Diebe missbrauchen Schutzfunktion
Wiederherstellungsschlüssel als Risiko: Apple reagiert auf Bericht
Ende Februar sorgte das Wall Street Journal mit einem Bericht über die oft nur vierstelligen iPhone-Passcodes für Schlagzeilen. Wie die Redakteure der US-Tageszeitung damals herausarbeiteten, schien der iPhone-Passcode zunehmend ins Visier krimineller Gruppen zu geraten.
Nicht nur der PIN, auch der Wiederherstellungsschlüssel birgt Risiken
Ohne die biometrischen Zugangssicherungen des Gerätes überlisten zu müssen, würde die Kenntnis um den iPhone-Passcode häufig schon ausreichen, um ausgesuchte iPhone-Modelle und mit diesen die gesamte digitale Identität der Nutzer zu übernehmen.
Auf ifun.de berichteten wir damals unter der Überschrift „iPhone-Passcode als Sicherheitsrisiko“ nicht nur über die skizzierten Risiken, sondern auch über mögliche Schutzmaßnahmen, wie etwa die Nutzung der „Bildschirmzeit“-Funktion als zusätzliche Sicherheitsstufe zur Prävention von Apple-ID-Diebstählen.
Wiederherstellungsschlüssel als Risiko
Jetzt hat das Wall Street Journal einen weiteren Bericht zum Thema veröffentlicht, der sich diesmal auf den Wiederherstellungsschlüssel des iPhone-Betriebssystems konzentriert und anführt, wie iPhone-Diebe diesen missbrauchen, um Opfer aus ihren Apple ID-Konten auszusperren.
So gibt das Wall Street Journal an, im Nachgang des Passcode-Artikels von dutzenden iPhone-Anwendern kontaktiert worden zu sein, die alle von ähnlichen Erfahrungen berichteten: Nach dem Diebstahl des eigenen Gerätes hätten die Diebe den 2020 von Apple eingeführten Wiederherstellungsschlüssel in den iPhone-Einstellungen aktiviert und die rechtmäßigen Besitzer so aus ihren Apple-ID-Konten ausgeschlossen – das Wissen über den Geräte-Passcode hätte dazu bereits ausgereicht.
Auf die Vorkommnisse in mindestens neun amerikanischen Großstädten angesprochen, hat sich Apple inzwischen zum Missbrauch der Wiederherstellungsschlüssel geäußert, scheint aber keine Änderungen zum bisherigen Vorgehen in Betracht zu ziehen. So heißt es aus Cupertino lediglich:
„Wir haben Mitgefühl mit den Menschen, die diese Erfahrung gemacht haben, und wir nehmen alle Angriffe auf unsere Nutzer sehr ernst, egal wie selten sie sind. Wir arbeiten jeden Tag unermüdlich daran, die Konten und Daten unserer Nutzer zu schützen, und wir untersuchen ständig zusätzliche Schutzmaßnahmen gegen neu auftretende Bedrohungen wie diese.“
Sprich es macht Sinn den Schlüssel vorher zu aktivieren oder kann er noch geändert und neu angefordert werden danach?
Er kann jederzeit geändert werden. Vorher einen solchen Schlüssel zu aktivieren bringt also leider nichts. Wird im Video so erklärt.
Wenn du ihn aktivieren kannst. Bei mir kam nur eine Fehlermeldung.
Das ist ja wohl eher eine Nicht-Reaktion von Apple.
Was Apple meiner Meinung nach asap anpassen sollte:
Man kann nur hoffen, dass die Medien weiterhin darüber berichten und der Druck auf Apple groß genug wird, um diese Änderungen umzusetzen.
genau sowas hat Apple doch eingerichtet:
Einstellungen
Apple-ID
Passwort & Sicherheit
Account-Wiederherstellung
Kontakt für Accountwiederherstellung
Das „eigene“ Passwort ist den Personen doch bekannt, da sie den Schlüsselbund mit einem 4 stelligen Code entsperren können und es werden wohl die meisten auch ihr Apple ID Passwort dort gespeichert haben. Deswegen vertraut man seine Passwörter nicht einem Unternehmen an, welches Passwortsicherheit auch nebenher ein bisschen macht sondern sucht sich (und zahlt wahrscheinlich auch) eine Lösung deren Geschäftszweig davon abhängt, dass Passwörter sicher und sinnvoll gespeichert werden. 1Password wäre zB eine Lösung..
1) Ich nutze den iCloud-Schlüsselbund nicht.
2) Apple sollte dafür sorgen, dass der Schlüsselbund nicht mit einem 4-stelligen Code entsperrt werden kann. Sondern dass das Passwort dafür eine gewisse Länge und Komplexität haben muss.
Die Antwort von Apple ist nur heiße Marketing Luft, die mir als Anwender nicht das Gefühl von Wertschätzung der Thematik gibt.
Werdet ihr auch immer häufiger nach eurem Code gefragt, um den Zugang zu euren iCloud Daten nicht zu verlieren?
Einmal wöchentlich verlangt die iCloud mit einer Meldung auf dem iPhone danach.
Nein
Ja, aber habe ich seltsamerweise nur auf dem iPad.
Ich wäre misstrauisch und hätte bei Apple nachgefragt, ob das üblich ist. Ich habe sowas bis jetzt noch nie bekommen.
Ich muss auch fast wöchentlich auf dem iPad den Passcode eingeben auf dem iPhone auch regelmäßig aber nicht wöchentlich .Das ist seit einem 16.3.x Update bei mir so. Vorher hatte ich das Problem nicht. Kennt jemand ne Lösung wie man das weg bekommt?
Was soll Apple tun? Wenn der Dieb das Passwort hat, selbst schuld. Selbst wenn sie was tun, dann brauchen sie halt denn Schlüssel dazu. Wenn ich die Schlüssel habe komme ich nunmal rein.
2FA beim ändern des Passworts fordern?!
Weöche mit dem geklauten iphone bestätigt wird -> unnütz
Im ersten Schritt würde es schon mal reichen zusätzlich das Passwort zum Account eingeben zu müssen.
Das ist meistens in der keychain, welche blos durch den geräte pin geschützt ist
Der Dieb hat das Passwort zu dem Gerät. Das sollte nicht ausreichen, um jemanden aus seinem Cloud-Account auszusperren. Dafür sollte ein andere Passwort notwendig sein.
Oder ein YubiKey. Leider noch sehr teuer.
Der Dieb hat doch nicht mal das Passwort, sondern nur den Geräte-PIN. Das Passwort hat er dann ja nur, weil es ohne das alte geändert werden kann.
„Passwort zu dem Gerät“ ist in dem Fall als „Geräte-PIN“ zu verstehen. Ist ja nichts anderes.
@lala, nein, weill der dieb mit dem iPhone pin zugang zum keychain hat, wo alle anderen passwörter gespeichert sind
Läuft bei Apple. Und dort wird Sicherheit so groß geschrieben … ha ha ha
iPhone-Diebstahl: So schützt ihr euer Apple-Konto
Bringt nichts. Der Bildschirmzeit-Code kann auch zurückgesetzt werden.
Mit Hilfe des Apple ID Passworts.
Eben NICHT! Bin ich im entsperrten iPhone in der Bidschirmzeit (die ja mit eigenem PIN gesichert ist), kann man einfach ohne PIN/Passwort die Bildschirmzeit deaktivieren, und der Zugriff ist wieder da.
Grade nochmal probiert, ich muss mich korrigieren: geht nur mit Eingabe des Bildschirmzeit-PIN. Puhh…
Einfach Passwort 10-stellig oder so… hab ich auch
Das Einfachste ist den PIN-Code niemals in der Öffentlichkeit einzutippen. Ich nehme immer Face-ID, Touch-ID, dann kann der Dieb niemals über die Schulter schauen, das ist ja das Problem.
Während Corona habe ich das iPhone mit meiner Apple Watch entsperrt, also auch ohne Code.
Die frage ist, was machem wenn es passiert ist? Polizei wurde schon informiert. Apple Support sagt, sie Können nichts machen, Trotz vertrauenswürdiger Telefon Nummer. Kann mich auch jederzeit ausweisen.
Ende vom Lied, traue niemals Apple?