Alter Code überschreibt neue PIN
Neue iPhone-PIN vergessen? iOS 17 gewährt 72-stündige Gnadenfrist
Unter iOS 17 werden iPhone-Anwender, die den Passcode ihres Gerätes vergessen haben oder auch Opfer einer Passcode-Änderung wurden, von einer zusätzlichen Sicherheitsmaßnahme profitieren, die zumindest in den ersten Tagen nach der Änderung des Zugangscodes noch die Rückkehr zur alten Geräte-PIN ermöglicht.
Alter Code überschreibt neue PIN
So wird Apple unter dem neuen iPhone-Betriebssystem eine 72-stündige Gnadenfrist anbieten, in deren Verlauf sich zuvor geänderte Zugangscodes durch die Eingabe des bis dahin gültigen Vorgängers überschreiben lassen.
Dies funktioniert allerdings nur in den ersten drei Tagen nach der Code-Änderung. Wird die neue Geräte-PIN mehrfach falsch eingegeben, bietet iOS 17 von sich aus die Änderung des Zugangscodes mit Hilfe der alten Geräte-PIN an und fragt dazu den vorherigen Passcode ab.
iPhone-PIN zu mächtig
Apple scheint mit der neuen Gnadenfrist auf Medienberichte aus dem vergangenen Frühjahr zu reagieren. Damals hatte ein Artikel des Wall Street Journals für Schlagzeilen gesorgt, der Apple dafür kritisierte, dass sich mit dem Wissen um einen iPhone-Passcode unverhältnismäßig viel Schaden auf Geräten Dritter anrichten lassen könnte.
Wer den Passcode eines iPhones kennt, der kann das Apple-ID-Passwort ändern, auf die Passwörter des iCloud-Schlüsselbunds zugreifen und Apple Pay benutzen. In den USA wurden damals zeitgleich erste Account-Übernahme beobachtet, bei denen Täter im Vorfeld eines iPhone-Diebstahls offenbar die Eingabe das zugehörigen Passcodes beobachtet hatten.
Apple selbst setzt zum Schutz des Passcodes auf Zeitsperren, die das Durchprobieren unterschiedlicher Codes durch immer längere Verzögerungen verhindern sollen. In dem Hilfe-Eintrag #HT212951 (Wenn die Meldung „iPhone nicht verfügbar“ oder „iPad nicht verfügbar“ oder der Bildschirm „Sicherheitsaussperren“ angezeigt wird) geht Apple darauf ein, wie unter iOS 16 auf diese zu reagieren ist.
iPhone-Passcode als Sicherheitsrisiko: Wenn das digitale Leben bei Apple liegt
Und warum soll diese Möglichkeit der Rückkehr zum alten Code jetzt eine Reaktion auf die Account-Übernahmen durch Ausspähen des PIN-Codes sein?
Diese Möglichkeit ist ja eher eine zusätzliche Schwachstelle. Wenn jemand meinen Code rausgefunden hat, hat er drei Tage Zeit, den noch zu verwenden, selbst wenn ich den Code sofort ändere.
Also den Anwendungsfall wird es in echt nicht geben glaube ich.
Es geht darum, dass einem das iPhone entwendet wird nachdem der Code gesehen wurde. Wie willst du da den Code noch schnell ändern?
In dem Fall bekommt man jetzt das Handy von der Polizei zurück und hat immerhin die Chance es wieder zu nutzen wenn es innerhalb von 72 Stunden ist
Könnt mir nur erklären, dass Du Besitzer deines Accounts wirst und selber ändern kannst, was dann aber auch keinen Sinn macht, wenn der alte wieder verwendet werden kann.
Vielleicht funktioniert es auch nur einmal. Vielleicht um seine Bankkarte zu löschen.
Genau mein Gedanke…
Dito
es geht darum einen Schritt in Richtung „Pin öfter wechseln“ zu gehen.
Ich kenne genügend Leute die heute noch den gleichen Pin wie bei ihrem iPhone 4 hatten.
Wenn er lang und sicher genug ist und ihn keiner kennt, warum auch nicht?
Die Denkweise, dass das häufige Ändern von Passwörtern die Sicherheit erhöht, ist schon länger überholt. Passwörter müssen ausreichend komplex sein, da ist ein häufiges Ändern eher unzweckmäßig.
Ich hab noch die PIN von meinen ersten Nokia :-D
Haha Same :D
Kannst das ja bei Bedarf ausschalten
Verstehe ich auch nicht. Das ist eine zusätzliche Sicherheitslücke. Wenn ich meinen Code ändere weil ihn Jemand anders vielleicht gesehen hat will ich das der alte eben nicht mehr funktioniert! Genau so dänlich wie andere „Sicherheitsmaßnahmen“ wie damals z.B. die Sicherheitsfragen a la „Wie hieß dein erstes Haustier?“, super um einen Account zu hacken -.- Das waren UNsicherheitsfragen. Hab so was noch nie verstanden, das ist einfach nur dämlich.
Es geht doch eher darum, dass ein Dieb, der deinen Code kannte, den Code sofort ändert, um dich aus zu sperren! Wenn also eines deiner Geräte geklaut wurde, kommst du jetzt 72 Stunden lang immer noch an deinen Account um dann Maßnahmen zu ergreifen, in dem du noch dein alten Code benutzen kannst. Also kann dich der Dieb nicht mehr aussperren, und das finde ich extrem wichtig. Bleibt nur die Frage, was danach ist, denn der Dieb kennt ja auch den alten Code. Wie verhindert man dann diese drei Tage Frist, wenn man wirklich in die Situation gerät
Das bringt doch aber nur was wenn man sein iPhone auch wieder zurück bekommt. Was mit Sicherheit selten der Fall ist. Und mit dem iCloud Account selbst hat der Pin vom iPhone ja überhaupt nichts zu tun
Einfach nur dämlich ist es bei den Sicherheitsfragen die richtige Antwort zu hinterlegen, die alle kennen. Da gibt man als erstes Haustier dann „Fernseher“ o. Ä. an. Du scheinst den Sinn der Fragen nicht verstanden zu haben…
Der Sin der Fragen ist aber die richtige Antwort einzugeben, damit der dumme User der sein Passwort vergessen hat zumindest wieder in seinen Account kommt weil der noch den Name von seinem Haustier kennt. Natürlich hab ich das nie gemacht, hatte dann halt ein 2. und 3. Passwort das ich mir notieren musste.
PIN vergessen ist genau wie bei der Bank-PIN schlecht. Zudem wird die PIN beim Bezahlen von den meisten Menschen penibel versteckt. Nur beim Smartphone nicht. Da fehlt wohl immer noch eine gute Sensibilität.
Apple sollte eher die „Macht“ des Geräte-Codes reduzieren – nämlich nur zum Entsperren des Lock-Screens.
Für andere Aktionen (v.a. Änderung des Passworts der Apple-ID; aber ggf. auch ApplePay oder ähnliches) sollte ein sichereres, längeres Passwort erforderlich sein. Oder zumindest dies als Option vom Nutzer so eingestellt werden können.
+ 1
4–6-stellige PIN für den Lockscreen, Apple-ID-Passwort für alles andere, was stärker geschützt werden sollte (Accountänderungen, Änderungen an FindMy, Mobilfunk und Ortungsdiensten, usw.)!
Kannst du ein Stück weit mit der Bildschirmzeit umsetzen. Starkes pw für die bildschirmzeit und dann für Apps (Passwortmanager) und Einstellungen (Account einstellung) aktivieren.
Mittels eigenen Einschränkungen kann man am Gerät die code Änderung mittels weiteren Code sperren.
Unter Bildschirmzeit > Beschränkungen > Code Änderungen / Passwort Änderungen
Lässt sich erfolgreich umgehen
Wenn mich Apple nicht ab und zu dazu auffordern würde den Pin einzugeben, würde ich ihn gar nicht nutzen, sondern nur Face-id. Ich bin so hässlich, dass mein Face-id absolut unknackbar ist.;O)
YMMD
Seit FaceID nutze ich wieder einen 4-stelligen Code, weil ich nicht jedes Mal das Telefon vor das Gesicht halten möchte. mit TouchID hatte ich einen alphanumerischen Code. Da musste man den auch fast nie eingeben.
Ich habe das passwort für Notizen vegessen. Da könnte Apple mal was machen.