Zwei-Faktor-Authentifizierung für iCloud und Apple ID kommt

MobileSicherheitSmartphone
Apple patcht mit einem Update die Sicherheitslücke CVE-2014-1266.

Mit der neuen Option will Apple iCloud-Konten und Apple ID sicherer machen. Änderungen sind nur noch möglich, wenn der Nutzer das Passwort und einen zusätzlichen Bestätigungscode weiß. Dieser wird an ein Mobiltelefon gesandt. Bei vergessenem Passwort oder verlorenem Gerät kommt ein 14-stelliger Code zum Einsatz.

Apple bietet die Zwei-Faktor-Authentifizierung für die Nutzer von iCloud und Apple ID als neue Sicherheitsoption an. Sie ist zunächst in den USA, Großbritannien, Irland, Australien und Neuseeland möglich. In anderen Ländern soll sie nach und nach zur Verfügung stehen.

Wer sie aktiviert, benötigt in Zukunft für die Verwaltung seiner Apple ID – insbesondere das Zurücksetzen des Passworts – zusätzlich zum Passwort einen vierstelligen Bestätigungscode. Dieser wird als Textnachricht an ein Mobiltelefon geschickt. Damit soll das Konto besser vor der Übernahme durch einen Unbefugten geschützt werden. Die Eingabe von Passwort und dem jeweiligen Bestätigungscode ist auch erforderlich, wenn Käufe über iTunes, Apples App Store oder iBookstore von einem neuen Gerät aus getätigt werden.

Außerdem verteilt Apple einen 14-stelligen Code für die Wiederherstellung und empfiehlt, ihn auszudrucken und an einem sicheren Ort aufzubewahren. Wenn das Passwort vergessen wurde oder das ausgewählte Mobilgerät nicht mehr zugänglich ist, ist der erneute Zugang nur mit diesem Code möglich. Bei aktivierter Zwei-Faktor-Authentifizierung entfällt dafür die bisherige Sicherheitsfrage. Außerdem kann der Apple-Support das Passwort nicht mehr zurücksetzen, sondern nur noch der Nutzer selbst. Wer den Zugang zu zwei von drei Faktoren – Passwort, Gerät, Code für die Wiederherstellung – verliert, könnte allerdings dauerhaft von seinem Apple-ID-Konto ausgesperrt sein.

Google hat die optionale Zwei-Faktor-Authentifizierung für seine Dienste schon Anfang 2011 eingeführt. Auch andere Dienste, etwa Facebook, Yahoo, Paypal und Dropbox bieten sie bereits an. Evernote plant die Einführung im Lauf dieses Jahres, nachdem es unlängst zu Missbrauch bei den Benutzerdaten kam.

Apple reagiert darauf, dass sich seine Dienste selbst ohne tiefe Computerkenntnisse leicht austricksen ließen. Prominenter Fall im vegangenen Jahr war der US-Journalist Mat Honan: Apples eigener Support hatte dabei einem Angreifer ermöglicht, Honans Apple-Geräte und weitere Konten zu übernehmen. Der Angreifer hatte sich an Apple gewandt, mithilfe der ebenfalls recht leicht bei Amazon ausspionierten Kreditkartennummer als Mat Honan “identifiziert” und so Zugang zu dessen iCloud-Konto erhalten.

[mit Material von Josh Lowensohn, News.com]