank Familienfreigabe vermutlich, alle Apple-Geräte meiner gesamten Familie, mit einem Klick sperren könnte. Wer also meine Apple-ID und mein Passwort erlangt, kann meine komplette Familie lahmlegen. Bin ich beruhigt das mir hier im Forum von dir gesagt wird, dass das genau richtig so ist.

Und übrigens, nimm dir doch lieber ein Beispiel an Norbert als an Don Quijote und nimm es mit Humor. Das Leben ist ein Marathon, kein Sprint, nimm also die Themen nicht immer so ernst. Gegen imaginäre Monster zu kämpfen ist schlecht für den Blutdruck.

 

[NorbertM]

Wer also meine Apple-ID und mein Passwort erlangt, kann meine komplette Familie lahmlegen.

Das ist leider nicht anders möglich, sonst könntest du dein gerade geklautes iPhone unterwegs nicht sofort an einem beliebigen Browser sperren. Du hättest nämlich keinen Zugriff auf den 2FA-Code.

 

[rootie]

Och das täuscht Ich rege mich da nicht (mehr) auf. Vielleicht klingt das so wenn ich schreibe, aber es ist definitiv nicht so, dass ich deswegen nicht schlafen könnte [emoji16]

Die Frage ist: Was für schlechte Erfahrungen kann man machen? Dass der Code nicht zugeschickt wurde mal für 5 Minuten?

 

[Jan Gruber]

Die Frage ist: Was für schlechte Erfahrungen kann man machen? Dass der Code nicht zugeschickt wurde mal für 5 Minuten?

Ich hab fast nur gute. Einmal im Urlaub hatte ich Probleme weil er den Code immer an den Mac zu Hause gesendet hat - und es da die SMS Option nicht gab. Das ist dann natürlich ärgerlich - aber das haben sie ja gut hingekriegt mittlerweile.

Ich wäre noch sehr froh wenn ich einfach ne Authentificator App hätte - so wie bei Blizzard zb (App öffnen und Anfrage bestätigen ohne Code eingeben), oder sie halt den Authentificator in Authy einpflegen könnte - aber naja egal. Es geht wesentlich schlimmer

 

[peter hb]

Ich habe das Gefühl das Beiträge hier nicht ganz gelesen werden. .

Im Gegenteil. Die werden teilweise sehr genau durchgelesen.
Du schreibst zuerst:

Und sry - aber das ist kompletter Käse. Damit wird sich auch eine Podcastfolge außeinander setzen

Um dann wieder zu behaupten:

Ich wiederhole ausdrücklich noch mal: Ich finde es gut und richtig das sie 2FA von Haus aus aktivieren und den Nutzer dazu "nötigen".

Also wie jetzt? Käse oder richtig? Übrigens, könntest Du das mit der Podcastfolge etwas näher erklären?

 

[peter hb]

Habe auch gerade festgestellt, dass ich, dank Familienfreigabe vermutlich, alle Apple-Geräte meiner gesamten Familie, mit einem Klick sperren könnte. Wer also meine Apple-ID und mein Passwort erlangt, kann meine komplette Familie lahmlegen.

Könntest Du es, bitte, etwas näher erklären? Nicht, dass ich Deine Geräte sperren wollte aber ich habe auch eine Familienfreigabe und würde mich gerne gegen so was schützen.

 

[Freddy K.]

Auf meinem iPhone nutze ich die App "iPhone-Suche". Dort tauchen ausnahmslos alle iOS- und Mac-Geräte der Familienmitglieder auf, die an der Familienfreigabe teilnehmen. Und bei allen Geräten habe ich die Optionen: Ton abspielen, Gerät sperren und Gerät löschen. Und zum benutzen der App reicht eben meine Apple-ID und das Passwort dazu.

 

[Martin Wendel]

Und zum benutzen der App reicht eben meine Apple-ID und das Passwort dazu.

It's not a bug, it's a feature. Ansonsten könntest du dein iPhone nicht orten und sperren, sollte es das einzige Apple-Gerät von dir sein und es geht verloren bzw. es wird dir gestohlen.

 

[rootie]

Ich wäre noch sehr froh wenn ich einfach ne Authentificator App hätte - so wie bei Blizzard zb (App öffnen und Anfrage bestätigen ohne Code eingeben), oder sie halt den Authentificator in Authy einpflegen könnte - aber naja egal. Es geht wesentlich schlimmer

Nein sie sollen einfach den Standard nutzen. Das Protokoll heißt TOTP und ist super einfach und super genial.

https://de.m.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus

Das kann man dann beispielsweise in 1Password hinterlegen und dann ist jedes Gerät, welches das TOTP Secret kennt, ein vertrauenswürdiges Gerät.

2FA kann so einfach sein. 1Password kriegt den Spagat hin, höhere Sicherheit mit gleichzeitiger Bequemlichkeit zu vereinen.

 

[Freddy K.]

It's not a bug, it's a feature. ...

Jetzt bin ich beruhigt und kann heute Nacht ruhig schlafen.

 

[peter hb]

Und zum benutzen der App reicht eben meine Apple-ID und das Passwort dazu.

Auch wenn die Anmeldung von einem Gerät, das bis jetzt nicht autorisiert worden ist, durchgeführt wird?

Ich habe nämlich auch schon ein iPhone (in Barcelona geklaut) von meinem Sohn (gehört zu meiner Familienfreigabe) sperren müssen und ich denke damals musste ich mich mit der Code autorisieren. Das war aber schon vor drei Jahren und kann sein, dass ich das falsch in der Erinnerung habe.

 

[Freddy K.]

Kann ich dir mangels Testgerät nicht beantworten.

 

[peter hb]

Apple sagt hier:
https://support.apple.com/kb/ph2700?locale=de_DE&viewlocale=de_DE
folgendes:

Familienfreigabe: Wenn du versuchst, für das iOS-Gerät eines Familienmitglieds den Modus „Verloren“ zu aktivieren, und für das Gerät kein Code festgelegt ist, muss das Apple-ID-Passwort dieser Person auf diesem Computer eingegeben werden. Wenn du versuchst, den Mac eines Familienmitglieds zu sperren, muss das Passwort der Apple‑ID des Familienmitglieds auf diesem Computer eingeben werden.