Zwei-Faktor-Authentifizierung künftig ohne SMS-Code?
Apple könnte sich bald gezwungen sehen, die als zusätzliche Sicherheitsfunktion für das Benutzerkonto gedachte und durchaus empfehlenswerte Zwei-Faktor-Authentifizierung zu überarbeiten. Eine neue Vorgabe des amerikanischen National Institute of Standards and Technology rät vom Versand von SMS-Nachrichten in diesem Zusammenhang ab.
Die Zwei-Faktor-Authentifizierung fragt bei der Anmeldung an bisher nicht genutzten Geräten oder bei relevanten Änderungen im Zusammenhang mit der Apple-ID zusätzlich zum Passwort einen Überprüfungscode ab. Dieser wird gewöhnlich per Push-Mitteilung versendet, kann aber auch als SMS an eine hinterlegte Telefonnummer übermittelt werden. Und genau hier setzt die Kritik der US-Behörde an: der SMS-Dienst ist manipulierbar und bietet dementsprechend nur eingeschränkte Sicherheit.
Das National Institute of Standards and Technology ist zwar keine gesetzgebende Behörde und kann nur Empfehlungen aussprechen, diese werden in der Industrie jedoch gewöhnlich befolgt. Somit ist es zumindest nicht unwahrscheinlich, dass Apple hier entsprechende Anpassungen vornimmt.
Grundsätzlich sollte euch diese Meldungen jedoch nicht von der Verwendung der von Apple zusätzlich angebotenen Sicherheitsoption abhalten. Gerade die letzten Monate haben gezeigt, dass die zweite Absicherungsstufe zusätzlich zur Anmeldung per Passwort eine sinnvolle Einrichtung ist. Keine Angst, der Code wird auch nicht jedesmal abgefragt, wenn ihr eine App ladet, sondern nur, wenn ihr euch von einem zuvor nicht bekannten Gerät anmeldet oder beispielsweise die Sicherheitseinstellungen oder das Kennwort eurer Apple-ID ändern wollt.
Das wäre ganz schön blöd für mich. Ich benutze alte prä-Smartphones als zweites Gerät.
Wobei ich mir überlege dass es doch ziemlich unsicher ist, sein iPhone oder iPad als „Authentication“-Gerät einzurichten. Wenn es verloren geht oder geklaut wird, hat der Finder/Dieb gleich Zugriff auf das Apple Konto.
Dann bringt halt der Postbote den Code.
Wäre doof, die 2FA funktioniert bei mir nämlich nur noch per SMS.
Code per Push ans Gerät senden klappt, sowohl auf iPhone 6 als auch iPad Pro 9.7, seit einiger Zeit bei mir nicht mehr. Kommt einfach nicht an.
Und was mache ich im Urlaub, wenn ich nur das iPhone bereit habe?
Bisher war die Sim-Karte ja die zusätzliche Sicherheit.
Dann bekommst du eine SMS auf dein iPhone. Empfang ist doch kostenfrei…verstehe dein Problem nicht so ganz.
@Mikkel: Das Problem ist, dass es genau darum im Artikel geht – dass zukünftig kein Versand von SMS mehr möglich sein soll ;-)
In dem Artikel geht es aber doch gerade darum, dass der SMS Versand abgeschafft wird.
Dann erzeugst du den Code auf deinem iPhone über die App Duo Mobile, wie es z. B. die Dropbox-Authentifizierung vorsieht.
Also nimmt man dem Nutzer mal wieder die Entscheidung ab, ob man das Risiko eingehen will (oder muss, weil man keine andere Option zur Verfügung hat)? Wir sind ja alle so doof, Gott sei Dank wird unsere Sicherheit stetig durch das Ausdünnen von Optionen verbessert.
Wieso wird dem Nutzer denn die Entscheidung abgenommen? Wer keine zusätzliche Sicherheit wünscht, der aktiviert 2FA gar nicht erst. Wer sich für Sicherheit entscheidet, der wünscht auch, dass es dann wirklich sicher ist.
Ich habe 2FA aktiviert und habe mir schon vor zwei Jahren gewünscht den SMS Versand deaktivieren zu können. Ich hoffe, dass Apple und andere Firmen der Empfehlung des NIST schnell folgen.
Mal aus Unternehmenssicht gedacht… Wie oft kommt es vor dass irgendwo steht ein Unternehmen wurde gehackt… das ist ne extrem schlechte Werbung. Da lieber auf Nummer sicher gehen und wenn man schon weiß dass etwas besser geht… es direkt machen, anstelle zu warten bis man durch die Presse gezogen wurde… ist doch das gleiche wie die Komplexität von Passwörtern. Wenn die Anwender nicht zu gezwungen werden, nutzen sie halt Passwörter wie 123456
Hoffentlich ändert man auch gleich das aktivierungssystem für iMessage / Facetime ohne immer eine SMS nach UK zu senden.
Wenn es denn dann überhaupt funktioniert.
Ich habe die Zweifaktor-Authentifizierung wieder abgeschaltet weil der Code häufiger überhaupt nicht ankam. Das Zünglein an der Waage war zuletzt beim iPad 1 das ich als Spotify- und Internetradio Konsole an die Wand in der Werkstatt geschraubt habe. Beim Versuch Apps zu installieren bin ich fast durchgedreht weil er den Code wollte den ich aber auf keinem meiner anderen Geräte erhalten habe, immer und immer wieder. Was für ein Murks! It just works, war definitiv einmal.
Welches Gerät codes erhhält und welches nicht kann man doch easy in der Accountverwaltung einstellen…