Apple aktiviert verbesserte Zwei-Faktor-Authentifizierung
Künftig muss man sich auch identifizieren, wenn man verschiedene iCloud.com-Web-Apps aufrufen will. Zudem vergibt Apple anwendungsspezifische Passwörter, wie man es bereits von Google Mail und Co. kennt.
Nach ersten Tests [1] im Juli hat Apple nun seine Zwei-Faktor-Authentifizierung [2] auch auf sein Web-App-Angebot iCloud.com [3] ausgedehnt. Künftig muss man, wenn man über das Portal Anwendungen wie Mail, Kontakte, Kalender, Erinnerungen, Pages, Numbers oder Keynote aufrufen will, einen Verifikationscode über ein Zweitgerät eingeben. Die "Mein iPhone finden"-Funktion ist dagegen nicht zusätzlich gesichert, schließlich könnte ein iPhone auch als Zwei-Faktor-Medium dienen.
Apple hatte bereits zuvor damit begonnen, E-Mail-Warnhinweise [4] zu verschicken, sobald eine Apple-ID dazu verwendet wird, sich bei iCloud.com anzumelden. Die entsprechenden Nachrichten sind allerdings nicht sehr detailliert, so wird etwa keine IP genannt und auch der verwendete Browser nicht. Wann genau diese Mails verschickt werden, ist zudem unklar.
(Bild: Screenshot via MacRumors)
Neben der verbesserten Zwei-Faktor-Authentifizierung für iCloud.com führt Apple zusätzlich erstmals anwendungsspezifische Passwörter für Drittanbieter-Programme ein, wie man sie etwa von Gmail kennt. Diese können für Mail-Programme wie Outlook oder Thunderbird vergeben werden, aber auch für Kalender-Apps wie BusyCal, schreibt [5] Apple auf seiner Support-Website. Sinn und Zweck der Übung: Es soll möglich werden, externe Programme abzusichern, die keine Zwei-Faktor-Authentifizierung erlauben. Geht hierüber dann das Passwort an einen Angreifer, liegt zumindest nicht der gesamte iCloud-Account offen.
Die anwendungsspezifischen Passwörter können ab sofort über das "My Apple ID" [6]-Portal generiert werden, sie sind unter "Passwörter und Sicherheit" zu finden. Aktuell ist die Funktion noch nicht obligatorisch, ab dem 1. Oktober zwingt Apple aber zur Nutzung. Apple hatte zuletzt mit einem spektakulären Nacktbilder-Hack auf Promi-Frauen in den USA [7] zu kämpfen. Dabei sollen Social-Engineering-Tricks [8] zum Einsatz gekommen sein, behauptet [9] der Konzern. (bsc [10])
URL dieses Artikels:
https://www.heise.de/-2393808
Links in diesem Artikel:
[1] https://www.heise.de/news/Apple-testet-Zwei-Faktor-Authentifizierung-auf-iCloud-com-2243841.html
[2] https://www.heise.de/news/Apple-ID-Zwei-Faktor-Authentifizierung-nun-auch-in-Deutschland-per-SMS-2120524.html
[3] http://icloud.com/
[4] https://www.heise.de/news/iCloud-Apple-verschickt-neue-Warnhinweise-2369771.html
[5] http://support.apple.com/kb/HT6186
[6] http://appleid.apple.com/account/home
[7] https://www.heise.de/news/Promi-Nacktbilder-Hack-Apple-Chef-verspricht-mehr-Sicherheit-2351982.html
[8] https://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29
[9] https://www.heise.de/news/Apple-zum-Promi-Nacktfoto-Klau-Angriffe-auf-iCloud-Konten-aber-keine-Sicherheitsluecke-2311747.html
[10] mailto:bsc@heise.de
Copyright © 2014 Heise Medien