2004954

Facetime und iMessages: Spezifische Passwörter

13.02.2015 | 10:41 Uhr |

Apple verpasst der iCloud mit anwendungsspezifischen Kennworten ein zusätzliches Sicherheitsnetz: Wer mit Drittanbieter-Programmen wie Thunderbird oder Outlook auf iCloud-Konten – etwa den E-Mail-Account – zugreifen will, benötigt ab sofort ein anwendungsspezifisches Passwort. Nun auch für iMessages und Facetime.

Mit dem Fappening-Vorfall im letzten Sommer , bei dem Hacker aufgrund der fehlenden Login-Sperre nach mehreren Einwahlversuchen Promi-Nacktbilder aus Apples iCloud entwenden konnten, zeigte sich deutlich, wie sehr Apple die Sicherheit seines Cloud-Dienstes vernachlässigt hatte. Schnell führte Apple die schon länger vorbereitete Zwei-Faktor-Authentifizierung ein, die durch den Versand eines vierstelligen Codes an ein Mobilgerät für zusätzliche Sicherheit beim Login sorgt.

Mit einem anwendungsspezifischen Passwort kann ein Angreifer sich nicht direkt ins Apple-Konto einwählen. Das sorgt für zusätzliche Sicherheit
Vergrößern Mit einem anwendungsspezifischen Passwort kann ein Angreifer sich nicht direkt ins Apple-Konto einwählen. Das sorgt für zusätzliche Sicherheit

Seit dem 10. Oktober 2014 gibt es nun ein weiteres Sicherheitsnetz: Mit den App-spezifischen Passworten stellt Apple sicher, dass Programme, die Zugriff auf iCloud-Dienste haben, auch bei schweren Sicherheitslücken nicht das "echte" Passwort für den Apple-Account herausrücken. Betroffen sind dabei alle Apps, die auf iCloud-Dienste wie Mail, Kalender oder Kontakte zugreifen, darunter der beliebte alternative E-Mail-Client Thunderbird und Microsofts Outlook, inzwischen Standard in den meisten Büro-Umgebungen. Aber auch andere Mail-Clients sind betroffen. Im Februar zieht Apple mit iMessages und Facetime nach, die nun ebenso ein anwendungsspezifisches Passwort benötigen, falls der Nutzer seinen iCloud-Account mit der Bestätigung in zwei Stufen geschützt hat. Von Google ist diese zusätzliche Sicherheitsmaßnahme schon länger bekannt, bei Apple ist die Vorgehensweise identisch. So geht es im Detail.

Aus Apples Sicht stellen Drittanbieter-Anwendungen ein erhebliches Risiko für das iCloud-Konto dar. Wie hoch dieses ist, zeigt zum Beispiel Thunderbird: Passworte sind hier standardmäßig im Klartext und ohne Sicherheitsnetz abgelegt und mit zwei Klicks auslesbar.
Vergrößern Aus Apples Sicht stellen Drittanbieter-Anwendungen ein erhebliches Risiko für das iCloud-Konto dar. Wie hoch dieses ist, zeigt zum Beispiel Thunderbird: Passworte sind hier standardmäßig im Klartext und ohne Sicherheitsnetz abgelegt und mit zwei Klicks auslesbar.

Sehr kurzfristiger Hinweis von Apple

Um daran zu erinnern, versendete Apple recht kurzfristig vor der Umstellung eine E-Mail-Benachrichtung an alle Nutzer der Zwei-Faktor-Authentifizierung: "Hiermit möchten wir Sie daran erinnern, dass ab morgen anwendungsspezifische Passwörter erforderlich sind, um über die Apps von Drittanbietern wie Microsoft Outlook, Mozilla Thunderbird oder anderen E‑Mail‑, Kontakt- und Kalender-Apps auf Ihre in iCloud gespeicherten Daten zuzugreifen." Schon einen Tag später durften sich zahlreiche Nutzer darüber wundern, dass Thunderbird und Outlook nicht nur Probleme hatten, sich mit dem iCloud-Mailkonto, dem iCloud-Adressbuch oder der iCloud-Kontaktverwaltung zu verbinden, sondern auch, dass eine erneute Eingabe des Passworts permanent "Passwort ungültig" zurückmeldete. Ursächlich dafür ist die Umstellung: Statt des "normalen" iCloud-Passworts, das das gleiche ist wie das des gesamten Apple-Kontos und damit im Fall der Fälle einem potentiellen Hacker Vollzugriff auf alle Daten in der iCloud erlaubt, müssen Nutzer der Zwei-Faktor-Authentifizierung nun ein App-spezifisches Passwort erstellen, ein weiteres Passwort also, das für die Anmeldung mit Thunderbird, Outlook und Co. statt des regulären iCloud-Passworts verwendet wird.

So verwenden Sie ein App-spezifisches Passwort

Wenn Sie die Zwei-Faktor-Authentifizierung verwenden, arbeiten Drittanbieter-Apps auf dem Mac oder PC nicht mehr mit dem dem regulären iCloud-Kennwort zusammen: Ein Login ist trotz Eingabe der "richtigen" Login-Daten, wie hier bei Thunderbird, schlichtweg nicht möglich. Sie müssen jetzt ein anwendungsspezifisches Passwort erstellen.

Rufen Sie Ihr Apple-Konto unter https://appleid.apple.com auf und loggen Sie sich hier mit Ihrem normalen Benutzernamen und Passwort ein. Wählen Sie das Gerät, auf das der vierstellige Bestätigungscode gesendet werden soll und geben Sie diesen in der vorgesehenen Maske ein.

Klicken Sie jetzt auf "Passwort und Sicherheit" und klicken Sie hier unter "Erstellen Sie ein anwendungsspezifisches Passwort" auf "Erstellen eines anwendungsspezifischen Passworts". Alternativ können Sie mit "Verlauf anzeigen" sehen, wie viele Passwörter Sie bereits erstellt haben und unbenutzte löschen. Apple erlaubt bis zu 25 solcher Passwörter.

Vergeben Sie nun ein "Label" für das Passwort, dabei geht es nur darum, es später in der Verlaufsansicht schnell und komfortabel identifizieren zu können. Idealerweise geben Sie den Namen der App, die Sie verwenden möchten ein und vielleicht noch den Rechner, auf dem Sie diese App verwenden, etwa "Thunderbird Notebook". Klicken Sie danach auf "Erstellen".

Apple generiert jetzt einen 12-stelligen App-Schlüssel, dieser ist das anwendungsspezifische Passwort. Geben Sie diesen statt des bisher verwendeten iCloud-Passworts in der App ein, die auf iCloud-Daten zugreifen soll. Anschließend können Sie diese wieder normal benutzen. Das anwendungsspezifische Passwort müssen Sie sich nicht merken.

Erhöhte Sicherheit

Bei der Zwei-Faktor-Authentifizierung müssen Sie ein oder mehrere "sichere" Endgeräte aktivieren, um die vierstellige Zugangs-PIN zu erhalten…
Vergrößern Bei der Zwei-Faktor-Authentifizierung müssen Sie ein oder mehrere "sichere" Endgeräte aktivieren, um die vierstellige Zugangs-PIN zu erhalten…

Die Verwendung App-spezifischer Passworte lässt sich bei Verwendung der Zwei-Faktor-Authentifizierung nun nicht mehr vermeiden. Das hat zwei Gründe: Einerseits sorgt Apple mit diesem Schritt dafür, dass Drittanbieter-Apps, die Apples Zwei-Faktor-Authentifizierung (noch) nicht unterstützen, weiterhin funktionieren, ohne dass die Entwickler sie aktualisieren müssen. Andererseits muss nun statt des regulären iCloud-Passworts immer ein anwendungsspezifisches Passwort verwendet werden, wenn eine Drittanbieter-App in der iCloud "eingehängt" wird. Dieses wird einmalig bei der Einrichtung eingegeben, anschließend kann das Drittanbieter-Programm ganz normal verwendet werden, weshalb Sie sich dieses zusätzliche Passwort auch nicht merken müssen: Sollten Sie sich neu anmelden müssen, reicht es, ein neues App-Passwort anzulegen.

… diese wird dann bei Login-Versuchen auf iPhone, iPad oder iPod touch angezeigt oder per SMS versendet.
Vergrößern … diese wird dann bei Login-Versuchen auf iPhone, iPad oder iPod touch angezeigt oder per SMS versendet.

Der Sicherheitsvorteil dieser Lösung kommt vor allem in zwei Szenarien zum Tragen, nämlich immer dann, wenn ein Rechner auf irgendeine Weise ausgehorcht wird oder in die falschen Hände gelangt: Hier konnten Hacker bislang im Zweifel das Original-iCloud-Kennwort (etwa durch Zugriff auf den Thunderbird-Schlüsselbund) auslesen und damit den Vollzugriff auf ein Apple-Konto erzielen. Das ist mit App-spezifischen Kennworten nicht mehr möglich: Wird ein solches Passwort erbeutet, mag zwar der Zugriff auf das iCloud-Mailkonto, Kontakte und Adressbücher möglich sein, eine Anmeldung bei Apple oder iTunes ist es hingegen nicht mehr. Zudem greift unter diesen Umständen ein weiteres Sicherheitssystem: Anwendungsspezifische Passwörter können jederzeit in den Einstellungen der Apple-ID zurückgezogen werden und sind damit sofort ungültig – der Angreifer sitzt also wieder auf dem Trockenen.

Zwei-Faktor-Authentifizierung für mehr Sicherheit

Um anwendungsspezifische Passwörter nutzen zu können, müssen Sie zunächst die Zwei-Faktor-Authentifizierung aktivieren. Diese ist durch die Einbindung eines zufälligen vierstelligen PIN-Codes, der bei jedem Login auf einem zuvor definierten Endgerät wie etwa dem iPhone angezeigt wird, deutlich sicherer als die "normale" Anmeldung. Wir empfehlen dringend, die Zwei-Faktor-Authentifizierung einzuschalten – nur so kann Angriffsversuchen auf das Apple-Konto zuverlässig vorgebeugt werden!

0 Kommentare zu diesem Artikel
2004954