Früher ging ich (vielleicht fälschlich) davon aus, dass ein Gerätepasswort (Anmeldekennwort, Entsperr-Code) nur auf dem zugehörigen Gerät zum Abgleich der Eingabe gespeichert wird.

Jetzt meldet Apple jedoch, dass diese Gerätepasswörter auch zur Sicherung von iCloud-Daten herangezogen werden. Das bedeutet aber, dass so ein Passwort zum Abgleich zu Apple übertragen werden muss. Oder wird nur eine bearbeitete Form des Passwortes übermittelt, sodass bei Apple zwar entschieden werden kann, ob eine Eingabe falsch ist, nicht jedoch, ob die Eingabe mit dem Passwort identisch ist?

Aufmerksam wurde ich darauf, weil ich auf allen Geräten (Mac, iPad, iPhone) mit aktuellem System schon wiederholt aufgefordert wurde, mein Gerätepasswort (meinen Code) durch Neueingabe zu bestätigen, um iCloud weiterhin nutzen zu können. (Ich nutze iCloud zwar nicht, bin dort aber angemeldet.)

Mich persönlich beunruhigt das Thema nicht. Trotzdem finde ich die Frage interessant, ob Apple theoretisch die Möglichkeit hat, Nutzerpasswörter weiterzugeben.

Ich habe das so verstanden, dass die Daten verschlüsselt in die Cloud übertragen und in der Form dort auch gespeichert werden. Das Passwort wird nur lokal zum Ver- und Entschlüsseln benötigt. Das heißt dann auch, dass das Passwort nicht in die Cloud übertragen werden muss, weder unverschlüsselt noch irgendwie verändert.

Ja - das leuchtet ein.
Danke!

Deichkind
Aber wenn verschiedene Geräte mit unterschiedlichen Passwörtern auf denselben verschlüsselten Inhalt in der iCloud Zugriff haben wollen, wird es doch wieder schwierig.

Ja, stimmt. Die Verschlüsselung wird wohl auf der Apple-ID des Cloud-Kontos basieren. Laut Apple kann man wählen zwischen standardmäßigem und erweitertem Datenschutz. Im ersten Fall werden wohl Schlüssel in gesicherter Form an Apple übertragen, sodass Apple die Daten auf Anforderung wieder herstellen kann, im zweiten Fall jedoch nicht: .

jedoch wird beim Einrichten von neuen Geräten hin und wieder das Passwort/Pin eines anderen Gerätes verlangt.

So ist es - ich hatte mich auch gewundert, dass in einem solchen Fall mal der Entsperrcode meines iPhones abgefragt wurde, welchen ich bis dahin nur als lokal auf dem iPhone gespeichert vermutet hatte...

Es wird doch lediglich aufgefordert, auf einem anderen Gerät das dort vorhandene Paßwort einzugeben.. aus meiner Sicht wird dazu eine Mitteilung von Apple an das zum AppleID- Konto gehörige Gerät geschickt welches anschließend die korrekte Eingabe an Apple bestätigt. Das angeforderte Paßwort muß also garnicht erst an Apple übertragen werden.
In anderen Fällen reicht es, wenn vom Paßwort auf verschiedenen Geräten ein Hash erzeugt wird. Der kann problemlos übertragen und verglichen werden.

Die Abfrage des Gerätepassworts soll wohl sicherstellen, dass das Gerät im Dialog mit Apple physisch von dem Eigentümer oder Berechtigten genutzt wird. Es reicht, wenn dies Apple als ein Sicherheitsfaktor vom Gerät bestätigt wird. Dazu muss Apple aber das Passwort nicht kennen.

MikeMuc war schneller

Äh...nein - siehe oberen Gesprächsverlauf...
Nochmal im Klartext: ich musste auf meinem iPad den Entsperrcode meines iPhones eingeben, der sich von dem des iPads unterscheidet

Ich nehme an, die Abfrage gehört zu den weiteren Vorbereitungen auf den "erweiterten iCloud-Datenschutz" (Verschlüsselung at-rest)

Das bedeutet nicht notwendigerweise, dass der PIN-Code irgendwohin übertragen übertragen wird. Eher geht es um die Synchronisation mit der Geräte-ID.

Da hier keiner die genauen Abläufe kennt oder nachvollziehen kann, muss man diesbezüglich entweder Apple vertrauen oder sich eben verabschieden.

Oder die Hintergründe der Passwortabfrage mit dem Apple Support klären.

wie ich schon schrieb, auch da reicht es, wenn auf dem Gerät ein Hash berechnet wird der anschließend verglichen wird. Da ist egal, wo der berechnet wird solange der gleiche Algorithmus verwendet wird.

... das ist auch für mich so einzuordnen: auch ich musste bereits Passwörter anderer Geräte auf einem anderen mit iCloud verbundenen Gerät eingeben. Ohne eine Erklärung warum, war das für mich etwas spooky.... (viele werden das aber gar nicht einordnen können und eben das Passwort, was gewünscht wird, einfach eintippen. Mehr Transparenz (z.B. ein Link: "warum muss ich das Gerätepasswort eines anderen Gerätes hier eingeben", wäre wünschenswert - kann ja auch in kleiner Schrift sein.. )

Nein, ich wurde gestern beim Einrichten meines neuen Macs ausdrücklich aufgefordert, AM MAC den Passcode meines iPads einzugeben.

Ich hatte das zunächst falsch verstanden und bin erstmal das iPad Holen gegangen, bevor ich es nochmal gelesen habe. Ich dachte, ich krieg wie üblich am iPad irgendeinen Code zugeschickt.

Der Mac konnte den Entsperrcode meines iPad als richtig erkennen.

Wie?

… ein vergleichbares Szenario hatte ich bei der Einrichtung des neuen iPhones - meine Frau paar Monate später ebenso.

Meiner Meinung wäre es besser und verständlicher, einen Code an ein anderes mit iCloud verbundenes Gerät zu senden (das kennt man ja mittlerweile als Sicherheitsfeature) als das Gerätepasswort eines anderen Geräts abzufragen.

Ich hab es sch 2x geschrieben und nur für dich nun noch ein 3. mal:
Wenn du das Passwort auf einem andern Gerät eingibst, wird dort ein eindeutiger Hash erzeugt. Der geht zu Apple und dann vergleicht man den dort mit einem ggf bereits vorhandenen Hash von einem anderen Gerät. Sind die Hashes gleich, stimmen auch die eingegebenen Paßwörter überein und die Aktion wird autorisiert. Wenn du das immer noch nicht verstehst, bin ich raus und du solltest dich über die sichere Speicherung von Paßwörten im Web informieren.

Sofern da ein asymmetrisch wirkendes Verschlüsselungsverfahren angewendet wird, kann Apple aus dem Hash-Wert praktisch nicht das Kennwort berechnen (theoretisch schon durch hinreichend häufiges Probieren).

Apple beschreibt das Vorgehen im Apple Platform Security Guide. In der jüngsten Ausgabe vom May 2022 wird die damals noch bevorstehende Erweiterung in der iCloud angekündigt.

Das haben wir schon beim ersten Mal verstanden, aber verstehst Du inzwischen auch das Unverständnis der Nutzer dahingehend, dass hier ein Gerätesperrcode eben nicht nur an das Gerät gekoppelt bleibt, sondern von diesem an Apple übermittelt wird - egal, ob vollständig oder als Hash?

Ja, es wäre sicherlich hilfreich, wenn iOS optional erklären würde, warum dieses Kennwort erfragt wird und was mit der Information geschieht. Aber das Kennwort eines anderen Geräts wird wohl immer dann erfragt werden, wenn ein neu eingerichtetes Gerät mit der iCloud verbunden wird und Apple klären will, ob der Nutzer dieses Geräts autorisiert ist, auch auf solche Daten des anderen Geräts zuzugreifen, die nicht ohnehin für andere Nutzer des iCloud-Kontos freigegeben sind.

Hatte vorhin vorschnell geantwortet.

Danke für deine geduld.

... und genau DAS halte ich für unüblich und damit verwirrend. Danke für die klare Formulierung!

Ich verstehe zwar die anfängliche Verwirrung. Aber nach der Erklärung, dass ein Hash-Wert übermittelt wird, gibt es noch zwei weitere Wege: a) ich vertiefe mich in die Materie, siehe z.B. Deichkinds Beitrag, oder b) ich gebe mich mit einer vereinfachten Erklärung zufrieden wie ich sie in einem allgemeinen Mac-Forum erwarten darf.
Wie immer bleibt sowieso die Frage nach dem Nutzen-Risiko-Verhältnis jeder Maßnahme in diesem Feld. Einerseits möchte jeder Anwender maximale Sicherheit, dass niemand Unbefugtes den Account kapert. Dazu dienen dann z.B. Abfragen bestimmter "Geheimnisse". Und je anwenderspezifischer/persönlicher die sind, um so besser. Dann müsste das Geheimnis aber beim Anbieter hinterlegt werden und wäre dort kompromittierbar. Wie soll dieser gordische Knoten denn gelöst werden? Z.b. mit einer kryptografischen Repräsentation des Geheimnisses, TaDa…
Man will ja auch nicht jedesmal erst ein PostIdent-Verfahren starten oder so (und ob das sicherer ist???).
Da finde Apple's Ansatz eigentlich ziemlich gut. Übrigens wird der hash nicht als isolierter Wert übermittelt. Dein Gerät bekommt eine kryptografische "Rechenaufgabe" gestellt, die es unter Zuhilfenahme des lokal erzeugten Hashwertes jenes von Dir eingegebenen Passwortes "löst". Das Resultat dieser Rechenoperation wird an den Server übermittelt. Wenn es kryptografisch mit der erwarteten Antwort kompatibel ist, gibt es die Freigabe. Einzelheiten wieder in einschlägigen Kryptografie-Foren suchen.

Das ist eben nicht egal! Darum geht es doch gerade: Passwort ≠ Hash-Wert.

… dass es technisch sicher ist, wird auch nicht bestritten: aber es ist unüblich.

… dass es technisch sicher ist, wird auch nicht bestritten: aber es ist unüblich - security-by-obscurity. Und sowas halte ich für gefährlich: nicht im konkreten Fall, aber für die persönliche Erfahrung.

Also ich muss gestehen, ich habe nur äußerst rudimentäre Kenntnisse in Kryptographie. Sonst hätte ich diesen Thread vielleicht auch gar nicht losgetreten. Andererseits vermute ich, dass ich damit in diesem Forum auch nicht ganz alleine bin.

Gelernt habe ich jetzt hier, dass nicht das Gerätepasswort zu Apple versandt wird sondern nur ein Hash desselben, woraus man - wenn überhaupt - nur theoretisch auf das zugrundeliegende Passwort zurückschließen kann. Dies sozusagen als Entwarnung.

Für mich bleibt aber die Frage, warum man so etwas überhaupt macht.
Bisher gab es Schlüssel für die lokalen Geräte des Nutzers (Gerätepasswörter) und ganz separat einen Schlüssel für den eigenen Bereich auf einem entfernten Computer (Passwort zur Apple ID).
Warum muss man jetzt die lokalen Schlüssel auch noch für den entfernten Computer verwenden - und sei es auch nur in Form eines Hashes?
Wenn einem die Sicherung der Apple ID als zu schwach erscheint, muss man trotzdem nicht ausgerechnet die lokalen Schlüssel dafür zusätzlich verwenden. Wenn man nur den angemeldeten Geräten Zugriff auf die iCloud gewähren will, würde doch wie bisher die Übertragung der eindeutigen Gerätekennung (oder eines Hashes daraus) genügen. Eine Neuanmeldung von Geräten wird ja bereits anderweitig abgesichert.
Die Abfrage des Gerätepasswortes erfolgt übrigens unabhängig davon, ob man den Erweiterten Datenschutz gewählt hat oder nicht. Die Abfrage nach dem Passwort (Code) eines anderen Gerätes erfolgt auch bei schon lange angemeldeten Geräten.
Wenn man im analogen Leben ein Wohnhaus hat und in einem entfernten Gebäude ein Büro, dann käme man doch auch nicht auf die Idee, in die Bürotür zusätzlich ein Wohnungsschloss einzubauen.

Nebenbei wird offenbar auch bei einer Neuinstallation eines neueren Systems auf dem Mac ebenfalls das Gerätepasswort (bzw. ein Hash daraus) zu Apple übertragen. Den Grund dafür verstehe ich auch nicht.

Man sehe mir bitte meine geringen Kenntnisse auf diesem Gebiet nach!

Erstens: Was hier diskutiert wurde, sind nicht Fakten, sondern allenfalls denkbare Szenarien. Ich behaupte einfach mal, dass niemand hier ausreichend tiefe Einsicht in die genauen Hintergründe und Prozesse hat.

Zweitens: Wozu macht Apple das?
Bei Apple sind sie dabei, End-to-End verschlüsselte Systeme aufzubauen, wo unsereiner Daten verschicken und verwalten kann, ohne dass Apple den Inhalt sehen kann. Das ist schwer.

Wenn du z.B. einen Termin in deinen Kalender auf den iPhone einträgst und der Termin auch auf dem iPad erscheinen soll, dann muss die Info von A über Apple zu B fließen.

Wenn diese Info aber immer und überall verschlüsselt sein soll, dann muss B den Gegenschlüssel von A haben, um die Info überhaupt auslesen zu können.

A muss also einen streng geheimen Schlüssel an B übermitteln. Dieser Schlüssel ist übrigens sehr viel komplexer als bloß die dumme PIN oder ein Hash davon.

Und wenn jetzt dieser Gegenschlüssel von A via Apple so zu B fließen soll, dass Apple aber garantiert nicht mitlesen oder dekodieren kann, dann …

… ja dann wird‘s haarig, sehr-sehr haarig.

Und meines Erachtens dienen die aktuell durchführten Verifizierungen der Vorbereitung oder Durchführung eines solchen geheimen Schlüsselaustausches zwischen den Geräten.

Disclaimer:
Ist meinerseits auch nur Spekulation. Steinigt mich ruhig, wenn ich falsch liege.

Das nennt sich klassisch "aus dem Zusammenhang gerissen"...