Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige

 

iPhone: Gefahr ständiger Passwortabfragen in iOS

Anzeige
 
AreaMobile Redaktion
areamobile.de
Benutzerbild von AreaMobile Redaktion
Beiträge: 43.734
Registriert seit: 19.09.2002

iPhone: Gefahr ständiger Passwortabfragen in iOS

Dass man in allen möglichen Situation nach dem Passwort der Apple ID gefragt wird, gehört für viele iPhone-Nutzer mittlerweile zum täglich Brot. Doch genau da liegt eine Gefahr von iOS, die jetzt ein App-Entwickler aufzeigt.[...]

Lesen Sie den Beitrag: iPhone: Gefahr ständiger Passwortabfragen in iOS auf AreaMobile.
no user
Beiträge: 2
Registriert seit: 11.10.2017
Ich sehe auch noch ein weiteres Problem und das im täglichen Einsatz.
Das Problem ist der Nutzer!
Da er/sie wohl kaum jedes mal ein elend langes PW eingeben will, wird das Passwort vereinfacht und ist damit leichter knackbar.
Viele Nutzer scheuen auch die Zwei-Faktor-Auth. denn sie empfinden dieses leider als zu umständlich.
Fritz_The_Cat
Advanced Handy Master
Benutzerbild von Fritz_The_Cat
Beiträge: 9.428
Registriert seit: 09.03.2012
Da hilft dann eine App wie bspw. 1Password, welche nicht bloß Kennwörter speichert sondern auch generiert. Ich nutze 1Password schon seit 4 der 5 Jahren und bin sehr zufrieden.
Die App gibt es für alle wesentlichen mobilen und stationären Plattformen.

https://agilebits.com/
Signatur
Einfachheit ist die höchste Stufe der Vollendung. [Leonardo Da Vinci]
-
Nicht, was lebendig, kraftvoll sich verkündigt, Ist das gefährlich Furchtbare. Das ganz Gemeine ist's, das Ewiggestrige, Was immer war und immer wiederkehrt. Und morgen gilt, weil's heute hat gegolten! [Friedrich Schiller]
DerZander
Handy Profi
Benutzerbild von DerZander
Beiträge: 592
Registriert seit: 22.12.2016
Das grundlegende Problem haben wohl alle. z. B. Windows mit der UAC (Benutzerkontensteuerung). Je mehr man die User warnt und fragt, dass etwas potentiell kritisches passiert, desto tauber werden die auf den Ohren. (Ich mag übrigens den Begriff "muttertaub" gerne, der das Ganze gut beschreibt. "Fahr vorsichtig!"... ;)

@Fritz
1Password verspielt ja leider mit seinem Geschäftsgebaren und seiner Kundeninformationmpolitik viel Kapital. Bei einem Closed-Source-Passwortmanager ist Vertrauen aber nun mal alles. Die Cloud-Strategie und Lizenzpolitik ist auch nicht besonders toll finde ich.

Ich kenne auch einige, die auf Enpass umgestiegen sind.

https://www.mobilegeeks.de/artikel/1password-wie-man-kunden-verunsichert/
https://www.heise.de/mac-and-i/meldung/Kritik-an-Cloud-Strategie-von-Passwortmanager-1Password-3770435.html
http://stadt-bremerhaven.de/1passwort-neues-lizenzmodell-schmeckt-mir-nicht/

Ich würde bei sowas prinzipiell gerne Open Source einsetzen, von daher ist KeePass erste Wahl für mich.

Geändert von DerZander (11.10.2017 um 15:49 Uhr)
Fritz_The_Cat
Advanced Handy Master
Benutzerbild von Fritz_The_Cat
Beiträge: 9.428
Registriert seit: 09.03.2012
Vielleicht ist es Deiner Aufmerksamkeit entgangen aber ich sprach primär allgemein von Passwortmanagern und nannte erst sekundär als Beispiel 1Password.

VOn mir aus mag jeder tun und lassen, was er will. Ob er nun 1PW, Enpass oder sonstwas nutzt oder sich seine Passwörter auf den Bauch tätowieren läßt, ist mir völlig wurscht.
cookieman
Professional Handy Master
Benutzerbild von cookieman
Beiträge: 10.650
Registriert seit: 04.02.2005
Ort: Im Miezhaus..... bei unseren Katzen
Mmmhhh eigentlich ist das iPhone doch technisch so modern das genügend Apps ohne Probleme mit dem TouchID funktionieren ohne PW Eingabe.
Signatur
Vorsprung durch fortschreitende Technik
Frankfurter Knackarsch
Expert Handy Profi
Benutzerbild von Frankfurter Knackarsch
Beiträge: 2.888
Registriert seit: 15.11.2009
Wie kommt ihr jetzt auf das Thema Passwordmanager was das Phishing nur noch einfacher macht?

"Mmmhhh eigentlich ist das iPhone doch technisch so modern das genügend Apps ohne Probleme mit dem TouchID funktionieren ohne PW Eingabe."

Hat denn Apple die API freigegeben?
Bei Android sind gut die Hälfte der Geräte noch ohne Fingerprintsensor im Umlauf. Daher wird das von App Entwicklern noch zögerlich angenommen.
Samsung bietet aber dafür mit Samsung Pass einen Schlüsselbund an. Damit lässt sich an Stelle des zugeordneten PW, mit dem Fingerprint veriferzieren.
DerZander
Handy Profi
Benutzerbild von DerZander
Beiträge: 592
Registriert seit: 22.12.2016
@Fritz
Sag mal, bist du im echten Leben auch so empfindlich?^^ Falls ja, wie kommt man so durchs Leben?
Ich habe doch nur deine Aussagen zum Passwortmanager ergänzt.

Hier übrigens ein guter Vergleich:
https://www.golem.de/news/passwortmanager-im-vergleich-das-letzte-passwort-das-du-dir-jemals-merken-musst-1710-130346.html
Fritz_The_Cat
Advanced Handy Master
Benutzerbild von Fritz_The_Cat
Beiträge: 9.428
Registriert seit: 09.03.2012
@ Frankfurter:
" Wie kommt ihr jetzt auf das Thema Passwordmanager […]?

==> Siehe Beitrag #2+3
Frankfurter Knackarsch
Expert Handy Profi
Benutzerbild von Frankfurter Knackarsch
Beiträge: 2.888
Registriert seit: 15.11.2009
@ftc
und was hat das mit dem thema zu tun?
Antiappler
Handy Profi
no user
Beiträge: 776
Registriert seit: 23.05.2016
@Frankfurter

"und was hat das mit dem thema zu tun?"

Wie kannst Du so etwas fragen?

Das gilt doch nicht fur Fritz. ;-)
cookieman
Professional Handy Master
Benutzerbild von cookieman
Beiträge: 10.650
Registriert seit: 04.02.2005
Ort: Im Miezhaus..... bei unseren Katzen
@Frankfurter
>Hat denn Apple die API freigegeben?<

Ich nutze aktuell Paypal, Targobank, MeinVodafone mit TouchID. Ansonsten werden über iCloud mit dem Schlüsselbund alle Zugänge mit PW verwaltet.
Fritz_The_Cat
Advanced Handy Master
Benutzerbild von Fritz_The_Cat
Beiträge: 9.428
Registriert seit: 09.03.2012
@ Zander:
"Hier übrigens ein guter Vergleich:
https://www.golem.de/news/passwortmanager-im-vergleich-das-letzte-passwort-das-du-dir-jemals-merken-musst-1710-130346.html "

==> Noch einmal gaaanz langsam zum mitlesen: In meinem Beitrag ging es NICHT um einen Vergleich verschiedener Passwordmanager. Es ging mir darum, wie man allzu einfache Kennwörter vermeiden und sie gleichzeitig dennoch immer "erinnern" und zur Hand haben kann.
DerZander
Handy Profi
Benutzerbild von DerZander
Beiträge: 592
Registriert seit: 22.12.2016
@Fritz
>> Noch einmal gaaanz langsam zum mitlesen

Warum du immer gleich so erregt bist, erschließt sich mir nicht? Was habe ich den böses getan? Ist sicherlich nicht gesund, wenn du dich immer gleich so aufregst.

Dass die Leute heutzutage immer wegen jeder Kleinigkeit gleich völlig "getriggert" sind und in die Opferrolle fallen, ist wohl der aktuelle Zeitgeist. Tja.

>> In meinem Beitrag ging es NICHT um einen Vergleich verschiedener Passwordmanager.

In meinem Posting aber. :) Das Thema Passwortmanager ist doch ganz interessant, oder?

>> Es ging mir darum, wie man allzu einfache Kennwörter vermeiden und sie
>> gleichzeitig dennoch immer "erinnern" und zur Hand haben kann.

Was übrigens gar nichts mit dem Inhalt der News zu tun hat, was dir aufgefallen wäre, wenn du das angesprochene Problem verstanden hättest.
IchBinNichtAreamobile.de
Advanced Handy Master
Benutzerbild von IchBinNichtAreamobile.de
Beiträge: 9.003
Registriert seit: 11.12.2012
Könnte mir ein iOS-Nutzer (also außer Fritz oder Echse) sagen, ob da was dran ist an der ständigen Passwortfragerei? Und wenn ja, wo genau überall PWs abgefragt werden bzw bei welchen Gelegenheiten?

Das grundsätzliche Problem kenne ich von (Desktop-)Linux ja auch. Hier ist aber klar, dass alles was root-Rechte braucht auch ein Passwort erfordert ... also alles was Änderungen am System zu tun hat (inklusive Installation von Apps und auch Upgrades). Unter Linux erfordern im Betrieb nur sehr sehr wenige Apps root-Rechte und wenn doch, dann ist auch klar, dass sie Änderungen am System verursachen (zB Firewall).

Bei Windows ist es das UAC ... hier muss man zwar kein Passwort eingeben (was hier ein Vorteil ist), aber dafür muss man Admin-Rechte wie Konfetti vergeben als Normalanwender, weil gefühlt jede zweite App Admin-Rechte braucht.

Das Problem, dass authentische Passwortabfragen klar erkennbar sein müssen und nicht ohne weiteres imitierbar sein dürfen, ist hingegen sehr gut bekannt bei anderen OS auch weitestgehend klar geregelt. Android fällt gelegentlich mit der Umgehung der Draw-Over/Overlay-Permission auf, was zumindest ein Teil der Lösung des Problems bei Android darstellt (so es denn funktioniert). Inwiefern das bei iOS eine Ausnutzung eines OS- oder Bedienungsfehlers ist, kann ich nicht beurteilen, aber vllt kann da ein regelmäßiger iOS-Nutzer sagen wie sich das verhält (also außer Echse oder Fritz ... versteht sich von selbst).
Signatur
... oder kurz ibnam
DerZander
Handy Profi
Benutzerbild von DerZander
Beiträge: 592
Registriert seit: 22.12.2016
@IBNAM

Bei iOS geht es hauptsächlich um die iCloud Zugangsdaten, die man "dauernd" eingeben/bestätigen muss. Da ich iCloud auf meinem iPad im Grunde nicht nutze, habe ich das Problem auch nicht.

Das Problem, das in der News angesprochen wird, ist ja ein generelles, nämlich das böswillige Anwendungen Systemdialoge nachbasteln. Apple könnte hier aber schnell Abhilfe schaffen, wenn die Dialoge das Icon der App einblenden würden von dem Sie kommen. (wie im Notificationcenter) Oder in dem man ganz auf solche Dialoge verzichtet und alles über die Einstellungen machen muss. Ist im zweifelsfall aber weniger komfortabel.

Wie auch immer, ein Passwortmanager löst das Problem nicht. ;)

>> Bei Windows ist es das UAC ... hier muss man zwar kein Passwort eingeben
>> (was hier ein Vorteil ist), aber dafür muss man Admin-Rechte wie Konfetti vergeben
>> als Normalanwender, weil gefühlt jede zweite App Admin-Rechte braucht.

Wenn man nur Userrechte hat, dann muss man für administrative Sachen durchaus den Admin-Account eingeben. Wenn man nicht gerade installiert, dann hält sich das aber auch in Grenzen und ist außerdem in der "Schärfe" einstellbar, wann die UAC anspringt. Blöd ist sowas wie OpenVPN, dass jedes Mal beim Starten Adminrechte einfordert, aber das sind eigentlich Ausnahmen. Im normalen Betrieb bekommt man die UAC eigentlich kaum zu sehen.

Ein altes System wie Windows, wo Anwendungen früher einfach alles durften, im nachhinein halbwegs sicher zu bekommen, ist eben schwierig. Wenn sich die x86-Anwendungen (bei WinRT-Apps ist das ja kein Problem) an die Regeln halten, dann läuft auch alles fluffig, aber gerade ältere Programme machen da manchmal Dinge, bei denen man mit den Ohren schlackert was die Sicherheit angeht.
cookieman
Professional Handy Master
Benutzerbild von cookieman
Beiträge: 10.650
Registriert seit: 04.02.2005
Ort: Im Miezhaus..... bei unseren Katzen
Also mir sind ständige Passwortfragen nicht bekannt, weder bei Mail, Safari noch anderen Apps unter IOS. Alle unsere Geräte sind mit dem iCloudaccount verbunden in der auch das Feature Schlüsselbund aktiv ist.
Ich kann mir vorstellen das User unter Umständen nicht die Schlüsselbundfeature nutzen in der Zugangsdaten inkl. PW enthalten sind, und evtl. zu den PW Abfragen führen können.

Ansonsten kann es bei der einen oder anderen App nach Updates zu einer Abfrage führen.
iCloud Accountabfrage erfolgt auch, aber ist eher die Ausnahme.
IchBinNichtAreamobile.de
Advanced Handy Master
Benutzerbild von IchBinNichtAreamobile.de
Beiträge: 9.003
Registriert seit: 11.12.2012
@DerZander:"Bei iOS geht es hauptsächlich um die iCloud Zugangsdaten, die man "dauernd" eingeben/bestätigen muss. Da ich iCloud auf meinem iPad im Grunde nicht nutze, habe ich das Problem auch nicht."
>>Ah ok, also kann man am Ende sagen, dass das Problem hier doch eher etwas aufgeplustert wurde.

"Das Problem, das in der News angesprochen wird, ist ja ein generelles, nämlich das böswillige Anwendungen Systemdialoge nachbasteln. [...]"
>>Ja wie ich auch sagte, ist das auf anderen System bereits bekannt und wurde bei Android auch schon mehrfach angemahnt.

"Apple könnte hier aber schnell Abhilfe schaffen, wenn die Dialoge das Icon der App einblenden würden von dem Sie kommen. (wie im Notificationcenter)"
>>Einfach ein fremdes Icon nachahmen? Bzw je nachdem wie die Icons generiert werden, die Icons einer bestimmten Größe so anpassen, dass sie aussehen wie eine andere App.

"Ein altes System wie Windows, wo Anwendungen früher einfach alles durften, im nachhinein halbwegs sicher zu bekommen, ist eben schwierig. Wenn sich die x86-Anwendungen (bei WinRT-Apps ist das ja kein Problem) an die Regeln halten, dann läuft auch alles fluffig, aber gerade ältere Programme machen da manchmal Dinge, bei denen man mit den Ohren schlackert was die Sicherheit angeht."
>>Naja auch neue Programme von MS selbst machen häufig Probleme diesbzgl (also was die Ausnutzung der Rechte angeht). Das Fehlen eines Sicherheitskonzepts bzw eines Sicherheitsdesigns merkt man eben doch deutlich.

"Im normalen Betrieb bekommt man die UAC eigentlich kaum zu sehen."
>>Ja gut im Nachgang muss ich sagen, dass das stimmt. Es war zumindest nicht so extrem wie ich es beschrieben habe. Umgekehrt muss ich aber sagen, dass ich auf Windows einige Sachen mache bzw machen muss, die auf Linux entweder eine Ausnahme sind oder sogar ein totales No-Go.
 
 

 
alle Nachrichten News-Archiv