scheint mir das Sicherheitskonzept von Apple.
Zum Schutz des iCloud-Kontos empfiehlt Apple die Verwendung der 2-Faktor-Authentifizierung. Das ist nichts Unübliches und erscheint auf den ersten Blick gut durchdacht.
Aber der Reihe nach.
Eines Morgens überraschte mich Apple mit der Push-Nachricht auf sämtliche registrierten Geräte: „Ihr Konto wurde aus Sicherheitsgründen deaktiviert. Vergeben Sie ein neues Passwort.“
Was genau waren denn diese „Sicherheitsgründe“?
Egal, erstmal den account wieder freischalten, denn ohne Zugriff auf den account synchronisiert kein Gerät mehr.
Das iPhone überraschte mit der Botschaft: „Das Gerät befindet sich nicht am üblichen Ort. Soll die 1-Stunden-Wartezeit aktiviert werden?“
Natürlich war das iPhone am üblichen Ort. Nur über das Mobilfunknetz verbunden und die Funkzelle, in die ich eingewählt war, erschien der Grund für „nicht am üblichen Ort“ zu sein. Warum dann diese Wartezeit? Was wird dadurch sicherer?
Das iPad über W-LAN befand sich dann offenbar am üblichen Ort, denn mir wurde keinerlei Wartezeit aufgedrängt. Schnell war ein neues Passwort vergeben. Das dann natürlich auf allen anderen Geräten auch wieder eingegeben werden musste.
Habe ich schon erwähnt, dass die Einwahl in meine account-Verwaltung über den Webbrowser meines iMAC verwehrt wurde? Weil ja der account aus Sicherheitsgründen nur über ein apple-Device bedienbar sei.
Ich habe dann über den Support versucht, die Ursache für die account-Sperre herauszufinden.
Offenbar habe es zu viele vergebliche Anmeldeversuche gegeben.
Ja – wofür war noch mal die 2-Faktor-Authentifizierung?
Ich kann doch soviele Anmeldeversuche, selbst als brute-force-Attacke, starten, wie ich will – ohne den 2-Faktor-code komme ich doch nicht rein. Und dessen Versand auf vertrauenswürdige Geräte wird doch nur getriggert, wenn das richtige Passwort verwendet wird. Daher besteht doch kein Grund, den account zu sperren, wenn da ein Möchte-gern-Hacker versucht, mein Passwort zu erraten.
Wobei mir der Versand des 2-Faktor-Codes auch auf das Gerät, über das ich mich anmelden möchte, fragwürdig erscheint. Sicherheit bei der 2-FA-Authentifizierung ist doch erst dann gegeben, wenn ich auf die Frage nach etwas, dass ich weiß (Passwort) einen Einmalcode auf etwas, dass ich besitze (2-FA-App auf einem meiner Geräte) gesandt bekomme. Nicht wahllos als Push-Nachricht auf alle Geräte, inklusive das, womit ich mich bei meinem account anmelden möchte.
Die Mitarbeiterin des Supports wusste keine Erklärung für dieses merkwürdige Gebaren, meinen account „sicherheitshalber“ zu sperren. Sie wolle meine Bedenken weitermelden, ich könne ja auch noch meinerseits einen Beitrag an Apple senden, um meinen Standpunkt dort deutlich zu machen.