2194250

Zwei-Faktor-Authentifizierung für die Apple ID

15.02.2020 | 10:07 Uhr | Stephan Wiesend

macOS, iOS, tvOS und watchOS schützte Nutzer-Accounts über das System 2FA – nur ein beglaubigtes Gerät darf sich anmelden.

Mit iOS 11 und macOS 10.13 High Sierra löste das sichere System 2FA oder Zwei-Faktor-Authentifizierung den auf SMS basierenden Vorläufer ab, mit macOS Catalina ist das Apple-interne System nun fast schon Vorschrift. 2FA ermöglicht die Authentifikation der Apple ID über eine zusätzliche Bestätigung und ist in der Praxis auch äußerst sicher. Apple legt sehr viel Wert auf die Nutzung: Wer seine Systeme aktualisiert, wird automatisch auf die im September 2015 eingeführte sicherere Methode gehoben – auch Anwender, bei denen bisher die Bestätigung in zwei Stufen oder "Two-Step-Verification" zum Einsatz kam.

Der große Vorteil des Apple-Systems: Im Gegensatz zum Vorgänger schickt es Codes auch an macOS-Geräte und nicht nur per SMS an das iPhone. Ein Wiederherstellungsschlüssel ist nicht mehr vonnöten, verliert man alle seine verifizierten macOS- und iOS-Geräte, kann man sich an Apple wenden, wenn man die Apple ID wiederherstellen muss.

Auch wenn man ein neues Macbook oder iPhone einrichtet, muss man einen solchen Passcode eingeben – erst dann kann man auf seinen Apple-Account zugreifen. Die aktuellen Versionen von tvOS und watchOS unterstützen 2FA ebenfalls.

So funktioniert 2FA

Ab iOS 10.3 wurde die Sicherheitsmaßname der Zwei-Faktor-Authentifizierung immer strikter im System verankert: So schlägt das System bereits gleich bei der Ersteinrichtung vor, die zusätzliche Authentifizierung einzuschalten . Zwar gibt es immer noch die Option, diesen Schritt zu überspringen, die wenigsten Nutzer werden dies wohl tun, hat sich doch seit Jahren eine Update- und Installation-Routine durchgesetzt nach dem Motto "Ja - Ja- Ja - Weiter - Fertig".  Die Zwei-Faktor-Authentifizierung erklären wir hier ausführlicher:

Ist die Absicherung wirklich notwendig?

Apple hatte gute Gründe für die Einführung: Der Anlass waren sich häufende Angriffe auf Nutzerkonten, bei denen Hacker an die gültigen Anmeldedaten von Nutzern gelangt waren – etwa per Phishing, was Apple nicht verhindern kann. Die 2FA sichert die Identität nämlich vor allem dann, wenn Dritte das Passwort zur Apple ID erbeutet oder erraten haben. Allein mit Kenntnis des Passwortes ist der Einbruch in die Apple ID nun nicht mehr möglich, man muss ein mit dieser Apple ID verknüpftes Gerät haben, das bereits per Passcode bestätigt wurde. Ein Hacker kann mit seinem nicht verifizierten Gerät dagegen nicht auf das Konto zugreifen.

Was ist der Unterschied zur zweistufigen Bestätigung per SMS?

Ab 2013 konnte ein Anwender seinen Apple-Account mit einem sehr ähnlichen System, per zweistufiger Bestätigung absichern: Man hatte dann nur Zugriff auf Dienste wie App Store und den ID-Account, wenn man zusätzlich einen vierstelligen Code eingab. Diesen erhielt man per SMS, ähnlich wie beim Online Banking-System PIN/TAN. Was schon manche verwirrt hat: Eigentlich handelt es sich auch bei diesem Verfahren um ein Zwei-Faktor-Verfahren, auch als 2FA bekannt. Der größte Unterschied und die größte Schwäche war aber die Bindung an die SMS als „Schlüssel“ oder Token. Hat man sein Handy dabei, konnte man mit der alten Methode von jedem beliebigen Gerät aus auf die Dienste zugreifen. Bei der neuen Zwei-Faktor-Authentifizierung kann man dagegen jedes Gerät freischalten – selbst ohne iPhone. Bei der immer noch nutzbaren alten Methode gibt es außerdem einen vierzehnstelligen Wiederherstellungscode, der bei der neuen Variante nicht mehr existiert.

So aktiviert man das Zwei-Faktor-Verfahren

Eine nachträgliche Aktivierung ist einfach , ab macOS 10.11 haben sich nur die Abläufe etwas verändert: Um die Funktion unter Catalina zu aktivieren, klickt man in der Systemeinstellung Apple-ID in der linken Spalte auf die „Passwort & Sicherheit“ und wählt hier den Reiter „Sicherheit“ aus. Ist 2FA noch nicht aktiv, sieht man hier die Option „Zwei-Faktor-Authentifizierung: Aus“. Über einen Button kann man die Funktion aktivieren. Ab sofort ist dieser Mac dann automatisch für die Authentifizierung der Apple ID freigeschaltet. Alle freigeschalteten Geräte sind in der Systemeinstellung unter „Geräte“ aufgelistet – ein Gerät eines Hackers würde  hier auftauchen.

Auf einem iPhone und iPhone mit iOS 13 öffnet man die Einstellungen und tippt ganz oben auf seinen Account-Namen. Aktivieren kann man nun die Funktion unter der Einstellung "Passwort & Sicherheit". Beim Vorgänger iOS 12 findet man die Option zur Aktivierung unter der Einstellung "iCloud". Hier tippt man auf seine Apple ID und dann "Passwort & Sicherheit"

Unter iOS ist übrigens iOS 9 die Mindestvoraussetzung, bei der Apple Watch watchOS 2. Windows setzt iCloud für Windows v5 voraus und iTunes 12.3. Diese iTunes-Version wird übrigens auch unter OS X vorausgesetzt.

Zwei-Faktor-Authentifizierung deaktivieren oder verwalten

Das Deaktivieren der Zwei-Faktor-Authentifizierung war in früheren Versionen über die Webseite appleid.apple.com unter „Sicherheit“ möglich, aktuell ist eine Deaktivierung nicht mehr möglich. Nur zwei Wochen nach der Aktualisierung seines Accounts kann man die Aktivierung rückgängig machen. Apple begründet dies damit, das bestimmte Funktionen in den aktuellen Systemversionen diesen zusätzlichen Schutz dringend benötigen und dann nicht zur Verfügung stehen.

Was ist der Hintergrund?

Ab sofort genügt das Kennwort der Apple-ID nicht mehr, um sich auf beliebigen Geräten für iCloud, iTunes oder andere Dienste anzumelden. Das ist als Schutz der iCloud-Daten gedacht, sollten die Anmeldedaten gestohlen werden. Eine Ausnahme sind die Funktionen "Mein iPhone suchen", "Apple Pay" und "Apple Watch Einstellungen".

Wie es funktioniert:

Öffnet man nach der Aktivierung erstmals in einem Browser die Webseite iCloud.com, will seinen iTunes-Account öffnen oder verwendet auf andere Art seine Apple-ID, verlangt Apple ein zusätzliches Kennwort. Allerdings nur einmal, man authentifiziert nämlich nicht die Aktion, sondern das Gerät. Man muss also nicht bei jedem iCloud-Aufruf diese sechsstellige ID anfordern. Ein Sonderfall: Auch jeder Browser muss einmalig authentifiziert werden – Safari, Google Chrome und Firefox separat.

Diese ID erhält man über alle freigeschalteten Geräten, die mit der ID verbunden sind. Es erscheint auf jedem Gerät eine Nachricht, die meldet „Ihre Apple-ID wird verwendet, um sich auf einem neuen Gerät anzumelden. Eine kleine Karte zeigt außerdem, wo diese Apple-ID verwendet wird. Klickt man nun auf einem der Geräte auf „Erlauben“, zeigt ein Fenster eine sechsstellige Nummer für die Freigabe der Apple-ID. Erst nach Eingabe dieser Nummer kann man sich beim gewünschten Dienst anmelden. Ein großer Unterschied zur Freischaltung per SMS: Man kann sich die Nummer auch auf einem bereits authentifizierten Gerät anzeigen lassen, auf dem man den Dienst nutzen will. Man benötigt also nicht unbedingt ein iPhone. Dazu ist die angeforderte Nummer nur binnen einer kurzen Zeitspanne von wenigen Minuten gültig.

Das Rätsel der Ortung

Wer die 2FA aktiviert hat und sich in sein iCloud-Konto einloggen will, bekommt auf all seinen Geräten eine Meldung über den Login-Versuch. Erlaubt man dies, erhält man einen sechsstelligen Code, den man nun auf dem Gerät eingeben muss, mit dem man sich anmelden will. So weit so gut, was aber verwirrt, sind die Ortsangaben der Meldung. Letztens teilte uns unser in München stehender Mac etwa mit, jemand würde sich von einem kleinen Nest im Landkreis Hof aus in unseren Account einloggen wollen. Da nun aber die Meldung unmittelbar nach der Passworteingabe auf icloud.com erschien, konnten wir beruhigt davon ausgehen, dass uns Apple einfach nur in Oberfranken statt in Oberbayern verortet. Derartige Fehler bei der Lokalisierung sind auch in Apples Heimat bekannt, erklärt Glenn Fleishman , wenngleich er in Kalifornien auf hohem Niveau klagt, wenn die 2FA um 50 Kilometer daneben lag. Der Grund für die ungenaue Bestimmung: Apple zieht die IP-Adresse des Gerätes heran und nutzt dafür recht ungenaue Ortungsdienste. In der Regel vergibt ein Service-Provider für jede Session die IP, der Standort seines Rechenzentrums ist nun für die Lokalisierung entscheidend. Nutzt man einen VPN-Dienst, wird die Sache noch ungenauer. So bleibt nur darauf zu vertrauen, dass gleichzeitige Zugriffe aus Oberbayern und Oberfranken extrem unwahrscheinlich sind.

Es ist vielleicht irritierend, dass die Nachricht auch auf anderen freigegebenen Geräten erscheint – mit lautem Signalton. Allerdings ist es ja gerade der Sinn dieser Funktion, dass jeder Zugriff auf die Apple ID sofort bekannt ist. Hat man auf allen Geräten Browser und Systemfunktionen freigegeben, ist die Authentifizierung außerdem nur noch selten nötig und das System versucht nur gerade erst genutzte Geräte zu nutzen - etwa zusätzlich das iPhone. Versucht ein Hacker auf die iCloud-Daten zuzugreifen, bleibt dies aber ab sofort nicht mehr unbemerkt. Die Nachrichten verschwinden zwar bei jeder Bestätigung, zusätzlich erhält man aber eine E-Mail-Benachrichtigung. Hat man einen Code angefordert, kennt aber den Standort der Anforderung nicht, kann es sich übrigens auch um einen Fehler bei der Standortbestimmung halten – die per IP-Adresse erfolgt. Hat man aber keine Nummer angefordert und sieht einen unbekannten Standort, sollte man besser sein Kennwort ändern.

Fehlerbehebung

Ist aus irgendeinem Grund keine Nachricht erschienen, kann man den Code erneut anfordern. Über die Option „Keinen Code erhalten“ ruft man ein Fenster mit drei Optionen auf: „Code erneut senden“ veranlasst das Zusenden eines neuen Codes, über „Textnachricht erhalten“ kann man einen Code als SMS oder Telefonanruf anfordern – beispielsweise, wenn das iPhone nicht als vertrauenswürdig eingestuft ist oder man ein Android-Handy verwendet. Es gibt aber noch weitere Optionen: Sind die Geräte offline, kann ein Code-Generator auf einem freigegebenen Gerät verwendet werden. Funktioniert es immer noch nicht, bleibt noch die Wiederherstellung des kompletten Accounts. Dazu muss man über die Seite iforgot.apple.com eine vorher angegebene Telefonnummer angeben und die Wiederherstellung beauftragen – was aber laut Apple einige Tage dauern kann.

Was ist mit alten Geräten?

Unkomfortabel wird es für Nutzer älterer Geräte: Hat man noch einen alten Mac mit OS X 10.10, sind auch hier iCloud, iTunes-Store und App Store per ID geschützt. Leider können ältere Geräte keine Codes anfordern, ein neueres Gerät mit iOS 9 oder OS X 10.11 ist dafür erforderlich. Das zweite Problem: Ein Eingabefeld für den Zugangscode sieht man am Mac nur unter El Capitan – unter OS X 10.10 waren wir deshalb bei einem alten Mac Mini anfangs etwas ratlos. Die Lösung: Man tippt einfach im Passwortfeld zusätzlich zum Kennwort den sechsstelligen ID-Code ein – ohne Leerzeichen zwischen Kennwort und ID-Code. Dann ist auch der alte Mac freigegeben.

Apple Watch

Auch die Apple Watch wird unterstützt. Der sechsstellige Code kann von einer Apple Watch empfangen werden und erscheint auf dem Display. Das setzt allerdings WatchOS 6 voraus.

Ohne Mac oder iPhone

Ein Leser unserer US-Schwester Macworld ist auf ein interessantes Problem gestoßen: Er verwaltet seine Apple ID über einen Windows-Computer, hat (derzeit) aber gar kein Apple-Gerät. Wie kann er dann die 2FA einschalten und bestätigen? Dafür gibt es nun prinzipiell zwei Wege: Man könnte einen Freund oder Bekannten bitten, auf dessen Mac einen Account zu erstellen, mit dem man anschließend die 2FA bestätigt. Da der Windows-Browser damit als legitimer Zugang gilt, wird man danach diesen Account gar nicht mehr brauchen. Eine andere Möglichkeit: Man gibt eine oder mehrere vertrauenswürdige Telefonnummern an. Denn wenn man kein Apple-Gerät hat, auf das man den sechsstelligen Bestätigungscode schicken kann, kann man ihn sich doch per SMS oder gar per Telefonat schicken lassen, wie weiter oben beschrieben.

Macwelt Marktplatz

2194250