Foto: Gil C - shutterstock.com
Wer ist betroffen:
Betroffen ist jeder, der eine App eines Drittherstellers nutzt, die auf iCloud zugreift. Das kann ein Passwortverwalter wie 1Password sein, aber auch WhatsApp und Outlook. Apps von Apple wie Mail sind nicht betroffen.
Was ist ab 15. Juni anders:
Bisher konnte eine App wie Outlook die Anmeldedaten von iCloud verwenden, um auf Apples Server zuzugreifen. Ab 15. Juni ist dies aus Sicherheitsgründen nicht mehr möglich und kann sich dann nicht mehr mit iCloud verbinden. Man muss die so genannte Zwei-Faktor-Authentifizierung aktivieren und die App erhält ein eigenes Passwort zugewiesen. Dieses Passwort ist dann nur für diese App gültig.
Warum ist das sicherer?
Das iCloud-Passwort kann über die Dritthersteller-App in falsche Hände geraten, beispielsweise über das Mitschneiden einer unsicheren Datenübertragung. Außerdem speichert der Dritthersteller die Daten auf seinem Server, über einen Hack der Server könnten sie in Hände eines Hackers geraten. Dieser hätte dann mit den gestohlenen Ameldedaten Zugriff auf alle iCloud-Daten und könnte sogar Geräte löschen oder sperren. Mit dem Passwort einer App hat er keinen direkten Zugriff.
Was bringt die Zwei-Faktor-Authentifizierung?
Die Kurzfassung: Nach Aktivierung der auch 2FA genannten Funktion können nur noch dazu autorisierte Geräte auf iCloud zugreifen, beispielsweise das eigene iPhone oder das iMac. Ein Hacker, der Ihre Anmeldedaten besitzt, kann dann von seinem Rechner nicht auf iCloud zugreifen.
Gibt es das nicht schon länger?
Die programmspezifischen Passwörter wurden schon vor anderthalb Jahren zusammen mit der 2FA-Verschlüsselung eingeführt, es gibt sie also schon lange. Sie waren bisher aber nur optional und stehen nur für Nutzer der Zwei-Faktor-Authentifizierung zur Verfügung
Genügt nicht die 2FA-Verschlüsselung, damit alle Daten sicher sind?
Applikationen von Drittherstellern unterstützen die zweistufige Bestätigung der iCloud-Dienste wie E-Mail, Kalender und Kontakte bisher nicht. Sie bilden dadurch eine Schwachstelle im Sicherheitssystem.
Verwaltung Anwendungsspezifischer Passwörter
Ist die Zahl der Passwörter begrenzt?
Wie bereits zuvor, kann der Nutzer 25 verschiedene App-spezifische Passwörter generieren. Angelegt und verwaltet werden sie über die Apple-ID-Seite. Diese Passwörter lassen sich nicht für alle Funktionen, zum Beispiel den Zugang zum Verwaltungsbereich der Apple-ID nutzen.
Beim Umstieg von der zweistufigen Verifizierung auf die neuere 2FA-Verschlüsselung werden alte Passwörter gelöscht?
Wer bisher die zweistufige Verifizierung nutzt, entzieht beim Umstieg auf die Zwei-Faktor-Authentifizierung allen anwendungsspezifischen Passwörtern den Zugriff und muss sie laut Apple erneut anlegen.
Wie verwalte ich diese „Anwendungsspezifischen Passwörter“ in meinen Account?
Sie sind nach einer Anmeldung unter https://appleid.apple.com zu finden:
1. Im Sicherheitsbereich klickt man auf der rechten Seite den Menüpunkt „Bearbeiten“ an.
2. Unter „Anwendungsspezifische Passwörter“ erfolgt der Klick auf „Passwort erstellen“.
3. Nun fügt man eine Beschreibung hinzu, etwas wie „BusyCal am Mac Mini“, damit man später weiß, wofür das Passwort verwendet wird.
4. Apple generiert nun ein 16-stelliges Passwort, das man anschließend für den Zugang zum iCloud-Konto in der Software des Drittherstellers nutzen kann.
5. Ein Klick auf „Fertig“ beendet den Vorgang.
In diesem Bereich sieht der Benutzer auch, welche Passwörter er bereits vergeben hat und kann sie bei Bedarf einzeln oder alle auf ein Mal löschen und so den Zugang sperren.
Was passiert wenn man alles vergisst, verliert oder ausgesperrt ist?
Wer sein Passwort vergisst, kann es wie bei iCloud-Konten mit Passwortschutz zurücksetzen: Man ruft die iForgot-Seite von Apple auf, gibt seine Apple-ID ein und muss sich identifizieren, indem man einen Code eingibt. Daraufhin setzt Apple das Passwort zurück und schickt es an die hinterlegte E-Mail-Adresse. (Macwelt)