2194250

Zwei-Faktor-Authentifizierung für OS X und iOS 9

05.08.2016 | 12:57 Uhr |

Mit El Capitan und iOS 9.3 hat Apple eine neue Sicherheits-Funktion eingeführt, die Zwei-Faktor-Authentifizierung. Wir erklären Einrichtung und Aufgabe.

Erst vor kurzem ist bekannt geworden, dass mehrere Nutzer von ihren iPhones mittels "Mein iPhone suchen" ausgesperrt wurden. Der Hacker hat in einer Mitteilung ein Lösegeld von 50 US-Dollar verlangt . Mit der Zwei-Faktor-Authentifizierung wird jeder Anmelde-Versuch per Mail gemeldet, zudem kann man auf einem Alternativ-Gerät schneller auf solche Versuche reagieren.

Was ist der Unterschied zur zweistufigen Bestätigung per SMS?

Schon sei 2013 kann ein Anwender seinen Apple-Account per zweistufiger Bestätigung absichern: Man hat dann nur Zugriff auf Dienste wie App Store und den ID-Account, wenn man zusätzlich einen vierstelligen Code eingibt. Diesen erhält man per SMS, ähnlich wie beim Online Banking-System PIN/TAN. Was schon manche verwirrt hat: Eigentlich handelt es sich auch bei diesem Verfahren um ein Zwei-Faktor-Verfahren, auch als 2FA bekannt. Der größte Unterschied ist aber die Bindung an die SMS als „Schlüssel“ oder Token. Hat man sein Handy dabei, kann man mit der alten Methode von jedem beliebigen Gerät aus auf die Dienste zugreifen. Bei der neuen Zwei-Faktor-Authentifizierung muss man jedes Gerät freischalten. Bei der immer noch nutzbaren alten Methode gibt es außerdem einen vierzehnstelligen Wiederherstellungscode, der bei der neuen Variante nicht mehr existiert. 

So aktiviert man das Zwei-Faktor-Verfahren

Die Aktivierung ist unter OS X 10.11 einfach : Um die Funktion auf dem Mac zu aktivieren, klickt man in der Systemeinstellung iCloud auf den Button „Accountdetails“ und wählt hier den Reiter „Sicherheit“ aus. Ab OS X 10.11 findet man hier (nach Eingabe des Passwortes) die Option „Zwei-Faktor-Authentifizierung einrichten“. Klickt man auf den Button, öffnet sich ein weiteres Fenster. Hier klickt man auf „Einrichten“ um die Zwei-Faktor-Authentifizierung zu starten. Ab sofort ist dieser Mac automatisch für die Authentifizierung der Apple ID freigeschaltet. Alle freigeschalteten Geräte sind in der Systemeinstellung unter „Geräte“ aufgelistet.

Das Deaktivieren der Zwei-Faktor-Authentifizierung ist nur noch über die Webseite appleid.Apple.com unter „Sicherheit“ möglich.

Auf dem iPhone und iPhone aktiviert man die Funktion unter der Systemeinstellung „iCloud/Passwort und Sicherheit“. Hier ist iOS 9 die Voraussetzung, bei der Apple Watch watchOS 2. Windows setzt iCloud für Windows v5 voraus und iTunes 12.3. Diese iTunes-Version wird übrigens auch unter OS X vorausgesetzt.

Was ist der Hintergrund?

Ab sofort genügt das Kennwort der Apple-ID nicht mehr, um sich auf beliebigen Geräten für iCloud, iTunes oder andere Dienste anzumelden. Das ist als Schutz der Cloud-Daten gedacht, sollten die Anmeldedaten gestohlen werden. Eine Ausnahme sind die Funktionen "Mein iPhone suchen", "Apple Pay" und "Apple Watch Einstellungen".

Wie es funktioniert:

Öffnet man nach der Aktivierung erstmals in einem Browser die Webseite iCloud.com, will seinen iTunes-Account öffnen oder verwendet auf andere Art seine Apple-ID, verlangt Apple ein zusätzliches Kennwort. Allerdings nur einmal, man authentifiziert nämlich nicht die Aktion, sondern das Gerät. Man muss also nicht bei jedem iCloud-Aufruf diese sechstellige ID anfordern. Ein Sonderfall: Auch jeder Browser muss einmalig authentifiziert werden – Safari, Google Chrome und Firefox separat.

Dieses ID erhält man über alle freigeschalteten Geräten, die mit der ID verbunden sind. Es erscheint auf jedem Gerät eine Nachricht, die meldet „Ihre Apple-ID wird verwendet, um sich auf einem neuen Gerät anzumelden. Eine kleine Karte zeigt außerdem, wo diese Apple-ID verwendet wird. Klickt man nun auf einem der Geräte auf „Erlauben“, zeigt ein Fenster eine sechsstellige Nummer für die Freigabe der Apple-ID. Erst nach Eingabe dieser Nummer kann man sich beim gewünschten Dienst anmelden. Ein großer Unterschied zur Freischaltung per SMS: Man kann sich die Nummer auch auf einem bereits authentifizierten Gerät anzeigen lassen, auf dem man den Dienst nutzen will. Man benötigt also nicht unbedingt ein iPhone. Dazu ist die angeforderte Nummer nur binnen einer kurzen Zeitspanne von wenigen Minuten gültig.

Anfangs ist es vielleicht irritierend, dass die Nachricht auf allen freigegebenen Geräten erscheint – mit lautem Signalton. Allerdings ist es ja gerade der Sinn dieser Funktion, dass jeder Zugriff auf die Apple ID sofort bekannt ist. Hat man auf allen Geräten Browser und Systemfunktionen freigegeben, ist die Authentifizierung außerdem nur noch selten nötig. Versucht ein Hacker auf die iCloud-Daten zuzugreifen, bleibt dies aber ab sofort nicht mehr unbemerkt. Die Nachrichten verschwinden zwar bei jeder Bestätigung, zusätzlich erhält man aber eine E-Mail-Benachrichtigung. Hat man einen Code angefordert, kennt aber den Standort der Anforderung nicht, kann es sich übrigens auch um einen Fehler bei der Standortbestimmung halten – die per IP-Adresse erfolgt. Hat man aber keine Nummer angefordert und sieht einen unbekannten Standort, sollte man besser sein Kennwort ändern.

Fehlerbehebung

Ist aus irgendeinem Grund keine Nachricht erschienen, kann man den Code erneut anfordern. Über die Option „Keinen Code erhalten“ ruft man ein Fenster mit drei Optionen auf: „Code erneut senden“ veranlasst das Zusenden eines neuen Codes, über „Textnachricht erhalten“ kann man einen Code als SMS oder Telefonanruf anfordern – beispielsweise, wenn das iPhone nicht als vertrauenswürdig eingestuft ist oder man ein Android-Handy verwendet. Es gibt aber noch weitere Optionen: Sind die Geräte offline, kann ein Code-Generator auf einem freigegebenen Gerät verwendet werden. Funktioniert es immer noch nicht, bleibt noch die Wiederherstellung des kompletten Accounts. Dazu muss man über die Seite iforgot.apple.com eine vorher angegebene Telefonnummer angeben und die Wiederherstellung beauftragen – was aber laut Apple einige Tage dauern kann.

Was ist mit alten Geräten?

Unkomfortabel wird es für Nutzer älterer Geräte: Hat man noch einen alten Mac mit OS X 10.10, sind auch hier iCloud, iTunes-Store und App Store per ID geschützt. Leider können ältere Geräte keine Codes anfordern, ein neueres Gerät mit iOS 9 oder OS X 10.11 ist dafür erforderlich. Das zweite Problem: Ein Eingabefeld für den Zugangscode sieht man am Mac nur unter El Capitan – unter OS X 10.10 waren wir deshalb anfangs etwas ratlos. Die Lösung: Man tippt einfach im Passwortfeld zusätzlich zum Kennwort den sechstelligen ID-Code ein – ohne Leerzeichen zwischen Kennwort und ID-Code. Dann ist auch der alte Mac freigegeben.

0 Kommentare zu diesem Artikel
2194250