Zwei-Faktor-Authentifizierung - Klage gegen Apple

[rootie]

@rootie
Ein Grund warum es mir so viel Spaß macht, mich mit dir zu unterhalten.

Danke. Das Kompliment kann ich leider nicht zurückgeben. Aber lassen wir das.

@kelevra und @Macbeatnik haben Recht. Die Meinungen sind viel zu weit auseinander als dass man hier ernsthaft zu einer gemeinsamen Sicht kommen könnte. Du bist halt eher einer der „Ich bin einfach mal dagegen“ - Fraktion und ich bin einer, der erst mal die Änderungen sich in einer positiven Art und Weise anschaut und dann entscheidet ob sie für mich gut oder schlecht sind. Bis dato habe ich keine schlechten Erfahrungen mit etwaigen Änderungen seitens Apple gemacht. Ich bin zufrieden. Und ich fühle mich keineswegs bevormundet.

Gründe für die 2FA gibt es genug. Ein paar sehr wenige Gründe mögen dagegen sprechen für ein paar Leute. Die haben halt an dieser Stelle schlicht und einfach Pech gehabt. Man kann es nicht 8 Milliarden Menschen mit einer einzigen Entscheidung gleichermaßen recht machen.

 

[Papa_Baer]

Muss man immer einer Meinung sein? Ich denke nicht und man sollte gegenteilige Meinungen auch akzeptieren können. Man muss sie ja nicht für sich übernehmen.

Aber wenn ich das hier lese

Du bist halt eher einer der „Ich bin einfach mal dagegen“ - Fraktion

trägt das auch nicht zu einem sachlichen Austausch bei zumal der 2. Halbsatz einen selbst ins bessere Licht rückt und den anderen richtig „dumm“ da stehen lässt.

Toleranz und Akzeptanz machen das Leben so viel leichter. Und nu bin ich auch schon wieder raus aus der Disskusion. Ich wollte nur mal eben meine Meinung zur Disdkusionskultur hier im Forum los werden.

 

[Freddy K.]

… sie wollen oder können auch nicht lernen.

Gut. Aber für alle, die können oder wollen, wäre doch bestimmt eine Hintertür möglich. Irgendwo in den tiefen der Apple-ID-Webseite, ein Dialog um 2FA, auf eigene Gefahr natürlich, abzustellen falls man das möchte. Mit 25 Sind-sie-sicher-Checkboxen, damit die DAUs gar nicht erst so weit kommen.

... Du bist halt eher einer der „Ich bin einfach mal dagegen“ - Fraktion und ich bin einer, ...

Genau mein Humor.

 

[rootie]

Gut. Aber für alle, die können oder wollen, wäre doch bestimmt eine Hintertür möglich. Irgendwo in den tiefen der Apple-ID-Webseite, ein Dialog um 2FA, auf eigene Gefahr natürlich, abzustellen falls man das möchte. Mit 25 Sind-sie-sicher-Checkboxen, damit die DAUs gar nicht erst so weit kommen.

Es geht hier nicht um DEINE Gefahr. Es geht auch darum, dass Apple sich nicht irgendwann mal mit einer Klage herumschlagen muss, weil sie sicherheitstechnisch nicht alles getan haben.

Ich für mich (!) hoffe, dass die 2FA bald Pflicht für alle Apple IDs wird. Dann habe ich zukünftig auch weniger Probleme mit gehackten Accounts im Bekanntenkreis und Apple erfüllt sämtliche Sicherheitsstandards. Eine Win-Win-Win-Situation also.

@Papa_Baer Ich akzeptiere andere Meinungen doch. Ich habe überhaupt kein Problem damit, wenn jemand anders denkt als ich. Ich habe nur ein Problem damit, wenn man keine stichhaltigen Argumente für seine Meinung hat. Ich persönlich bin der Auffassung, dass man seine Meinung durchaus verteidigen kann und soll. Aber mit Argumenten.

Wieso werden Beiträge von @kelevra oder @Macbeatnik von den Gegnern der 2FA einfach ignoriert, während ich für die gleiche Meinung „abgestraft“ werde? Ich glaube das ist schon wieder ein persönliches Ding geworden und von daher verabschiede ich mich auch aus dieser Diskussion.

@Freddy K. und stiller Mitliker @saw - Begraben wir das Kriegsbeil für diese Diskussion. Ihr werdet uns nicht Recht geben, wir Euch nicht. Von daher sparen wir uns doch gegenseitig die Zeit, immer über den gleichen Mist zu sabbeln.

 

[Freddy K.]

Ich hingegen hoffe die Klage geht durch, und Apple muss reagieren.

Frage mich gerade, warum es in meinem Bekanntenkreis so gar keine gehackten Accounts gibt. An den Passwörtern kann es ja nicht liegen. Wahrscheinlich haben die es auch einfach noch nicht gemerkt, dass sie gehackt worden sind. Werde das mal genauer untersuchen.


Lieber @rootie,

wir sind keine Gegner und führen auch keinen Krieg miteinander. Niemand hier muss einen „Sieg“ für seine Meinung davontragen. Wir sind einfach nur „Bekannte“ die sich über ein Thema unterhalten.

Auch bin ich mir nicht sicher, warum du glaubst abgestraft zu werden. Schau dir doch deine Likes und die gemachten Beiträge nochmal genau an, viele hier sehen die Sache genau wie du.

Auch ist es nichts – kann da natürlich nur für mich sprechen – „persönliches“, war schliesslich auch schon dein stiller Mitliker.

 

[rootie]

Frage mich gerade, warum es in meinem Bekanntenkreis so gar keine gehackten Accounts gibt. An den Passwörtern kann es ja nicht liegen. Wahrscheinlich haben die es auch einfach noch nicht gemerkt, dass sie gehackt worden sind. Werde das mal genauer untersuchen.

Meine Bekannte war wohl Teil dieses Mega-Leaks von Usernamen und Passwörtern von vor ein paar Wochen. Auch wenn da wohl nur die Hashes geleakt worden sind - bei einfacheren Passwörtern ist dann der Offline-Brute-Force - Angriff überhaupt kein Problem. Und da hätte die 2FA alles verhindern können. Gott sei Dank war es PayPal. Wir hatten die Zahlung gemeldet und am Tag drauf kam dies Gutschrift, ohne dass die weitere Infos haben wollten. Es hat wohl nicht nur sie betroffen. Ich kann Dir gerne auch Screenshots schicken, wenn Du mir das alles nicht glaubst und denkst, ich hätte das nur erfunden, um ein Argument für 2FA zu haben [emoji16]

Und das ist genau meine Kernaussage für die 2FA: Auch Profis können von ihr profitieren, wenn man in aller Eile mal sein Passwort in eine gehackte Seite rein kopiert oder anderweitig einen Flüchtigkeitsfehler macht und damit sein eigentlich bombensicheres Passwort preisgibt. Keiner ist davor gefeit und wenn man sich noch so gut auskennt. Nicht Du, nicht ich. Keiner. Und dann zu sagen „Ich will keine 2FA auf eigenes Risiko!“ ist ungefähr so, als ob man sagt „Ich schnall mich nicht an, ich fahre sehr gut. Mir kann nichts passieren.“

Ich hatte gestern leider keine Zeit mehr, das Folgende zu schreiben, aber es muss der Vollständigkeit halber sein [emoji23] Auch mir ist das vor einem Jahr passiert. Ich hatte (natürlich zeitlich zufällig) eine perfekt gemachte Mail bekommen von Amazon just nachdem ich etwas bei denen bestellt habe. Es gäbe Probleme mit meiner Bestellung. Also den Link in der Mail geklickt (Fehler 1), Username und Passwort über 1Password reinkopiert und Enter gedrückt (Fehler 2). Als dann keine 2FA kam, traf mich fast der Schlag. Dann war es halt direkt klar, was mir gerade passiert war. Ich hab auf die Seite geschaut, auf der ich war und dann stand dann dort so was wie www.amazon-serv1ces.com (kann mich nicht mehr genau erinnern).

Eine Minute später kam die SMS mit dem Code auf das Handy. Und dann war es klar, dass sich entweder ein automatisches Tool oder ein Hacker gerade mit meinem User und Passwort versucht haben, sich einzuloggen. Ich habe dann natürlich sofort das Passwort geändert und mir geschworen, bei allen Accounts, wo es möglich ist, diese 2FA zu aktivieren. Ein unangenehmer Nebeneffekt seitdem ist, dass ich vermehrt Spam erhalte auf diese Adresse. Gott sei Dank ist es nicht meine Haupt-Mailadresse.

Kurzum: Ich bin nun wirklich kein Laie und auch mir ist es mal passiert. Vielleicht kannst Du jetzt verstehen, warum ich so eine finale und unabänderliche Meinung von der 2FA habe - zusätzlich zu der Tatsache, dass die Serviceanbieter halt ihre eigenen Sachen absichern können, so wie sie das wollen und dafür hoffentlich auch weiterhin keinen um Erlaubnis fragen müssen.

 

[Freddy K.]

OK, glaub ich dir. Du hattest ein Missgeschick, kann jedem mal passieren, und du hoffst nun auf die garantierte Sicherheit von 2FA. Aber ist es nicht eine trügerische Sicherheit? Denn auch 2FA hat seine Schwachstellen und kann ausgehebelt werden. Wie natürlich jedes digitale Ding, wenn es irgendwie am Internet hängt.

Wenn du dich jetzt so stark auf die Sicherheit von 2FA verlässt, fällst du doch das nächste mal garantiert gleich wieder herein, sobald es jemanden gibt der dich oder 2FA austricksen will.

Früher wurde hier gern folgender Witz gemacht:
Frage: Kennt ihr einen guten Virenscanner?
Antwort: iBrain

Mein Ansatz beim Thema Sicherheit wäre also, eher in Prävention durch Gehirnschmalz zu investieren als in Zwang. Alles was du einmal gelernt hast, gehört dir und verschafft dir einen Vorteil.

Während der vergangenen Internetzeit, haben sich da einige gute Regel herausgeschält, die damals beachtet und immer wieder aufgesagt wurden, bis es auch der letzte verstanden hatte. Warum das heute nicht mehr so gemacht wird, ist mir ein Rätsel.
Nein halt, eigentlich doch nicht. Bequemlichkeit muss es sein, wie Macbeatnik schon anmerkte.

Eine dieser Regeln -sicher kennst du sie- lautet:
Niemals, niemals, niemals in einer E-Mail auf einen Link klicken, wenn du nicht 100% sicher bist, dass er sauber ist. Und auch wenn du 100% sicher bist, klick trotzdem nicht darauf, sondern geh in einen sicheren Browser und gib die Adresse deiner Wahl selber ein.

Meine Familie und mein Bekanntenkreis, können diese ganzen Regeln im Schlaf herunterbeten. Vielleicht ist das der Grund.

 

[rootie]

Denn auch 2FA hat seine Schwachstellen und kann ausgehebelt werden.

Hast Du da eine Quelle dafür, dass das irgendwo aktiv ausgenutzt wurde? Rein von der Technik her kann ich mir es einfach nicht vorstellen, dass das möglich ist. Man-in-the-Middle Attacks sind da nur theoretisch denkbar. Und es ist doch schon ein großer Unterschied, ob es eine geschätzte 99,9% Sicherheit bei aktiviertem 2FA gibt, als eine signifikant kleinere ohne 2FA.

Beschreibe doch mal in Deinen eigenen Worten, was Dich so unfassbar stört an der 2FA? Es kann doch nicht der Grund sein, dass Du da hin und wieder mal einen zusätzlichen Code eingeben musst. Was genau ist es? Ich habe es entweder überlesen oder Du hast es nie geschrieben.

 

[Freddy K.]

Das meiste ist erst mal nur Theorie, es ist immer nur eine Frage der Zeit. Und etwas erst als Bedrohung zu akzeptieren, wenn es auch durchgeführt wurde, genau deshalb passieren solche Dinge wie du sie beschrieben hast.

https://www.zdnet.de/88351325/tool-hebelt-zwei-faktor-authentifizierung-aus/

In meinen ganz eigenen Worten: Ja, du hast es überlesen.

 

[rootie]

In meinen ganz eigenen Worten: Ja, du hast es überlesen.

Na dann hilf mir doch bitte auf die Sprünge und schick den Link.

Und nein, theoretische Angriffe sind mir egal. Praktisch erfolgreich in Massen vollführte Angriffe sind interessant. Dass es immer mal wieder einen trifft, der irgendwelche Links klickt, um dann auf einem Zwischenserver zu landen, ist klar. Und selbst wenn - 2FA erhöht die Sicherheit um einen weiteren Level. Nichts ist perfekt, aber wenn etwas sicherer gemacht werden kann, dann ist das etwas Gutes. Und da lasse ich mich - sorry - nicht von meiner Meinung abbringen.

 

[Freddy K.]

127

 

[rootie]

Ach Dir geht es nur um die Bevormundung? Dann habe ich zwei Fragen:

- Wieso siehst Du die zwingende Eingabe eines Passworts nicht als Bevormundung? Ein geheimer Benutzername, den keiner weiß, reicht doch auch zur Authentifizierung?

- Wenn es nicht zwingend wäre bei Apple, würdest Du die 2FA ja dennoch nicht aktivieren. Warum?

 

[Carcharoth]

- Wieso siehst Du die zwingende Eingabe eines Passworts nicht als Bevormundung? Ein geheimer Benutzername, den keiner weiß, reicht doch auch zur Authentifizierung?

Lustig, dass du das erwähnst. In den 70er Jahren war das nämlich eines der Argumente, als die ersten Passwörter aufkamen. Früher hat man sich nämlich nur mit dem Namen eingeloggt und konnte sich nicht vorstellen, dass jemand einem anderen etwas böses will.
Vor allem Richard Stallman war da sehr dagegen.


Und betreffend 2FA & Sicherheit: Ist halt doof, wenns schlecht implementiert ist.
https://medium.com/@lukeberner/how-...hange-google-microsoft-instagram-7e3f455b71a1

 

[Freddy K.]

@rootie Wenn Altkunden plötzlich zwingend ein Passwort verwenden müssen, wo sie zuvor nur einen geheimen Benutzernamen brauchten, wäre das in meinen Augen klar Bevormundung.

Weil mein Thunderbird bisher wunderbar ohne funktioniert hat, und der Account nur meine privaten Daten beinhaltet. Keine Firmendaten oder ähnliches.

 

[rootie]

Ja aber das beantwortet nicht meine zweite Frage [emoji57]

 

[Freddy K.]

Eigentlich dachte ich, das ließe sich erschließen: 2FA ist für mich, wie ein Aschenbecher für einen Nichtraucher. Ich brauche es nicht.

 

[thomas65s]

@rootie du gibst dir hier wirklich viel Mühe, gewisse Leute von etwas überzeugen zu wollen, die, wie mir scheint, schon aus Prinzip immer „dagegen“ sein werden. Was man schon an diesem unfassbar dämlichen Vergleich sieht:

Eigentlich dachte ich, das ließe sich erschließen: 2FA ist für mich, wie ein Aschenbecher für einen Nichtraucher. Ich brauche es nicht.

Ich habe das längst aufgegeben. Ich rege mich dann nur wieder auf und verwende möglicherweise Worte die hier nicht gerne gelesen werden.

[Beitrag editiert - Apfeltalk]

 

[saw]

Kann hier ein Mod mal aufräumen, am besten alle Beiträge mit "dumm" in den Müll.
Eventuell ist dann wieder eine sachliche Diskussion möglich.
Übrigens:

Der Zweck einer Diskussion besteht nicht zwangsläufig darin, das Gegenüber von seinem Standpunkt zu überzeugen. Hingegen steht am Ende einer Diskussion die Lösung eines Problems, ein für alle Beteiligten annehmbarer Kompromiss oder die beidseitige Erkenntnis, dass verschiedene Meinungen herrschen (Dissens). Auch im letzteren Fall ist die Diskussion eine wichtige Möglichkeit, den Standpunkt anderer kennenzulernen und Dinge aus bisher unbekannter Perspektive zu erblicken.

 

[walnussbaer]

Gott ja, bitte! Da bleibt aber nicht viel übrig hier von diesem Trauerspiel Da aber mit der Verbannung des Wortes "dumm" und seiner Derivate auch die gesammelte Forenimpertinenz...äh -intelligenz hier aus dem Thread ausziehen würde, frage ich mich, wie der verbleibende Rest dann hier sein Leben geregelt kriegen soll ohne voll auf die Nase zu fallen?

 

[rootie]

Ach Du schaffst das schon. Da bin ich fest davon überzeugt.