Apple bringt Zwei-Faktor-Anmeldung

Apple hat die Zwei-Faktor-Authentifizierung für die Apple-ID eingeführt – allerdings vorerst nur in den USA, Grossbritannien, Australien, Irland und Neuseeland. Das neue Sicherheits-Feature war lange erwartet worden, zumal das bisherige System sich mit etwas Social Engineering austricksen liess. Bei der Zwei-Faktor-Authentifizierung wird ein zusätzlicher Kanal, namentlich das Smartphone, zur Anmeldung herbeigezogen. Dabei wird ein Sicherheitscode entweder als SMS oder über die iOS-App «Find my iPhone» empfangen, der zusätzlich zu den eigentlichen Anmeldeinformationen angegeben werden muss. Man kann auch mehrere Geräte registrieren, die für den Empfang des Sicherheitscodes infrage kommen.

Die Sicherheit wird dadurch merklich erhöht – denn wer sich für die Zwei-Faktor-Authentifizierung entscheidet, hat keine Möglichkeit mehr, sein Passwort über den Apple-Support zurücksetzen zu lassen. Als Backup gibt es lediglich noch einen Recovery Key, den man ausdrucken und sicher aufbewahren sollte.
Die Zwei-Faktor-Authentifizierung soll nach und nach in mehr Ländern aktiviert werden. Sobald dies der Fall ist, sieht man die neue Option im Bereich «Meine Apple ID verwalten» auf «Meine Apple-ID».
Sicherheitslücke in iForgot-Webseite
Der neue Sicherheitsmechanismus für die Apple ID kommt offensichtlich keinen Moment zu spät. Denn praktisch gleichzeitig mit seiner Einführung wurde eine neue Sicherheitslücke im Zusammenhang mit der Apple-Webseite iForgot, die beim Zurücksetzen des Passworts helfen soll, entdeckt. Unter Beihilfe einer manipulierten URL reichte es aus, die E-Mail-Adresse und das Geburtsdatum einer Person zu kennen, um das Passwort ihrer Apple-ID zurückzusetzen, wie The Verge am Freitag schrieb. Kurze Zeit später war die iForgot-Webseite «zwecks Wartung» offline. Noch gleichentags war die Webseite dann wieder online und die Lücke geflickt.