Apples Zwei-Faktor-Authentifizierung: Gut gedacht, weniger gut gemacht
Die erfolgreichen Angriffe auf mehr oder weniger prominente Nutzer von Apples iCloud, die dadurch bekannt wurden, dass deren mehr oder weniger pikante private Fotos veröffentlicht wurden, hat Apple auf dem falschen Fuß erwischt. Schließlich war eine weitreichendere Zwei-Faktor-Authentifizierung für die Dienste des Anbieters schon länger gefordert und der Ruf danach immer lauter geworden. Gründe, warum sie nicht eingeführt wurde, nannte Apple nicht.
Wahrscheinlich stand der doch etwas kompliziertere Vorgang, zu dem zum Beispiel Google, Facebook, Paypal, Twitter und bei Office 365 auch Microsoft ihre Nutzer schon länger zwingen, im Widerspruch zum Apple-Dogma der Einfachheit. Außerdem ist
Die Nacktbilder Prominenter iCloud-Nutzer passten aber wohl noch weniger zum Apple-Image – auch wenn Apple womöglich gar nichts dafür kann, wie inzwischen bekannt ist, sondern der oder die Angreifer sich die Passwörter der Opfer und damit letztendlich auch die Bilder über wahrscheinlich mehrere und ganz andere Quellen besorgt hatten. Dennoch hat Apple die Zwei-Faktor-Authentifizierung jetzt doch auf seinen Cloud-Speicherdienst ausgedehnt. Nutzer, die die zweistufige Bestätigungsfunktionaktiviert haben, müssen sich bei der Anmeldung zu iCloud nun über ein anderes Gerät identifizieren. Auch für Dritthersteller-Apps mit denen auf iCloud-Daten zugegriffen wird – das könnte zum Beispiel wie Thunderbird sein, ist ab 1. Oktober ein anwendungsspezifisches Passwort erforderlich. Dieses lässt sich für jede App in der Kontoverwaltung der Apple-ID erstellen.
Die Zwei-Faktor-Authentifizierung ist standardmäßig nicht aktiv. Apple-Anwender, die sie nutzen wollen, müssen unter Meine Apple-ID den Dienst “zweistufige Bestätigung” einschalten. Außerdem erfordert die Aktivierung des Dienstes drei Tage. Diese Verzögerung habe “Sicherheitsgründe”, erklärt der Apple-Support in seiner Bestätigungs-Mail, die er – wiederum “zur Sicherheit” – an alle im Account hinterlegten E-Mail-Adressen sendet.
Im Zuge der Ausweitung der “zweistufige Bestätigung” hat Apple auch die Vorgaben für Passwörter verschärft. Enthalten sein müssen unter anderem ein Kleinbuchstabe, ein Großbuchstabe sowie eine Ziffer. Außerdem sind mehrere identische, aufeinander folgende Zeichen untersagt und das Passwort darf weder mit dem Kontonamen identisch noch ein häufig verwendetes Kennwort sein.
Für Tim Cook scheint die kurze, unerfreuliche Periode, in der das Thema Datenschutz bei Apple in die Schlagzeilen rückte, damit erledigt zu sein – wie aus seinen Aussagen in einer US-Fernsehsendung und einem offenen Brief hervorgeht. Die Zwei-Wege-Authentifizierung schütze nicht nur die Apple ID, sondern auch alle gespeicherten Daten in der iCloud, verspricht der Konzern in Mails an seine Kunden.
Das sehen einige Security-Experten anders. Zu ihnen gehört Sophos-Mitarbeiter Paul Ducklin. Er kritisiert, dass laut Apple-FAQ die Zwei-Wege-Authentifizierung nur greift, wenn man sich bei My Apple ID einloggt, um den Account zu bearbeiten, sich mit einem neuen Gerät auf iCloud oder iCloud.com anmeldet, im iTunes-, iBook- oder App-Store etwas kauft oder Support über die Apple ID erhält.
Ducklin begrüßt zwar, dass Apple “alle gespeicherten Daten” schützt – besteht aber darauf, dass dies tatsächlich nur beim ersten Log-in mit einem neuen Gerät der Fall ist. Er vermisst, dass die Zwei-Faktor-Authentifizierung weder für das spätere Speichern oder Synchronisieren der Daten noch für die Betätigung von Online-Käufen eingeschaltet werden kann.
Auch bei der direkten Interaktionen mit der iCloud oder dem Wiederherstellen von Daten hält er die Verwendung des sichereren Verfahrens für sinnvoll. So hat Apple zwar einen Schritt nach vorne gemacht, letzendlich aber Angreifern künftig noch eine ganze Reihe von Möglichkeiten gelassen, sich auszutoben, wenn sie die erste Hürde erst einmal überwunden haben.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de