Apples FaceTime und iMessage künftig per Zwei-Faktor-Authentifizierung gesichert
Apple stopft eine potenzielle Sicherheitslücke bei seinem Telefonie- und seinem Chat-Dienst: Bislang reichte zum Aktivieren beider Services Nutzername und Passwort, selbst wenn man den sichereren Zwei-Faktor-Schutz eingeschaltet hatte.
Einrichtung der Zwei-Faktor-Authentifizierung.
(Bild: Screenshot Apple.com)
Apple sichert seine SMS-Alternative iMessage und den Audio- und Video-Telefoniedienst FaceTime künftig mit einem Zwei-Stufen-Login ab. Das schreibt das Unternehmen in einer Presseaussendung. Die Funktion soll Schritt für Schritt für alle iCloud-Nutzer ausgerollt werden.
FaceTime und iMessage bislang schlechter gesichert
Bisher hatte Apple das Zwei-Stufen-Verfahren für die Verwaltung der Nutzerkonten, die Anmeldung beim Online-Speicherdienst iCloud sowie erste Käufe von neuen Geräten angeboten. Ein Nutzer, der sich für das Verfahren entscheidet, muss bei der Anmeldung meist zusätzlich einen frisch zugeschickten vierstelligen Code eintippen. Die zusätzliche Hürde soll die Sicherheit über das Passwort-System hinaus verbessern.
Bei FaceTime und iMessage war es dagegen möglich, selbst bei aktiver Zwei-Faktor-Authentifizierung eine Anmeldung auf neuen iPhones und OS-X-Geräten allein mit Passwort und Nutzernamen vorzunehmen. Das hatte zuletzt Anfang Januar wieder für viel Kritik im Internet gesorgt, auf die Apple nun offenbar reagierte.
Schrittweise Ausdehnung der Zwei-Faktor-Authentifizierung
Die Sicherheitsvorkehrungen des Konzerns waren schon zuvor unter Feuer geraten, nachdem im vergangenen Jahr zahlreiche Nacktfotos von Prominenten im Netz gelandet waren. Die Bilder kamen zumindest teilweise aus dem iCloud-Speicher. Nach bisherigen Informationen hatten die Diebe sich Zugang zu den Profilen über die Sicherheitsabfragen verschafft, die bei vergessenen Passwörtern helfen sollen. Außerdem soll es zwischenzeitlich eine Brute-Force-Angriffsmöglichkeit zum Passwortknacken gegeben haben.
Apple hatte in Reaktion auf den iCloud-Angriff die Verwendung der Zwei-Faktor-Authentifizierung verstärkt und Nutzer gebeten, sie zu aktivieren. Das geht über das Apple-ID-Verwaltungsportal, muss aber händisch angestoßen werden.
[Update 13.02.15 19:45 Uhr:] Noch scheint das neue Sicherheitsverfahren anders zu arbeiten als von Apple dargestellt. Statt der Abfrage eines zweiten Faktors, der z.B. auf ein iOS-Gerät oder SMS-fähiges Handy gesendet wird, verlangen FaceTime und iMessage derzeit nach einem anwendungsspezfischen Passwort. Dieses wird über das Apple-ID-Portal (Passwort & Sicherheit) angelegt und ist dann nur für diesen Dienst gültig.
Das schutzt zwar das Hauptpasswort der Apple ID, bringt aber nicht die Sicherheitsvorteile, die ein zweiter Faktor hätte. Wir haben bei Apple nachgefragt, ob es sich um ein technisches Versehen handelt. Anwendungsspezifische Passwörter wurden zudem bislang immer nur für externe Apps verlangt, nicht für Apple-eigene Dienste, was zusätzlich Verwirrung stiftet.
Unter OS X 10.9 kann es zudem dazu kommen, dass das Betriebssystem den Nutzer gar nicht informiert, dass er ein App-spezifisches Passwort anlegen soll. Nachvollziehen konnten wir das mit FaceTime - hier war mit dem Standardpasswort schlicht kein Login mehr möglich und es kam keine Fehlermeldung. [/Update]
Mehr zum Thema Zwei-Faktor-Authentifizierung für die Apple-ID lesen Sie in einem ausführlichen Beitrag in Mac & i-Heft 6/14. (mit Material von dpa) / (bsc)
