Mit Sicherheit
Apple ist besorgt, um die Sicherheit meiner Daten. Und verführt mich deshalb zu ziemlich unsicherem Verhalten.
Du kommst hier nicht mehr rein, sagt mein Smartphone. Seit dem 15. Juni muss jeder User, der über Apps von "Drittanbietern" auf Dienste von iCloud zugreift, zwingend "anwendungsspezifische Passwörter" verwenden. Habe ich noch nicht, also kann ich mit meinem Smartphone - kein iPhone, also von einem "Drittanbieter", also bestimmt nicht sicher - nicht mehr auf meine Mail zugreifen. Toll. Danke Apple.
Hilft nix, denke ich. Das muss ich wohl doch mal ändern. Das ist der Beginn einer sicherheitstechnischen Geisterfahrt. Um die Sicherheit meiner Mail zu erhöhen habe ich gegen elementare Verhaltensregeln verstoßen, die ich Computernutzern sonst immer predige.
Kleinen Kindern bringt man bei, dass sie auf der Straße von Fremden keine Süßigkeiten annehmen sollen. Computer-Usern, dass sie dubiose E-Mails ignorieren sollen - und schon gar nicht auf irgendwelche eingebetteten Links klicken. Mails, die dir sagen, dass dein Account nicht mehr funktioniert und wie du den wieder zu reparieren hast, sind hochgradig verdächtig. Sowas ist fast immer mieser Betrug. Aber genau so eine Mail habe ich von Apple bekommen.
Ich klicke nun also auf so einen Link, denn ich muss mich auf einer Internetseite einloggen, um meine Apple-Id zu verwalten. Hoffentlich ist das kein Phishing-Angriff. Bevor ich ein "anwendungsspezifische Passwort" einrichten kann, lerne ich jetzt, muss ich die Zwei-Faktor-Authentifizierung aktivieren. Das ist an sich eine Super Sache. Soll heißen, wenn jemand an meinen Accountdaten rumfummelt, braucht er dafür einen Bestätigungscode, der an ein vertrauenswürdiges Gerät geschickt wird. So, wie die mTan bei Überweisungen.
Blöd ist allerdings, dass vertrauenswürdige Geräte wiederum nur leidlich aktuelle Apple-Produkte sind. Mein alter Mac Mini zählt nicht. Was mache ich denn jetzt? Unter"Mehr Informationen" ist ein Link zu einem längeren Hilfetext. Da gibt es irgendwann einen Verweis auf die "Zweistufige Anmeldung", die geht auch mit beliebigen Geräten.
Weiß der Teufel, wo der Unterschied zwischen diesen beiden Verfahren ist, aber nun versuche ich diese zweistufige Anmeldung zu aktivieren. Dazu muss ich eine Telefonnummer angeben, an die ich eine SMS schicke, dann wird ein "Wiederherstellungsschlüssel" erzeugt. Den soll ich ausdrucken, und gut weglegen, falls ich mein Passwort mal vergesse.
Ausgedruckte Zettel mit Sicherheitsschlüsseln, die den Zugriff auf meinen Account ermöglichen, so so. Das erhöht also die Sicherheit. Na ja, ich bin ja nur Computerlaie. Das beste aber kommt dann: Ich habe zwar die zweistufige Anmeldung aktiviert, kann aber immer noch keine anwendungsspezifischen Passwörter erstellen. Schlimmer noch: Ich kann nicht mal sehen, dass das Verfahren aktiv ist - es gibt auf der Verwaltungsseite keinen Eintrag dazu.
Die Erklärung liefert eine neue, automatische Mail von Apple. Da steht drin, dass ich warten muss, bis das Verfahren aktiviert wird. Aus Sicherheitsgründen. Bis Montag Vormittag. Ich bin total beruhigt. Wenn jemand versucht hat, mich zu linken und meine Daten abgegriffen hat, kann er mich bis Montag ausziehen bis aufs Hemd. Aber so sei es nun.
Montag darf ich dann wirklich endlich. Mein erstes anwendungsspezifisches Passwort: In einem Pop-Up-Fenster wird ein Passwort eingeblendet, das aus drei Blöcken zu je vier Buchstaben besteht, getrennt durch einen Bindestrich. Keine Groß- und Kleinschreibung, keine Zahlen, keine Sonderzeichen.
Fein, denke ich. Nun habe ich es ja. Ich soll das jetzt gleich in die App auf meinem Smartphone eintippen, steht da. Mache ich, dann klicke ich das Fenster weg, aber meine Mail bekomme ich immer noch nicht. Das Passwort stimmt nicht, ich muss mich irgendwo vertippt haben. Mist! Ich will noch mal nachschauen, aber Apple sagt mir lediglich, dass ich das Passwort erzeugt habe. Wie es lautet, kann ich nicht mehr nachvollziehen. Jetzt weiß ich, warum diese Art Passwörter auch Wegwerfpasswörter genannt werden.
Schade, also erzeuge ich ein neues Passwort. Damit mir der blöde Fehler nicht noch mal passiert, schreibe ich das auf einen Zettel. Immerhin: der Zettel mit dem Wiederherstellungsschlüssel liegt in einer anderen Schublade. Ganz unsicher ist das Verfahren also doch nicht. (wst)
