2133531

Zwei Stufen: iCloud-Login besser schützen

13.10.2015 | 14:00 Uhr |

Apple etabliert schrittweise ein überarbeitetes System mit zusätzlichem Sicherheitsfaktor für die iCloud und andere Dienste, die die Apple-ID nutzen.

Apple etabliert ein neues, benutzerfreundlicheres und solideres Login-System für Nutzer der neuen OS-Versionen (OS X und iOS) und iTunes. Für die Zwei-Faktor-Authentifizierung (2FA oder im deutschen Apple-Sprech "zweistufige Bestätigung") sollten alle eigenen Geräte mit demselben iCloud-Konto verknüpft sein, damit sie optimal funktioniert. Die meisten Nutzer müssen sich auf die zweite Fassung der 2FA noch gedulden: Das System wurde im Sommer für einige Entwickler und Tester der öffentlichen Beta-Version freigeschaltet. Nun beginnt seit einigen Tagen mit El Capitan schrittweise die marktweite Einführung.

Die neue Zwei-Faktor-Authentifizierung (oder zweistufige Bestätigung) sieht vor, dass der Benutzer jedes Mal, wenn er sich an einem neuen Gerät oder Browser anmeldet, nicht nur sein Passwort, sondern auch einen Bestätigungscode eingeben muss, den er an einem anderen, zuvor verifizierten Gerät empfängt. Dieser zusätzliche Schritt verhindert, dass unberechtigte Personen durch Diebstahl oder Raten Zugang zum Apple-Konto bekommen. Man benötigt also einen Berechtigungsnachweis (Code), der nur über ein Gerät erzeugt oder empfangen werden kann, welches im Besitz des rechtmäßigen Konto-Inhabers ist, typischerweise ein Rechner oder Mobilgerät.

Das neue System ähnelt Apples vorheriger Zwei-Stufen-Lösung , die weiterhin aktiv ist. Die neue Sicherheitsfunktion lädt Anwender zum Einsatz ein, schreibt jedoch keinen Wechsel vor. Der wichtigste Unterschied ist, dass das neue System den Wiederherstellungsschlüssel abschafft, bisher die letzte Möglichkeit, wieder Zugang zur Apple-ID zu bekommen, wenn alle anderen Informationen zum Account verloren gegangen waren.

Beim Anmelden in der iCloud via iOS erfolgt die Aufforderung zur Zwei-Faktor-Authentifizierung, falls der Account schon dafür freigeschaltet wurde.
Vergrößern Beim Anmelden in der iCloud via iOS erfolgt die Aufforderung zur Zwei-Faktor-Authentifizierung, falls der Account schon dafür freigeschaltet wurde.

Bei den meisten Firmen, Produkten und Diensten setzt die Zwei-Faktor-Authentifizierung auf einen Code, der über eine App generiert oder per SMS versendet wird. In einigen Fällen, wie etwa bei Twitter, kann man wählen, ob man den Code über eine App beziehen möchte, die zuvor verifiziert wurde. Apples Ansatz nutzt ebenfalls einen Code und hat diese Methode gleich in iOS 9 und El Capitan integriert. Das erhöht die Sicherheit und ist anwenderfreundlicher: Denn man benötigt weniger Arbeitsschritte und erhält mehr Informationen, was gerade an anderen Geräten los ist.

Mit Hilfe von Apple konnten wir das neue System testen, da unsere eigene Apple-ID noch nicht berechtigt ist, die Zwei-Faktor-Authentifizierung zu nutzen. Das neue System soll im Laufe des Herbstes komplett eingeführt sein.

Wesentlicher Vorteil der Zwei-Faktor-Authentifizierung, bei der man manchmal nur bei der ersten Anmeldung, manchmal bei jeder Änderung (abhängig vom Dienst) einen Code benötigt: Man kann ein weniger kompliziertes Passwort verwenden ohne an Sicherheit einzubüßen. Das Passwort hat nicht mehr dieselbe Wichtigkeit wie zuvor. Allerdings Apple ist noch nicht so weit, dass alle Dienste, die Apple-IDs nutzen, die Zwei-Faktor-Authentifizierung unterstützen. Und tatsächlich hat Apple sehr hohe Anforderungen an das Passwort, wenn man es mal zurücksetzen muss.

Beim Zurücksetzen des Passwortes mit Zwei-Faktor-Authentifizierung schreibt Apple hohe Kriterien für das Passwort vor.
Vergrößern Beim Zurücksetzen des Passwortes mit Zwei-Faktor-Authentifizierung schreibt Apple hohe Kriterien für das Passwort vor.

Los geht’s!

Apple wird die neue Zwei-Faktor-Authentifizierung (2FA) auf zwei Arten einführen: Entweder während der Anmeldung bei der iCloud an einem neuen Gerät oder, für bereits registrierte Nutzer, in den Einstellungen der iCloud (iOS und OS X). Registrierte Anwender sollten eine E-Mail an die Adresse bekommen, die mit ihrer Apple-ID verknüpft ist. Bei iOS tippt man auf die iCloud-Einstellungen, dann auf den Namen und auf "Passwort & Sicherheit". In OS X geht der Weg über ebenfalls über die iCloud-Einstellungen, Konto-Einstellungen und Sicherheit. In beiden Fällen sollte die Option zur Zwei-Faktor-Authentifizierung angezeigt werden, falls der Account von Apple dazu freigeschaltet wurde.

Wir haben ein Konto von Grund auf neu eingerichtet, zu dem wir eingeladen wurden. Nach dem Eingeben des iCloud-Namens und des Passwortes folgten die nächsten Einrichtungsschritte:

1. Ein Einladungsfenster erklärt kurz die Zwei-Faktor-Authentifizierung. Dann tippt man auf "Weiter". Nutzer können die Anmeldung überspringen, indem sie die Zwei-Faktor-Authentifizierung ablehnen, was in kleiner Schrift am unteren Rand angeboten wird.

2. Nun gibt man eine Telefonnummer für den Empfang von Textnachrichten oder Anrufen ein. Im zweiten Fall ruft ein automatischer Dienst an und liest den Zifferncode vor.

3. Auf der Verifizierungsseite gibt man den empfangenen sechsstelligen Code ein.

Während des Einrichtens wird man aufgefordert eine Telefonnummer für den Empfang des Codes per SMS oder automatischen Anruf einzugeben.
Vergrößern Während des Einrichtens wird man aufgefordert eine Telefonnummer für den Empfang des Codes per SMS oder automatischen Anruf einzugeben.
© IDG

Die Einrichtung ist abgeschlossen und im Menü Passwort & Sicherheit (iOS) und Sicherheit (OS X) wird der aktuelle Status der Zwei-Faktor-Authentifizierung angezeigt. Außerdem kann der Benutzer manuell einen Verifizierungscode auf sein angegebenes Gerät anfordern.

Alle Geräte, welche bei der iCloud angemeldet sind, sollten nach der Umstellung weiterhin angemeldet sein.

Ist die Zwei-Faktor-Authentifizierung aktiviert, sieht man in den Einstellungen die Details und den Status.
Vergrößern Ist die Zwei-Faktor-Authentifizierung aktiviert, sieht man in den Einstellungen die Details und den Status.

Hinzufügen von verifizierten Geräten und Telefonnummern

Als nächstes kann man weitere Telefonnummern hinzufügen oder iOS-Geräte und Macs. Mit Telefonnummern ist es einfach. Sie können von jedem Gerät aus, dem der Anwender vertraut, hinzugefügt werden wie auch über die neugestaltete Seite der Apple-ID-Verwaltung. Man gibt die Nummer ein, wählt Textnachricht oder Anruf und gibt den anschließend von Apple empfangenen Code zur Bestätigung ein.

Ein Gerät hinzuzufügen erfordert ein paar Einrichtungsschritte mehr:

1. Am Mac oder iOS-Gerät meldet man sich bei der iCloud an (Einstellungen, iCloud).

2. An anderen angemeldeten Geräte kommt daraufhin ein Hinweis mit einer ungefähren Ortsangabe des neuen Gerätes und der Möglichkeit, dieses zu akzeptieren oder abzulehnen. Dadurch ist sichergestellt, dass sich kein Fremder von einem unbekannten Ort aus bei der Apple-ID nur mit einem Passwort anmelden kann. Dann bestätigt man per Antippen das neue Gerät. Lehnt man das Gerät ab, erscheint an diesem kein Hinweis, aber der Anmelde-Versuch wird abgebrochen.

3. Auf dem Gerät, über welches die Freigabe des neuen iPhone oder Mac erfolgte, kommt nun ein sechsstelliger Code an, den man am zuvor freigegebenen Gerät eingegeben muss. Danach ist die Autorisierung abgeschlossen.

Jede Anmeldung an einem neuen Gerät oder Browser löst diesen Dialog an einem autorisierten iPhone, iPad oder Mac aus.
Vergrößern Jede Anmeldung an einem neuen Gerät oder Browser löst diesen Dialog an einem autorisierten iPhone, iPad oder Mac aus.

Das neu hinzugefügte Gerät erscheint nun in den iCloud-Einstellungen und auf der Apple-ID-Seite. An beiden Stellen lassen sich Modellname, Betriebssystem und Seriennummer der registrierten Geräte einsehen.

Anwendungsspezifische Passwörter

Applikationen von Drittherstellern konnten die zweistufige Bestätigung der iCloud-Dienste wie E-Mail, Kalendar und Kontakte bisher nicht nutzen. Es ist unklar, ob Apple eine Schnittstelle für externe App-Entwickler anbieten wird. Google und einige weitere Firmen tun dies.

Wie bereits zuvor, kann der Nutzer 25 verschiedene App-spezifische Passwörter generieren. Angelegt und verwaltet werden sie über die Apple-ID-Seite. Diese Passwörter lassen sich nicht für alle Funktionen, zum Beispiel den Zugang zum Verwaltungsbereich der Apple-ID nutzen. Sie sind in ihrem Funktionsumfang eingeschränkt. Wer bisher die zweistufige Verifizierung nutze, entzieht beim Umstieg auf die Zwei-Faktor-Authentifizierung allen anwendungsspezifischen Passwörtern den Zugriff und muss sie laut Apple erneut anlegen.

Man nutze Anwendungsspezifische Passwörter, um Software-Anwendungen den Zugang zu iCloud-Kontakten, Kalendern und E-Mails zu ermöglichen, außerhalb von Apples eigenem Ökosystem.
Vergrößern Man nutze Anwendungsspezifische Passwörter, um Software-Anwendungen den Zugang zu iCloud-Kontakten, Kalendern und E-Mails zu ermöglichen, außerhalb von Apples eigenem Ökosystem.

1. Im Sicherheitsbereich klickt man auf der rechten Seite den Menüpunkt "Bearbeiten" an.

2. Unter "Anwendungsspezifische Passwörter" erfolgt der Klick auf "Passwort erstellen".

3. Nun fügt man eine Beschreibung hinzu, etwas wie "BusyCal am Mac Mini", damit man später weiß, wofür das Passwort verwendet wird.

4. Apple generiert nun ein 16-stelliges Passwort, das man anschließend für den Zugang zum iCloud-Konto in der Software des Drittherstellers nutzen kann.

5. Ein Klick auf "Fertig" beendet den Vorgang.

In diesem Bereich sieht der Benutzer auch, welche Passwörter er bereits vergeben hat und kann sie bei Bedarf einzeln oder alle auf ein Mal löschen und so den Zugang sperren.

Was passiert wenn man alles vergisst, verliert oder ausgesperrt ist?

Wer sein Passwort vergisst, kann es zurücksetzen wie bei iCloud-Konten mit reinem Passwortschutz: Man ruft die iForgot-Seite von Apple auf, gibt seine Apple-ID ein und muss sich identifizieren, indem man einen Code eingibt. Daraufhin setzt Apple das Passwort zurück und schickt es an die hinterlegte E-Mail-Adresse.

Man wird auf seinem autorisierten Gerät gewarnt, wenn man selbst oder ein Fremder versucht das Passwort der Apple-ID zurückzusetzen.
Vergrößern Man wird auf seinem autorisierten Gerät gewarnt, wenn man selbst oder ein Fremder versucht das Passwort der Apple-ID zurückzusetzen.

Apple fügt eine weitere Sicherheitsebene hinzu, indem zusätzlich darauf hingewiesen wird, dass man die Telefonnummer, die mit der Apple-ID verknüpft ist, kennen muss. Hat man das bestätigt, wird ein Code an die hinterlegte Telefonnummer geschickt.

Bei der bisherigen Lösung mit Zweistufen-Autorisierung, verließ Apple sich auf den Wiederherstellungsschlüssel als letzte Verifizierungsmöglichkeit. Nun, beim neuen Zwei-Faktor-Authentifizierung-System muss der Anwender sich an Apple wenden, wenn er keinen Zugang zu einem seiner verifizierten Geräte mehr hat. Dieser Ablauf tritt auch in Kraft, wenn Apple ein Benutzerkonto für kompromittiert hält.

Wer keinen Zugang zu seinen verifizierten Geräten oder Telefonnummern hat, kann über Apple einen Wiederherstellungsprozess für sein Konto in Gang setzen.
Vergrößern Wer keinen Zugang zu seinen verifizierten Geräten oder Telefonnummern hat, kann über Apple einen Wiederherstellungsprozess für sein Konto in Gang setzen.

Wer sämtliche Zugangsmöglichkeiten verloren hat, kommt zu einem Dialog, über den er eine Wiederherstellung seines Apple-Kontos beginnen kann. Die Wiederherstellung dauert absichtlich lange - bis zu einer Woche. Das soll Angreifer, insbesondere automatisierte Angriffe, daran hindern, den Account zu übernehmen. Der Nutzer erhält verschiedene E-Mail-Warnungen, die auf einen Angriff hinweisen, sollte er die Konto-Wiederherstellung nicht selbst initiiert haben. Anhand einer Reihe von Fragen überprüft Apple anschließend die Identität und stellt den Zugang wieder her.

Sollte das Benutzerkonto gesperrt sein, kann es vorkommen, dass Apple eines der verifizierten Geräte anrufen möchten. Genauere Details sind dazu jedoch noch nicht bekannt.

Erst zwei Schritte, dann zwei Faktoren

Während man auf die Aktivierung der Zwei-Faktor-Authentifizierung durch Apple wartet, ist es sinnvoll, die zweistufige Autorisierung einzurichten. Dieser zusätzliche Schritt hindert einen nicht am späteren Upgrade und bietet mehr Schutz als ein einfaches Passwort, auch wenn es nicht so ausgeklügelt wie das neue System ist. Jede zusätzliche Sicherheitsstufe, die man einbauen kann schützt besser vor potentiellen Angriffen und Dieben.

0 Kommentare zu diesem Artikel
2133531