Apple ID Sicherheit ein schlechter Witz durch 'Passwort vergessen Optionen'?

[prev]

Ich bin gerade etwas schockiert.

Mir scheint es als hat Apple diverse Wege eingebaut um das Passwort einer Apple ID neu zu vergeben. Einfach mal unter https://support.apple.com/de-de/HT201487 unter "Du hast keinen Zugriff auf deine Geräte" schauen.

Mir scheint es so, als kann ich über die App bei iOS 12 und früher "Mein iPhone suchen" auf jedem belibigem iOS Device mit hilfe meiner Apple ID (icloud.com Emailadresse) und meinem Device Pin ein neues Passwort vergeben. Das heißt, der Pin ist im Prinzip das Passwort. Den kann man zum einen tatsächlich auch mal ausspähen beim Entsperren des Phones in der Öffentlichkeit, zum anderen dürfte der in vielen Fällen aus 4-6 Zahlen bestehen.

Über die Apple Support App kann ich wohl etwas ähnliches durchführen. Das habe ich aber noch nicht ganz verstanden, da werden wohl sogar eher diverse Fragen gestellt. Ich befürchte super anfällig für Social Engineering?

Ich kann das schon verstehen warum die das machen, der typischer User wird Passwörter werden wohl oft vergessen.

Wenn ich aber gezielt jemanden ausspähen möchte, finde ich seine Email raus, und schaue ob ich mal die Eingabe seiner Pin beobachten kann oder rate sie sogar einfach. Und ich bin im Account.

Warum kann man das nicht im Account ausstellen als Möglichkeit? Aber wenn ich Banking und alles über das Iphone mache, dann will ich lieber alle meine Daten verlieren als das so einfach Angriffe möglich sind.

 

[tollertyp]

2FA für die Apple-ID verwenden?

 

[prev]

Ich schon :-) Ich vermute aber nicht alle.

Ja, Das hilft sicher gegen 0815 Hacks.

Aber sobald jemand Zugriff auf deine SMS hat (wird seit Jahren als unsicher angesehen und es gab bereits viele Hacks durch unerlaubt Vergebene Multi-Sims aber auch über den SMS gateway, da nicht verschlüsselt), hilft die auch nicht (Vertraute Telefonnummer geht als 2fa alternative).

Oder aber bei gestohlenen Iphones. Beispiel, ich gebe im Urlaub meinen Pin ein, jemand sieht das und klaut das Iphone, dann hat er schon fast meinen gesamten Apple Account übernommen. Ich muss da gerade an diese Meldung denken..
https://www.macwelt.de/news/Brasilien-Kriminelle-hacken-iPhones-fuer-Bankdaten-11047636.html

 

[kachiri]

2FA für die Apple-ID verwenden?

Bringt nichts. Auf Geräten die zusätzlich zu Face- oder Touch-ID mit einem Code geschützt sind, hast du die Möglichkeit dein Passwort zu ändern. Man muss lediglich diesen Code eingeben.
Man kann zwar den Code ausschalten, dann ist das Gerät quasi nicht "vertrauenswürdig". Das heißt aber gleichzeitig auch, dass Apple Pay z.B. nicht mehr geht oder auch die Funktion, das iPhone mittels Apple Watch zu entsperren außer Kraft ist.

Die Problematik ist doch sehr theoretisch... Mich wundert gerade allerdings tatsächlich, dass ich hier wirklich nur den Code eingeben muss und nicht Touch- oder Face-ID zwingend notwendig ist.

 

[bisy]

Oder aber bei gestohlenen Iphones. Beispiel, ich gebe im Urlaub meinen Pin ein, jemand sieht das und Klaut das Iphone, dann hat er schon fast meinen gesamten Apple Account übernommen

Was aber mit allen anderen Sachen auch geht.

Autoschlüssel = jemand sieht, welches Auto du nutzt, wenn er den Schlüssel klaut, hat er dein Auto. Wobei man bei den Keyless Systemen ja noch nicht mal den Schlüssel klauen muss.

Bank Karten = beim Geld abheben oder bezahlen beobachtet, welcher Pin verwendet wird, wenn der dann die Karten klaut, hat der Zugriff auf dein Geld

Usw usw

 

[prev]

Der Witz ist ja vor allem, dass du den Pin auf jedem belibigen iOS Gerät eingeben kannst. Man muss nur die Email für die Apple ID kennen.

Mich würden auch die "Sicherheits Fragen" interessieren, welche beim Zurücksetzen des Passworts über die Support-App (auch auf jedem belibigen iOS Device für jede belibige Apple ID möglich). Nicht das da dann die Adresse und das Geburtsdatum reicht oder ähnliche, leicht herauszufindende Dinge.

 

[Irrlicht_01]

Das sind so Sachen wie:
Mädchenname der Mutter
Lieblingssportteam
Lieblingsessen
etc

 

[prev]

@bisy: Eine Übernahme einer Apple ID kann deutlich schlimmer sein als bei eine Bankkarte. Der Schaden ist außerdem nicht nur finanziell, sondern kann vom Ident-Diebstahl bis zum leaken/erpressen von/mit vertraulichen Daten alles beinhalten, ich denke da jetzt nicht nur an mich als Privatperson, sondern auch an Journalisten, VIPs etc.

Ergänzung (23. Juli 2021)

@Irrlicht_01
Interessant. Hast du das mal probiert? Ich frage mich gerade ob das dann überhaupt geht, wenn man nie irgendwo Sicherheitsfragen eingerichtet hat (kann mich nicht dran erinnern, das ich welche angegeben habe)?

 

[Nilson]

Wenn man wirklich was bei den "Sicherheits"-Fragen angeben muss, dann kommt da eh nur Nonsens rein, der mit dem Passwort im Passwortmanager gespeichert wird.

 

[tollertyp]

Also kann ich, wenn ich 2FA aktiviert habe, bei jedem beliebigem Apple-Gerät erfolgreich ausschließlich mit PIN anzumelden?

(Es heißt im Übrigen "die PIN" und nicht "der PIN", außer du redest von einer Pinwand)

 

[BalthasarBux]

Hat das hier irgendjemand mal wirklich ausprobiert oder sind das alles nur wilde Spekulationen?
Bei letzterem bin ich dabei: Ich gehe stark davon aus, dass man da nicht einfach dass Passwort ändern kann, sondern einen Prozess in Gang treten, bei dem man einen Rücksetz-Link an die AppleID-Mail bekommt. Dann müsste der Bösewicht mindestens noch Zugriff auf die Mail haben.

 

[prev]

Du kannst mit deinem Pin auf und deiner Apple ID (Email) auf jedem iOS Gerät dein Passwort neu vergeben. Ich vermute, dass man danach zum Login über icloud.com immer noch die 2FA benötigt (Gerät oder eine hinterlegte Telefonnummer).

Für 0815 Hacks reicht das vermutlich. Ich finde es sehr nervig, denn die Pin sollte daher doch eher komplex sein, letztlich ist sie fast genauso mächtig wie dein Passwort. Ich werde wohl oder Übel auf eine alphanumerische umsteigen.

Was ich eben noch gelesen habe, bei aktiver 2fa sind die Sicherheitsfragen (relativ schlechte Security) deaktiviert. Wenigstens das. https://support.apple.com/de-de/HT201363

Man kann aber trotzdem noch eine Passwortwiederherstellung mit Zeitverzögerung anfordern (https://support.apple.com/de-de/HT204921) auf eine beliebige Telefunnummer., wenn man bei Passwort vergessen alles als nicht bekannt anklickt (eben mal durchgeklickt bei Passwort vergessen auf der Apple Id Login-Seite).

Mich würde es echt interessieren ob Apple da einen auf security by obscurity macht, ob man sein Passwort auch mit so Dingern wie Kreditkartennummer etc. neu vergeben kann, vielleicht probiere ich das mal aus was die da alles haben wollen.

Wie gesagt, ich verliere lieber meinen Account als das er übernommen wird.

Ergänzung (23. Juli 2021)

@Balthasarbildet Mangels eines zweiten iOS Devices leider nicht probiert, nur im Support Artikel gelesen. Daher ja auch das Topic hier. :-)

Was ich probiert habe ist, dass man mit einem entsperrten Gerät das Passwort zurück setzen kann. D.h. mit dem Besitz eines entsperrten Devices kannst du auf jeden Fall die Apple ID komplett übernehmen.

Das finde ich alleine schon nicht so klasse gemacht. Apple nimmt wohl Device + Zugriff auf das Device als zwei Faktoren. Ich würde immer Device + Account Passwort dafür nehmen wollen, damit wäre der Account nicht kompromittiert wenn das irgendwie entsperrt in andere Finger kommt. Es gab auch schon Berichte wo Leuten das iPhone entsperrt aus der Hand gerissen wurde. Relativ unwahrscheinlich das einem das passiert, aber möglich.

An der Apple ID können ja auch noch viele andere Dinge hängen.

Ergänzung (23. Juli 2021)

Oh man das wird ja immer besser. Gerade habe ich noch bemerkt, das "Iphone Suche" nicht per 2fa gesichert ist. Ok es macht Sinn, denn sonst könnte man bei verlorenem iPhone die Funktion nicht mehr nutzen.

Aber, jeder der dein Passwort hat sieht deinen Aufenthaltsort oder kann dein Iphone Löschen. Da ist kein 2fa nötig. Irgendwie kommt mir ein Google-Account (nicht Android) langsam deutlich sicherer vor, da geht das nicht soweit ich es erinnere aus meinen alten Zeiten mit Android. :-D

 

[prev]

Habe eben mal meinen alten Google-Account gecheckt.

Da kann man, wenn man möchte, tatsächlich vom Telefon unabhängige 2fa einrichten. D.h. jemand mit Zugang zum entsperrten Telefon kann trotzdem nicht deinen Account übernehmen - das geht bei Apple definitiv.

 

[prev]

Ich habe noch was interessantes gefunden, was für den einen oder anderen interessant sein könnte.
https://support.apple.com/de-de/HT208072

Es gibt wohl auch die Option Wiederherstellungsschlüssel zu nutzen, der die Accountwiederherstellung deaktiviert. Wie ich das auf die schnelle verstehe, ist es aber nur die Option wo Apple mit Fragen probiert zu verifizieren. Immerhin.

 

[prev]

Hat das hier irgendjemand mal wirklich ausprobiert oder sind das alles nur wilde Spekulationen?

Ich habe es eben auf dem gleichen Device probiert. Das iPhone von der Apple ID abgemeldet, danach auf dem gleichen Gerät über die App "Mein iPhone suchen" das Passwort erfolgreich nur per Loginname (email) und Pin geändert.

Es könnte natürlich sein, dass Apple das Gerät irgendwie noch erkennt und es daher so einfach geht. Trotzdem, nach dem ich mich abgemeldet habe, sollte sowas nicht mehr gehen!

2fa ist übrigends an, hat aber nichts gemacht.

Bisher heißt das für mich PIN + Loginname = passwort und man sollte verdammt vorsichtig mit seinem PIN sein. Vor allem da man auf Find my Phone auch mit aktiver 2fa nur mit Passwort + Email zugreifen kann und so die Position leicht herausbekommt oder das Device löschen könnte.

Wenn das wirklich so ist und ich nichts übersehe, ist das für Face Unlock richtig Mist, denn dort benötigt man zwingend in vielen Situationen einen PIN als Alternative, den ich dann doch ungern alphanumerisch mit 12 Zeichen haben würde.

Ich würde das gerne mal mit zwei unterschiedlichen iPhones/iOS Devices testen.

 

[Sommersocke]

Wer im Jahre 2021 noch an Sicherheit im Netzwerk glaubt, dem ist vermutlich eh nicht mehr zu helfen

Wenn man allerdings die letzten Jahre im Blick hat, wird man feststellen, dass weniger die Betriebssysteme angegriffen werden, sondern die Browser. Da sollte man eher auf Sicherheit und eigenes Verhalten achten. Wenn jemand unbedingt an dein Telefon will, kann er das sowieso → https://xkcd.com/538/

 

[tollertyp]

@Sommersocke: Deshalb sind die meisten Sicherheitslücken für Privatanwender auch ziemlich irrelevant. Die meisten, betone ich, bevor gleich drei Beispiele von Lücken kommen, die für Privatanwender auch relevant waren.

Die größte Gefahr ist der Nutzer, ncht die Software - Ausnahmen bestätigen die Regel.

 

[prev]

Update:

Ich habe tatsächlich mit einem Bekannten das ganze mal durchgespielt mit zwei unterschiedlichen Geräten.

Die gute Nachricht, das mit dem PIN + Login (Email) alleine scheint nur zu klappen, wenn das Gerät ein vertrauenswürdiges Device im dem Apple Account ist. Bei meinem bekannten musste ich eine vertrauenswürdige Telefonummer nutzen, sprich man bekommt eine SMS auf seine SIM-Karte.

Was mir am Anfang passiert ist: Ich habe mein iPhone abgemeldet und es ist, wie schon vermutet, trotzdem ein vertrauenswürdiges Gerät geblieben. Ich glaube in aktuellen iOS Versionen (habe ein älteres iPhone aktuell) kann man gar nicht mehr nur den Account abmelden, sondern das Gerät wird automatisch auch entfernt

Ich finde es bei Google tatsächlich viel besser gemacht, man kann sein Schutz/Convenience Level selber bestimmen und seinen zweiten Faktor wählen (OTP, one time token, Telefon, Gerätebindung etc). und es ist transparent was passiert.

Apple setzt voll auf SMS und Gerätebindung auf jedem angemeldetem Device als einzige Methode, das ist für die meisten wohl ausreichend, aber SMS sind schon lange nicht mehr sicher. Und auch der Zwang zur Gerätebindung auf jedem Gerät finde ich blöd, wenn doch mal jemand mein iPhone entsperrt in den Fingern hat, hat er wie gesagt Zugang zur gesamten iCloud/Account und ggf. damit auch zu andern Computern. Also maximaler Schaden.

Das Logging über Logins etc. ist bei Google auch viel besser und man bekommt eigentlich sofort mit wenn mal was sein sollte. Apple lässt einen da sehr im unklaren ob es unerwünschte Logins gibt oder entsprechende Versuche.

 

[bart0rn]

Apple lässt einen da sehr im unklaren ob es unerwünschte Logins gibt oder entsprechende Versuche.

Also mich informiert Apple immer.

Ich hab auch noch nie ne SMS bekommen, sondern nen PIN per Push auf eins meiner anderen Geräte.