Zu Inkonsequent: Apples 2-Faktor-Authentifizierung in der Kritik

Apples, seit Mai 2013 verfügbare, zweistufige Bestätigung ist mit Blick auf die dadurch deutlich erhöhte Sicherheit eures Benutzerkontos ohne Zweifel eine gute Sache.

Einmal eingerichtet, nutzt Apple nicht nur die Kombinationen aus Nutzername und Passwort des persönlichen iCloud-Accounts um eure Legitimation zu prüfen, sondern zieht auch ein zuvor eingerichtetes Mobilgerät für den zusätzlichen Check heran.

Mittlerweile müssen sogar Drittanwendungen mit iCloud-Zugriff entsprechend für die zweistufige Bestätigung vorbereitet werden und bekommen eigene Anwendungspasswörter zugewiesen. Habt ihr euren Wiederherstellungsschlüssel an einem sicheren Ort hinterlegt, dann sorgte die zweistufige Bestätigung bislang zumindest für ein gutes Bauchgefühl.

Zurecht?

Diese Frage stellt sich Dani Grant und kritisiert in ihrem Blog-Eintrag „Why Two-Factor Authentication Isn’t Protecting Your Apple Account“ die Inkonsequenz, mit der Apples Passwort-Abfrage derzeit noch arbeitet.

So ignorieren viele Apple-Apps, die mit eurem iCloud-Konto kommunizieren die eingerichtete 2-Faktor-Authentifizierung schlicht. Die Nachrichten-App, FaceTime, der App Store, iTunes und Apples Webseite gestatten weiterhin den konventionellen Login – vom zusätzlichen Schutz den die zweistufige Bestätigung eigentlich verspricht, fehlt jede Spur.

App Store-Login ohne Nachfrage

With just a password, I could impersonate someone, sending iMessage from their account. With just a password, I could see someone’s billing address, credit card type and last 4 digits and phone number in their iTunes settings—where on the top of the page, it proudly displays the words Secure Connection.