Wenn man sich z.B. mit seiner Apple-ID im Apple-Store anmeldet wird beim ersten Mal mittels 2FA EIGENTLICH sichergestellt das niemand sich in einen fremden Account hackt. Soweit so gut.
Wieso wird aber auf dem selben Computer auf dem ich mich gerade anmelde dieser Code angezeigt?

die 2Faktor-Autorisierung verhindert, dass sich jemand von einem fremden Device aus unerkannt bei deiner Apple-ID anmelden kann, z.B. weil er das Passwort gestohlen hat. Deine eigenen Geräte werden durch ein von dir vergebenes Anmeldepasswort geschützt.
Wenn du dich als Eigentümer von deinem eigenen vertrauenswürdigen Device aus anmeldest, benötigst du diesen zusätzlichen Schutz nicht, da du dich ja bereits durch die Anmeldung autorisiert hast.

So habe ich das zumindest verstanden.

mir kam jetzt der Gedanke, das das passiert weil mein iPhone ja direkt neben dem MBP liegt - im selben WLan ist und per Bluetooth sichtbar

Zum Beispiel weil Du Messages auf dem Rechner aktiviert hast und Deine SMS/iMessage-Nachrichten für die 2FA auch dort angezeigt werden. Ich vermute es gibt auch noch andere Konstellationen dieser Art.

Da muss ich einsteigen, weil mich das auch manchmal nervt: Ich melde mich ja von einem vertrauenswürdigem Device aus an?!?

Weil eseben meine eigenen, durch Anmeldepasswort geschützte Geräte sind.

Ich muss zugeben, dass ich da auch nicht ganz durchblicke.

Nur der Vollständigkeit halber:
Siehe dort das Kapitel Funktionsweise. Aber auch der Rest ist nicht uninteressant. 🙂

Ich hab mich heute gerade an meinem MacBook Pro bei iCloud.com über Safari angemeldet.

Die 2FA hat eine Code-Abfrage geschickt, die auf eben diesem MacBook Pro angezeigt wurde, um dann auf demselben Book in Safari eingegeben zu werden.

Ich...äh

Genau.. Du sagst es selbst.. "Ich hab mich ... an meinem MacBook Pro"... deswegen hast Du auch die Code an DIESEM Gerät gesehen. Meldet sich jemand (versucht es) an einem anderen Gerät sich an DEINER iCloud anzumelden, sieht dieser die Code eben NICHT, sondern Du bekommst einen Hinweis darüber....

Aaaaahhh.

Deswegen erscheint dieser Code auch auf den anderen Deiner Geräte.
Aber eben z.B. nicht auf dem Gerät des "Angreifers".

Sollte dieser "physischen" Zugriff zu Deinem Gerät(en) haben, ist es eh zu spät.

Sehe ich genauso. Der unbefugte Angreifer kann zumindest jetzt ohne Benachrichtigung des Eigentümers tätig werden. Aber er muss jetzt trotzdem noch die Apple ID und das Passwort dazu kennen (falls nicht im Schlüsselbund hinterlegt und automatisch eingetragen )

2FA sollte per se nicht auf dem gleichen (bezogen auf den Anmeldeversuch) Gerät angezeigt werden.

Richtig gut ist‘s eigentlich nur, wenn man den 2FA-Code manuell „aus dem ‚Tresor‘ seiner Wahl“ auslesen muss/kann – nur so hat man immer die Kontrolle darüber, dass Anmeldung und Code-Absicherung von einander getrennt sind.

Dem ist nicht so. Beispiel: Kartenzahlung am Terminal. 1. Faktor: die Karte, 2. Faktor: die PIN... ist aber beides am gleichen Endgerät.
Wenn das „vertrauenswürdige“ Gerät schon entsprechend gesichert ist, dann kann dort auch der Code angezeigt werden. Bei mir erscheint der Code dann auf allen 3 „vertrauenswürdigen“ Geräten. 1. Faktor: das vetrauenswürdige Gerät. 2. Faktor: deine Anmeldung an diesem Gerät entweder durch Passwort oder biometrisch (Touch-ID/Face-ID). Das sind 2 Faktoren. Der Code dient dazu, sicherzustellen, dass der richtige Benutzer an einem vertrauenswürdigen Gerät den Code erhält und diesen dann benutzen kann, um sich an einem anderen Gerät anzumelden. Ein Angreifer mag deine Apple-ID ausspähen (passiert bei mir oft, da die Apple-ID nur 3 Buchstaben hat). Wenn er dann sogar noch irgendwie an dein Passwort kommt, dann hat er noch immer nur einen Faktor. Der zweite wäre das richtige Gerät - das hat er aber meist nicht.

Übrigens kann man so auch gleich sehen, dass jemand an der 2FA dran war. Das bedeutet man sollte dringlichst sein Passwort ändern. Das ist mir bislang noch nicht passiert, zu fehlschlagenden Anmeldeversuchen von fremden Geräten bekomme ich regelmäßig Mails, mal mehr mal weniger...

Im Fall Kreditkarte wäre 2FA, dass man erst einen weiteren Code extern verifizieren muss.

da stimme ich dir voll zu. Egal wie man es argumentiert. Es ist nicht sinnvoll.

Aus Apple-Sicht das perfekte Argument: Sie nutzen nur ein iPhone? Nun, 2FA ist ab sofort vorgeschrieben. Sie brauchen aber noch ein Gerät, um den 2FA-Code zu empfangen. Darf ich Ihnen kurz unsere iPads vorführen?

Das stimmt nicht. 2FA soll den Fall abdecken, dass das Passwort bekannt ist/erraten wurde – ohne Gerät des Account-Besitzers ist das Passwort weitgehend wertlos.

Würde 2FA IMMER zwei Geräte voraussetzen, könnte man sich unterwegs NIE mit seinem Handy anmelden wenn man nicht gerade seinen iMac Pro unter dem Arm hat.

Einige verwechseln hier scheinbar 2FA mit TOTP, oder sogar zwei Passwörtern.
Letzteres sind nur zwei Passwörter.
TOTPs sind, sehr stark vereinfacht, zeitlich begrenzte Passwörter. Beides spielt sich nur auf dem Gerät ab welches sich verbindet, und dem Gerät/Server zu dem man sich zu verbinden sucht.
2FA beugt Fremdattacken wie Brutforce Angriffen vor. Die 2FA ist kein weiteres Kennwort - sie bezieht nur neben dem sich verbindenden Gerät (ein Rechner) und dem Gerät zu dem die Verbindung aufgebaut werden soll (dem Server iCloud.com mit Zugriff auf eine bestimmte Datei) ein weiteres Gerät mit ein: dieses Gerät ist sowas wie der Oberbefehlshaber, der als Bindeglied zwischen dem sich verbindenden Gerät und dem Gerät zu dem man sich verbindet alles abnicken muss. Will sich das Bindeglied allerdings selbst verbinden, dann braucht dieses Bindeglied logischerweise keine externe Bestätigung - es fragt sich einfach selbst um Erlaubnis.

Nebenbei bemerkt: wenn jemand Zugriff auf den Benutzer hat ist eh Zugriff auf fast alle iCloud Daten vorhanden - ohne Passwort. Diese lassen sich ganz bequem von Finder aus aufrufen.

Will man den Rechner nicht auf Daten aushorchen sondern einfach nur plätten ist es ein leichtes via Recovery einen Administrator anzulegen der sich dann austoben kann.

Für den Fall, dass man nur ein Gerät hat und somit auf 2FA auf dem gleichen Gerät angewiesen ist, nimmt man besser einen „Tresor“, der sich a) nur durch manuelle Interaktion aktivieren lässt und b) ein (gänzlich anderes) Masterpasswort hat.

…aber ich denke wir kommen hier auf keinen gemeinsamen Nenner. Von dem her 🤷‍♂️

Solche Gedanken kommen daher das man nicht weiß wie, was und warum 2F Authentifizierung funktioniert.
Vielleicht sollte man sich auch mal in die Materie einlesen bevor man sich selbst zusammen reim wie etwas funktionieren könnte.

Es im Prinzip ganz einfach. Der Code wird an eine vertrauenswürdiges Gerät oder Telefonnummer geschickt. Dein Mac ist ein Vertrauenswürdiges Gerät. Auch zusehen in den Sicherheitseinstellungen deines Accounts. Wenn du z.B. den Code ausschließlich auf dem Smartphone haben möchtest dann muss du das Gerät entfernen.
Aber auch hier kann der Code theoretische auf deinem Mac landen weil er Nachrichten der Telefonnummer entgegennimmt.

2-Faktor ist UNGLEICH 2-WEGE-Authentifizierung (was Banken lange verlangt haben)!

Man muss was WISSEN (Passwort) und was HABEN (ein vertrauenswürdiges Gerät).
Das darf auch ein- und dasselbe Gerät sein, vor dem man etwas WEISS und das vertrauenswürdig ist.

Wird der Rechner gestohlen, meldet man sich in der iCloud an (den Code lässt man sich an die NATÜRLICH hinterlegte vertrauenswürdige Telefonnummer per Sprachroboter schicken, gerne Festnetz!) und trägt den Rechner aus der Liste vertrauenswürdiger Geräte aus. Fertig.