Besserer Schutz: Zwei-Faktor-Authentifizierung für die Apple ID
Die Zwei-Faktor-Authentifizierung sichert Apple ID und iCloud ab. Mac & i zeigt die Einrichtung Schritt für Schritt, nennt die Vorteile des neuen Systems und erklärt den Umstieg von der alten zweistufigen Bestätigung.
Aktualisierter und überarbeiteter Artikel aus Mac & i Heft 3/2016, S. 123
Anzeige
Die auf Geräten und Apples Servern abgelegten Nutzerdaten sind höchst sensibel. Ein Angreifer kann beispielsweise Ihre Fotos und Kontakte einsehen oder das jüngste iCloud-Backup stehlen, das all Ihre iPhone- oder iPad-Inhalte umfasst, wenn er an die iCloud-Zugangsdaten gelangt. Das ist gar nicht so abwegig: Sie könnten beispielsweise auf eine Phishing-Attacke hereingefallen sein. Die werden immer raffinierter. Ein sicheres Passwort allein schützt hier nicht.
Um den Log-in mit gestohlenen iCloud-Zugangsdaten zu verhindern, hat Apple schon 2013 ein Schutzsystem eingeführt, das zusätzlich einen "zweiten Faktor" in Form eines Ihrer Geräte zur Anmeldung erfordert. Doch damals war die Technik noch unvollkommen, sie sicherte manche Daten und Zugriffspunkte erst nach und nach ab. Außerdem war sie bei den Systemen nur angeflanscht. Die neue Zwei-Faktor-Authentifizierung ist seit iOS 9.3 und OS X El Capitan tiefer integriert und schützt jeden Account – dies gilt auch für iOS 10 und macOS Sierra 10.12.
Zwei-Faktor-Authentifizierung: Aktivierung mehr als sinnvoll
Die neue Zwei-Faktor-Authentifizierung weist sofort auf Anmeldeversuche hin – auch mit grobem Ortshinweis.
Wer sich neu auf einem iOS-Gerät, einem Mac oder auf iCloud.com anmeldet, benötigt zusätzlich zum Passwort stets einen sechsstelligen Sicherheits-Code. Apple stellt ihn automatisch an die verifizierte Telefonnummer respektive die verifizierten Geräte des Nutzers zu, sobald er benötigt wird.
Wenn Sie persönliche Daten mit iCloud synchronisieren und im App Store oder iTunes Store einkaufen, sollten Sie die Zwei-Faktor-Authentifizierung unbedingt aktivieren – am besten jetzt sofort. Apple hat das System deutlich vereinfacht, sodass es niemanden mehr abschrecken sollte. Wir zeigen im Folgenden, wie es geht.
Das vorausgehende System können Sie unverändert nutzen, es ist weiterhin verfügbar. Apple nennt es zur Unterscheidung jetzt „zweistufige Bestätigung“. Empfehlenswert ist in jedem Fall, eins der beiden Systeme zu verwenden – idealerweise das neue, es hat nämlich eine Reihe von Vorteilen, dazu später mehr.
Um die Zwei-Faktor-Authentifizierung in Betrieb nehmen zu können, benötigen Sie ein Gerät mit mindestens iOS 9.3 beziehungsweise einen Mac ab OS X 10.11 El Capitan sowie Ihre Telefonnummer. Zum Aktivieren der Funktion öffnen Sie in iOS die Einstellungen, rufen „iCloud“ auf und tippen dort ganz oben Ihren Benutzernamen an. In der Regel müssen Sie anschließend das Passwort Ihrer Apple ID eingeben. In der sich daraufhin öffnenden Ansicht wählen Sie den zweiten Eintrag „Passwort & Sicherheit“ und tippen ganz unten auf „Zwei-Faktor-Authentifizierung einrichten …“.
Auf dem Mac funktioniert es ähnlich: In den Systemeinstellungen klicken Sie auf „iCloud“, dann auf „Accountdetails“ und den Reiter „Sicherheit“, dann unten auf den Button „Zwei-Faktor-Authentifizierung einrichten …“
Apple empfiehlt beim Einrichten der Schutzfunktion, eine Kreditkarte als Zahlungsmittel zu hinterlegen – damit lasse sich die Identität bei Verlust des Passwortes bestätigen. Sie können die Zwei-Faktor-Authentifizierung aber auch ohne Kreditkarte oder jedwedes anderes Zahlungsmittel in Betrieb nehmen. Bevor dies möglich ist, fragt Apple zwei der drei hinterlegten Sicherheitsfragen ab, diese müssen Sie also parat haben.
Können Sie sich nicht mehr entsinnen, wie die Antworten auf Ihre Sicherheitsfragen lauten, hilft nur, sie zurückzusetzen. Diese Funktion ist ausschließlich über appleid.apple.com erreichbar. Erfreulicherweise lässt sich die Seite inzwischen auch aus der mobilen Version von Safari auf iPhone und iPad anständig nutzen. Das Zurücksetzen ist allerdings nur dann sofort möglich, wenn Sie eine Notfall-E-Mail-Adresse für Ihre Apple ID hinterlegt haben, sonst müssen Sie erst den Support kontaktieren. Mit Aktivierung der Zwei-Faktor-Authentifizierung werden die lästigen Sicherheitsfragen hinfällig.
Öffnen Sie zuerst die Einstellungen auf Ihrem iPhone oder iPad und wählen dort den Menüpunkt "iCloud" aus. Tippen Sie dann auf Ihren Account-Namen ganz oben.
Telefonnummer(n) im Mittelpunkt
Der nächste Schritt ist die Angabe Ihrer Telefonnummer, an die Apple eine SMS mit einem sechsstelligen Code übermittelt. Wenn Sie die Mobilnummer Ihres iPhones verwenden, auf dem Sie die Zwei-Faktor-Authentifizierung gerade einrichten, trägt iOS den Bestätigungscode automatisch ein. Damit ist Ihr iPhone sowie die Telefonnummer nun verifiziert. Das neue System kann Sie wahlweise zur Überprüfung anrufen, statt Ihnen eine SMS-Nachricht zu schicken. Das ist mit der alten zweistufigen Bestätigung nicht möglich, dort muss man eine SMS-fähige Rufnummer angeben.
Es empfiehlt sich, mehr als eine Telefonnummer zu hinterlegen. Falls Sie beispielsweise die SIM-Karte sperren lassen, weil Ihr iPhone entwendet wurde, empfangen Sie die wichtigen Überprüfungscodes dann immer noch an einer anderen Nummer, etwa dem Festnetzanschluss. Weitere Rufnummern können Sie am selben Ort eintragen, an dem die Zwei-Faktor-Authentifizierung aktiviert wird: also wiederum in den iCloud-Einstellungen unter Ihrem Accountnamen im Bereich „Passwort & Sicherheit“.
Wichtig ist, die Liste mit Rufnummern aktuell zu halten. Achten Sie insbesondere darauf, nicht mehr genutzte Telefonnummern zu entfernen und diese durch neue zu ersetzen. Dies ist an der genannten Stelle in den iOS-Einstellungen ebenfalls jederzeit möglich. Es muss stets mindestens eine Telefonnummer hinterlegt sein.
Nach erfolgreicher Inbetriebnahme der Zwei-Faktor-Authentifizierung schickt Apple Ihnen eine Bestätigungs-Mail. Darin weist das Unternehmen auch auf die Möglichkeit hin, die Aktivierung – für kurze Zeit – wieder rückgängig zu machen und zu den vorherigen Sicherheitsfragen zurückzukehren. Dies ist auch als Schutz gedacht, falls ein Angreifer die Sicherheitsfunktion in Betrieb nimmt und Sie dadurch aus Ihrem Account auszusperren droht.
Zwei-Faktor-Authentifizierung mit älteren Versionen des Betriebssystems nutzen
Sie können die neue Zwei-Faktor-Authentifizierung übrigens auch verwenden, wenn Sie noch einzelne Geräte mit älteren Betriebssystemversionen verwenden. Dafür müssen Sie den sechsstelligen Überprüfungscode, den Sie etwa auf Ihr iPhone geschickt bekommen, einfach nahtlos an das Ende Ihres Passwortes anhängen. Durch Antippen des Buttons „Bestätigungscode erhalten“ auf dem Screen „Passwort und Sicherheit“ ganz unten können Sie diesen jederzeit erneut anfordern. Dennoch ist der Umgang mit der Zwei-Faktor-Authentifizierung mit älteren Betriebssystemen relativ umständlich. Es empfiehlt sich daher, sie zu aktualisieren – sofern möglich.
Unter Umständen gilt es, drei Tage zu warten
In bestimmten Fällen – etwa nach der Umstellung des Passwortes oder anderer wichtiger Account-Daten – legt Apple eine Wartezeit von drei Tagen fest, bevor sich die Zwei-Faktor-Authentifizierung aktivieren lässt. Dies gilt nach "erheblichen Änderungen", so das Unternehmen. Die Maßnahme soll davor schützen, dass ein Unbefugter die Schutzfunktion in Betrieb nimmt und den legitimen Nutzer aussperrt. Es kann also passieren, dass ein sofortiges Aktivieren des Zwei-Faktor-Schutzes nicht unmittelbar möglich ist.
Vorteile und Unterschiede zwischen Zwei-Faktor-Authentifizierung und zweistufiger Bestätigung
Die neue Zwei-Faktor-Authentifizierung macht einiges besser als die alte.
Sie können zur Verifizierung eine beliebige Rufnummer angeben, Apple kann Sie auf dieser wahlweise anrufen statt eine Textnachricht zuzustellen. Die Nummer muss also nicht mehr wie bisher zwingend den Empfang von SMS-Nachrichten unterstützen, auch ein altes Festnetztelefon funktioniert.
Das neue System ist in der Lage, Überprüfungscodes selbst dann zu erstellen, wenn das Gerät offline ist. Dafür müssen Sie lediglich in den iOS-Einstellungen unter „iCloud“ oben auf Ihren Account-Namen tippen. Ein Dialog weist darauf hin, dass diese Daten ohne Internetverbindung nicht verfügbar sind und gibt zugleich die Möglichkeit, den Bestätigungscode zu erzeugen. Das ist praktisch etwa in einem WLAN-freien Bereich, auf Reisen oder wenn die Zustellung des Codes aus einem anderen Grund versagt.
Die beste und auffälligste Neuerung ist ein Warnhinweis bei Log-in-Versuchen: Auf den verifizierten Geräten werden Sie jetzt sofort informiert, wenn Ihr Benutzerkonto beispielsweise zur Anmeldung auf einem anderen iPhone oder iPad oder auf iCloud.com genutzt wird. Eine kleine Kartenansicht zeigt sogar den Ort, von dem der Anmeldeversuch ausgeht. Dieser ist nur grob anhand der IP-Adresse ermittelt; er kann also durchaus ein, zwei Städte – oder auch erheblich weiter – danebenliegen. Zumindest sollte man so erkennen, aus welcher Region oder welchem Land die Anfrage stammt. Zudem bleibt Ihnen die Kontrolle: Der Hinweisdialog erlaubt nämlich, den Login-Versuch sofort abzulehnen. Bei der alten zweistufigen Bestätigung erhält man die Benachrichtigung über einen derartigen Zugriffsversuch höchstens mit einem – teils verspäteten – E-Mail-Hinweis.
Die neue Zwei-Faktor-Authentifizierung stellt die Überprüfungscodes sofort an alle verifizierten Geräte zu, Sie müssen also nicht mehr wie bei der zweistufigen Bestätigung jedes Mal das gewünschte Gerät erst auswählen. Nimmt man die Benachrichtigung mit Code auf einem Gerät an, verschwindet diese sinnvollerweise von allen anderen eigenen Geräten. Eine Liste aller mit ihrer Apple ID respektive dem iCloud-Account verknüpften Geräte können Sie in den iCloud-Einstellungen einsehen, nachdem Sie oben auf ihren Benutzernamen getippt haben. Dort ist der Menüeinstrag "Geräte" aufgeführt. Sollte dort noch ein Gerät auftauchen, das nicht mehr aktiv benutzt wird, können Sie es entfernen. Sehen Sir dort ein völlig unbekanntes Gerät, werfen Sie dieses unbedingt raus und setzen Sie anschließend ihr Passwort zurück.
Haben Sie kein verifiziertes Gerät zur Hand, bleibt die Möglichkeit, eine SMS an die hinterlegte Rufnummer zu erhalten. Tippen Sie dafür beispielsweise bei der iCloud.com-Anmeldung im Browser auf „Keinen Bestätigungscode erhalten?“ und wählen dort „Textnachricht“. Erst anschließend, nach nochmaligem Anklicken von „Keinen Bestätigungscode erhalten?“ können Sie dann alternativ einen Anruf auswählen, der den Code übermittelt.
Die Codes lassen sich auch beziehen, wenn ein Gerät offline ist.
iPhone, iPad und Mac unbedingt durch Passwort/PIN schützen
Mit der Zwei-Faktor-Authentifizierung sind Ihre autorisierten Geräte zugleich der entscheidende Schlüssel für den Zugang zu der Apple ID und den damit verbundenen iCloud-Daten. Entsprechend müssen die Geräte alle mit einer PIN (möglichst sechsstellig) oder einem Passwort vor dem Zugriff durch Unbefugte geschützt sein. Dritte können auch einen frisch zugestellten Authentifizierungs-Code nicht einsehen, solange das iPhone oder iPad gesperrt ist. Im Fall eines Diebstahls oder Verlusts, sollten Sie das Gerät aus der Ferne über Apples "Mein iPhone suchen"-Dienst löschen und kontrollieren, ob dieses nicht mehr in Ihrer Geräteliste auftaucht.
Account-Wiederherstellung nun möglich
Eine weitere wichtige Neuerung hilft, wenn Sie den Zugriff auf alle verifizierten Geräte sowie Nummern verlieren und sich nicht mehr an Ihr Passwort erinnern können. Bislang hielt Apple für diesen Fall einen Wiederherstellungsschlüssel vor. Diesen Recovery-Key galt es vorsorglich auszudrucken und an einem sicheren Ort aufzubewahren (siehe Artikel in Mac & i Heft 6/2014, S. 146) – was viele Nutzer wohl nie getan haben. Ohne den Wiederherstellungsschlüssel ist der eigene Account in diesem Fall aber unwiederbringlich verloren, auch Apple kann hier nicht weiterhelfen. Dies ändert sich mit der neuen Zwei-Faktor-Authentifizierung.
Den lästigen Wiederherstellungsschlüssel hat Apple nämlich komplett gestrichen. Stattdessen müssen Nutzer eine längere Prozedur durchlaufen, um ihre Identität zu bestätigen und sich als legitimer Besitzer des Accounts auszuweisen. Dabei hilft laut Apple, wenn eine Kreditkarte hinterlegt ist. Angaben zu dem Vorgang macht der Konzern aus Sicherheitsgründen nicht.
Umstieg von alter zweistufiger Bestätigung
Bei Nutzern, die bereits die „zweistufige Bestätigung“ aktiviert haben, wird die neue Schutzfunktion übrigens nicht in den Einstellungen angeboten. Eine Möglichkeit zum direkten Umstieg vom alten System zur neuen Zwei-Faktor-Authentifizierung gibt es derzeit leider nicht. Stattdessen gilt es, die zweistufige Bestätigung umständlich im Browser unter appleid.apple.com zu deaktivieren sowie neue Sicherheitsfragen mitsamt der Antworten einzurichten.
Wichtig: Notieren Sie Fragen und Antworten an einer sicheren Stelle, etwa als verschlüsselte Notiz oder in einem Passwort-Manager wie 1Password. Höchstwahrscheinlich müssen Sie außerdem auf allen mit der Apple ID verknüpften Geräten nochmals Ihr Passwort eingeben. Erst wenn dieses Prozedere abgeschlossen ist, sollte der neue Knopf zur Aktivierung der Zwei-Faktor-Authentifizierung auftauchen.
Zuvor vergebene App-spezifische Passwörter werden durch diese Änderung ebenfalls zurückgesetzt, Sie müssen diese also erneut für alle benötigten Apps frisch einrichten. Derzeit zwingt Sie zwar nichts zum Umstieg, doch bietet das neue System die bereits aufgezählten Vorteile. Offen bleibt, wie lange Apple die alte zweistufige Bestätigung noch anbieten wird.
Warum die Funktion zur Aktivierung nicht immer automatisch erscheint
In unseren Tests tauchte die Funktion übrigens nicht für jede Apple ID automatisch auf: Wer beispielsweise noch ein schwaches Passwort für eine schon lange existierende Apple ID verwendet, das Apples neueren Richtlinien zuwiderläuft, sieht die Funktion möglicherweise nicht. Das gleiche gilt, wenn weniger als drei Sicherheitsfragen eingerichtet sind oder eine hinterlegte E-Mail-Adresse nicht verifiziert wurde.
Um Zugriff auf das Schutzsystem zu erhalten, müssen Sie diese Angaben entsprechend ändern: Vergeben Sie also ein Passwort mit mindestens acht Zeichen, Groß- und Kleinbuchstaben sowie mindestens einer Ziffer. Am schnellsten führen Sie die Änderungen im Bereich „Sicherheit“ auf appleid.apple.com durch.
Bei unserer sehr alten Apple ID tauchte nach der dreitägigen Wartezeit übrigens erst die alte „zweistufige Bestätigung“ als Option in den iCloud-Einstellungen auf. Es dauerte einen weiteren Tag, bis sich der Knopf in die neue „Zwei-Faktor-Authentifizierung“ verwandelte. Mitunter hilft also etwas Geduld, falls Sie die Funktion nicht sofort sehen sollten.
App-spezifische Passwörter - Mehr Sicherheit für das Hauptpasswort
Falls Sie mit Software von Dritt-Herstellern die iCloud-Dienste für E-Mail, Termine oder Kontakte verwenden wollen, sorgt die Zwei-Faktor-Authentifizierung – ebenso wie bislang schon die zweistufige Bestätigung – für zusätzlichen Schutz. Um sich beispielsweise mit Microsoft Outlook oder E-Mail-Clients wie Spark und Airmail bei einem gesicherten iCloud-Account anmelden zu können, benötigen Sie jetzt ein sogenanntes App-spezifisches Passwort.
Dies bedeutet zugleich: Einer App respektive ihrem Anbieter müssen Sie nicht mehr Ihr Haupt-Passwort verraten, sondern nur noch ein Wegwerf-Passwort. Dann braucht Sie nicht länger zu beunruhigen, dass E-Mail-Anbieter dieses mitunter auf eigenen Servern speichern, um die Nachrichten abzurufen und bestimmte Funktionen anzubieten, so etwa auch Microsoft.
Die App-spezifischen Passwörter finden Sie unter appleid.apple.com/de im Bereich „Sicherheit“. Sie erscheinen erst, wenn Sie rechts „Bearbeiten“ angewählt haben. Dort ist es möglich, bis zu 25 dieser Passwörter für eine gleichzeitige Nutzung in verschiedenen Programmen und Diensten anzulegen. Geben Sie jeweils den Namen der Software ein, für die Sie das Passwort benötigen, das sorgt für einen besseren Überblick. Sie können diese Passwörter dort jederzeit widerrufen und damit sofort für ungültig erklären.
Im Fall eines Diebstahls des iPhones können Sie auf iCloud.com auf "Mein iPhone suchen" zugreifen, ohne einen Bestätigungscode eingeben zu müssen.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!
