2194250

Zwei-Faktor-Authentifizierung für die Apple ID

29.09.2017 | 10:07 Uhr |

Die Bestätigung in zwei Stufen hat ausgedient, ebenso der Wiederherstellungssschlüssel. Seit iOS 11 und macOS High Sierra setzt Apple allein auf die 2FA.

Mit iOS 11 und macOS 10.13 High Sierra hat sich für die Authentifikation der Apple ID das Verfahren der zweistufigen Bestätigung erledigt . Dieses hatte Apple vor ein paar Jahren relativ spontan und etwas unausgegoren als Sicherheitssystem eingeführt und ist nicht mit der sicheren Zwei-Faktor-Authentifizierung (2FA) zu verwechseln, die nun als alleinige Methode zur Absicherung der Apple ID gilt. Wer seine Systeme aktualisiert, wird von Apple automatisch auf die im September 2015 eingeführte sicherere Methode gehoben, wenn bisher die Bestätigung in zwei Stufen oder "Two-Step-Verification" zum Einsatz kam. Im Gegensatz zu dieser schickt die 2FA Codes auch an macOS-Geräte und nicht nur per SMS an das iPhone. Der Wiederherstellungsschlüssel ist nicht mehr vonnöten, verliert man alle seine verifizierten macOS- und iOS-Geräte, kann man sich an Apple wenden, wenn man die Apple ID wiederherstellen muss. Die 2FA sichert die Identität vor allem dann, wenn Dritte das Passwort zur Apple ID erbeutet oder erraten haben. Allein mit Kenntnis des Passwortes ist der Einbruch in die Apple ID nicht mehr möglich, man muss noch ein mit dieser verknüpftes Gerät haben, auf die der sechsstellige Passcode geschickt wird.

So funktioniert 2FA

Seitdem Apple im Frühjahr 2017 iOS 10.3 veröffentlicht hat, ist die Sicherheitsmaßname der Zwei-Faktor-Authentifizierung noch tiefer im System verankert: Dieses schlägt nämlich gleich bei der Ersteinrichtung vor, die zusätzliche Authentifizierung einzuschalten . Zwar gibt es immer noch die Option, diesen Schritt zu überspringen, die wenigsten Nutzer werden dies wohl tun, hat sich doch seit Jahren eine Update- und Installation-Routine durchgesetzt nach dem Motto "Ja - Ja- Ja - Weiter - Fertig".  Die Zwei-Faktor-Authentifizierung erklären wir hier ausführlicher:

Was ist der Unterschied zur zweistufigen Bestätigung per SMS?

Schon sei 2013 kann ein Anwender seinen Apple-Account per zweistufiger Bestätigung absichern: Man hat dann nur Zugriff auf Dienste wie App Store und den ID-Account, wenn man zusätzlich einen vierstelligen Code eingibt. Diesen erhält man per SMS, ähnlich wie beim Online Banking-System PIN/TAN. Was schon manche verwirrt hat: Eigentlich handelt es sich auch bei diesem Verfahren um ein Zwei-Faktor-Verfahren, auch als 2FA bekannt. Der größte Unterschied ist aber die Bindung an die SMS als „Schlüssel“ oder Token. Hat man sein Handy dabei, kann man mit der alten Methode von jedem beliebigen Gerät aus auf die Dienste zugreifen. Bei der neuen Zwei-Faktor-Authentifizierung muss man jedes Gerät freischalten. Bei der immer noch nutzbaren alten Methode gibt es außerdem einen vierzehnstelligen Wiederherstellungscode, der bei der neuen Variante nicht mehr existiert. 

So aktiviert man das Zwei-Faktor-Verfahren

Die Aktivierung ist unter OS X 10.11, macOS 10.12 und macOS 10.13 einfach : Um die Funktion auf dem Mac zu aktivieren, klickt man in der Systemeinstellung iCloud auf den Button „Accountdetails“ und wählt hier den Reiter „Sicherheit“ aus. Ab OS X 10.11 findet man hier (nach Eingabe des Passwortes) die Option „Zwei-Faktor-Authentifizierung einrichten“. Klickt man auf den Button, öffnet sich ein weiteres Fenster. Hier klickt man auf „Einrichten“ um die Zwei-Faktor-Authentifizierung zu starten. Ab sofort ist dieser Mac automatisch für die Authentifizierung der Apple ID freigeschaltet. Alle freigeschalteten Geräte sind in der Systemeinstellung unter „Geräte“ aufgelistet.

Auf dem iPhone und iPhone aktiviert man die Funktion unter der Systemeinstellung „iCloud/Passwort und Sicherheit“. Hier ist iOS 9 die Voraussetzung, bei der Apple Watch watchOS 2. Windows setzt iCloud für Windows v5 voraus und iTunes 12.3. Diese iTunes-Version wird übrigens auch unter OS X vorausgesetzt.

Zwei-Faktor-Autentifizierung deaktivieren oder verwalten

Das Deaktivieren der Zwei-Faktor-Authentifizierung ist nur noch über die Webseite appleid.apple.com unter „Sicherheit“ möglich. Eben dort lässt sich die vertrauenswürdige Telefonnummer ändern, die zur Wiederherstellung des Accounts dienen soll. Will man die neue Methode wieder deaktivieren, startet Apple den Frage-Dialog mit den drei Sicherheitsfragen. Diese dienen als zusätzlicher Schutz, will sich der Nutzer an einem neuen Gerät bzw. im Browser mit der eigenen Apple ID anmelden.

Was ist der Hintergrund?

Ab sofort genügt das Kennwort der Apple-ID nicht mehr, um sich auf beliebigen Geräten für iCloud, iTunes oder andere Dienste anzumelden. Das ist als Schutz der iCloud-Daten gedacht, sollten die Anmeldedaten gestohlen werden. Eine Ausnahme sind die Funktionen "Mein iPhone suchen", "Apple Pay" und "Apple Watch Einstellungen".

Wie es funktioniert:

Öffnet man nach der Aktivierung erstmals in einem Browser die Webseite iCloud.com, will seinen iTunes-Account öffnen oder verwendet auf andere Art seine Apple-ID, verlangt Apple ein zusätzliches Kennwort. Allerdings nur einmal, man authentifiziert nämlich nicht die Aktion, sondern das Gerät. Man muss also nicht bei jedem iCloud-Aufruf diese sechstellige ID anfordern. Ein Sonderfall: Auch jeder Browser muss einmalig authentifiziert werden – Safari, Google Chrome und Firefox separat.

Diese ID erhält man über alle freigeschalteten Geräten, die mit der ID verbunden sind. Es erscheint auf jedem Gerät eine Nachricht, die meldet „Ihre Apple-ID wird verwendet, um sich auf einem neuen Gerät anzumelden. Eine kleine Karte zeigt außerdem, wo diese Apple-ID verwendet wird. Klickt man nun auf einem der Geräte auf „Erlauben“, zeigt ein Fenster eine sechsstellige Nummer für die Freigabe der Apple-ID. Erst nach Eingabe dieser Nummer kann man sich beim gewünschten Dienst anmelden. Ein großer Unterschied zur Freischaltung per SMS: Man kann sich die Nummer auch auf einem bereits authentifizierten Gerät anzeigen lassen, auf dem man den Dienst nutzen will. Man benötigt also nicht unbedingt ein iPhone. Dazu ist die angeforderte Nummer nur binnen einer kurzen Zeitspanne von wenigen Minuten gültig.

Das Rätsel der Ortung

Wer die 2FA aktiviert hat und sich in sein iCloud-Konto einloggen will, bekommt auf all seinen Geräten eine Meldung über den Login-Versuch. Erlaubt man dies, erhält man einen sechsstelligen Code, den man nun auf dem Gerät eingeben muss, mit dem man sich anmelden will. So weit so gut, was aber verwirrt, sind die Ortsangaben der Meldung. Letztens teilte uns unser in München stehender Mac etwa mit, jemand würde sich von einem kleinen Nest im Landkreis Hof aus in unseren Account einloggen wollen. Da nun aber die Meldung unmittelbar nach der Passworteingabe auf icloud.com erschien, konnten wir beruhigt davon ausgehen, dass uns Apple einfach nur in Oberfranken statt in Oberbayern verortet. Derartige Fehler bei der Lokalisierung sind auch in Apples Heimat bekannt, erklärt Glenn Fleishman , wenngleich er in Kalifornien auf hohem Niveau klagt, wenn die 2FA um 50 Kilometer daneben lag. Der Grund für die ungenaue Bestimmung: Apple zieht die IP-Adresse des Gerätes heran und nutzt dafür recht ungenaue Ortungsdienste. In der Regel vergibt ein Service-Provider für jede Session die IP, der Standort seines Rechenzentrums ist nun für die Lokalisierung entscheidend. Nutzt man einen VPN-Dienst, wird die Sache noch ungenauer. So bleibt nur darauf zu vertrauen, dass gleichzeitige Zugriffe aus Oberbayern und Oberfranken extrem unwahrscheinlich sind.

Anfangs ist es vielleicht irritierend, dass die Nachricht auf allen freigegebenen Geräten erscheint – mit lautem Signalton. Allerdings ist es ja gerade der Sinn dieser Funktion, dass jeder Zugriff auf die Apple ID sofort bekannt ist. Hat man auf allen Geräten Browser und Systemfunktionen freigegeben, ist die Authentifizierung außerdem nur noch selten nötig. Versucht ein Hacker auf die iCloud-Daten zuzugreifen, bleibt dies aber ab sofort nicht mehr unbemerkt. Die Nachrichten verschwinden zwar bei jeder Bestätigung, zusätzlich erhält man aber eine E-Mail-Benachrichtigung. Hat man einen Code angefordert, kennt aber den Standort der Anforderung nicht, kann es sich übrigens auch um einen Fehler bei der Standortbestimmung halten – die per IP-Adresse erfolgt. Hat man aber keine Nummer angefordert und sieht einen unbekannten Standort, sollte man besser sein Kennwort ändern.

Fehlerbehebung

Ist aus irgendeinem Grund keine Nachricht erschienen, kann man den Code erneut anfordern. Über die Option „Keinen Code erhalten“ ruft man ein Fenster mit drei Optionen auf: „Code erneut senden“ veranlasst das Zusenden eines neuen Codes, über „Textnachricht erhalten“ kann man einen Code als SMS oder Telefonanruf anfordern – beispielsweise, wenn das iPhone nicht als vertrauenswürdig eingestuft ist oder man ein Android-Handy verwendet. Es gibt aber noch weitere Optionen: Sind die Geräte offline, kann ein Code-Generator auf einem freigegebenen Gerät verwendet werden. Funktioniert es immer noch nicht, bleibt noch die Wiederherstellung des kompletten Accounts. Dazu muss man über die Seite iforgot.apple.com eine vorher angegebene Telefonnummer angeben und die Wiederherstellung beauftragen – was aber laut Apple einige Tage dauern kann.

Was ist mit alten Geräten?

Unkomfortabel wird es für Nutzer älterer Geräte: Hat man noch einen alten Mac mit OS X 10.10, sind auch hier iCloud, iTunes-Store und App Store per ID geschützt. Leider können ältere Geräte keine Codes anfordern, ein neueres Gerät mit iOS 9 oder OS X 10.11 ist dafür erforderlich. Das zweite Problem: Ein Eingabefeld für den Zugangscode sieht man am Mac nur unter El Capitan – unter OS X 10.10 waren wir deshalb anfangs etwas ratlos. Die Lösung: Man tippt einfach im Passwortfeld zusätzlich zum Kennwort den sechstelligen ID-Code ein – ohne Leerzeichen zwischen Kennwort und ID-Code. Dann ist auch der alte Mac freigegeben.

Ohne Mac oder iPhone

Ein Leser unserer US-Schwester Macworld ist auf ein interessantes Problem gestoßen: Er verwaltet seine Apple ID über einen Windows-Computer, hat (derzeit) aber gar kein Apple-Gerät. Wie kann er dann die 2FA einschalten und bestätigen? Dafür gibt es nun prinzipiell zwei Wege: Man könnte einen Freund oder Bekannten bitten, auf dessen Mac einen Account zu erstellen, mit dem man anschließend die 2FA bestätigt. Da der Windows-Browser damit als legitimer Zugang gilt, wird man danach diesen Account gar nicht mehr brauchen. Eine andere Möglichkeit: Man gibt eine oder mehrere vertrauenswürdige Telefonnummern an. Denn wenn man kein Apple-Gerät hat, auf das man den sechsstelligen Bestätigungscode schicken kann, kann man ihn sich per SMS oder gar per Telefonat schicken lassen, wie weiter oben beschrieben.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2194250