Warum fordert Apple mich auf, mein Passwort zu ändern, nachdem ich eine E-Mail zum Zurücksetzen des Passworts erhalten habe?

Ich habe eine E-Mail erhalten, in der mir mitgeteilt wurde, dass jemand das Zurücksetzen des Passworts für meine Apple-ID angefordert hat.

Lieb ___,

Sie haben kürzlich eine Anfrage zum Zurücksetzen Ihres Passworts oder zum Entsperren Ihrer Apple-ID gestellt. Bitte klicken Sie auf den unten stehenden Link, um fortzufahren.

Passwort zurücksetzen oder Apple ID entsperren >

Wenn Sie diese Änderung nicht vorgenommen haben oder glauben, dass eine unbefugte Person auf Ihr Konto zugegriffen hat, gehen Sie zu iforgot.apple.com, um Ihr Passwort unverzüglich zurückzusetzen . Melden Sie sich anschließend unter https://appleid.apple.com/gb auf Ihrer Apple-ID-Kontoseite an, um Ihre Sicherheitseinstellungen zu überprüfen und zu aktualisieren.

Aufrichtig,

Apple-Support

Der fett hervorgehobene Teil scheint zu sagen, dass ich mein Passwort zurücksetzen sollte. Warum?

Hier ist mein allgemeines Verständnis der Verfahren zum Zurücksetzen von Passwörtern:

  1. Jemand fordert ein Zurücksetzen des Passworts an (jede Person kann dies für jedes Konto tun)

  2. Eine E-Mail mit den nächsten Schritten wird an die E-Mail-Adresse des Kontoinhabers gesendet

  3. Die E-Mail aus Schritt 2 ist erforderlich, um das Zurücksetzen des Passworts tatsächlich durchzuführen

Daher gibt es keinen Grund zu der Annahme, dass meine Apple ID gefährdet ist, sofern meine E-Mail-Adresse nicht kompromittiert ist (was ich keinen Grund zu der Annahme habe), basierend auf den bisher bereitgestellten Informationen. Rechts?

Ich habe auch @AppleSupport auf Twitter danach gefragt:

Und so sagten sie:

Wenn Sie diese Änderung nicht angefordert haben, aktualisieren Sie aus Sicherheitsgründen Ihr Passwort.

Angesichts der Tatsache, dass jeder im Internet das Zurücksetzen des Passworts für jedes Konto anfordern kann und dies ohne Zugriff auf die E-Mail-Adresse des Kontoinhabers sinnlos ist, über welche Sicherheitsgründe könnte Apple möglicherweise sprechen?

Ein Beispiel dafür, warum ich denke, dass dies ein dummer Vorschlag sein könnte, nehmen wir an, jemand wollte jemand anderen ärgern: Alles, was er tun müsste, wäre, wiederholte Anfragen zum Zurücksetzen des Passworts zu senden. Soll sich der Empfänger dann „aus Sicherheitsgründen“ verpflichtet fühlen, sein Passwort jedes Mal zu ändern?

Warum sagt Apple also, dass ich mein Passwort ändern soll? Und wenn die Antwort "Sicherheitsgründe" lautet, was sind einige Beispiele?

Antworten (2)

Ich bin mir nicht sicher, ob diese Frage hier tatsächlich zum Thema gehört, weil Sie effektiv fragen, warum Apple etwas tut? Ich biete diese Antwort jedoch an, falls sie offen bleibt, und weil ich im Bereich IT-Sicherheit gearbeitet habe.

Zunächst gehe ich davon aus, dass die E-Mail, die Sie erhalten haben, eine echte E-Mail von Apple und kein Phishing- Versuch war.

Die Realität ist, dass, wenn jemand anderes als Sie ein Zurücksetzen des Passworts angefordert hat, Sie davon ausgehen sollten , dass er nichts Gutes im Schilde führt. Und wenn das der Fall ist , auf wie viele Ihrer anderen Online-Dienste versuchen sie ebenfalls zuzugreifen/zurückzusetzen?

Leider verwenden viele Online-Benutzer dasselbe Passwort für viele Konten. Und diese Schwachstelle ist die häufigste Methode, mit der Hacker (usw.) Konten verletzen. Sie hätten zum Beispiel von den iCloud-Lecks von Prominentenfotos (bekannt als The Fappening ) gehört, die im August 2014 auftraten. Während es zunächst so aussah, als ob der Fehler irgendwie mit Apples iCloud-Diensten zusammenhängt, erklärte Apple nach einer Untersuchung:

Die durchgesickerten Bilder waren das Ergebnis von kompromittierten Konten, die „einen sehr gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen verwendeten, eine Praxis, die im Internet allzu üblich geworden ist“. Keiner der von uns untersuchten Fälle resultierte aus einer Sicherheitsverletzung in einem der Apple-Systeme, einschließlich iCloud® oder Find my iPhone.

Quelle: Apple Media Advisory

Dies zeigt, warum Apple möchte, dass Sie Ihr Passwort ändern. Angenommen, Sie wurden von jemandem angegriffen, der Ihr Passwort von einer Website erhält, von der er weiß, dass die Wahrscheinlichkeit groß ist, dass Sie dasselbe Passwort auf einer anderen verwendet haben. Und wenn jemand absichtlich versucht hat, Ihr Apple-ID-Passwort zurückzusetzen, müssen Sie aus Sicht des Risikomanagements davon ausgehen, dass er auch versucht hat, auf einige Ihrer anderen Online-Dienste zuzugreifen.

Indem Apple Ihnen mitteilt, dass Sie Ihr Passwort für ihren Dienst zurücksetzen, versuchen sie, Ihnen bei der Bewältigung dieses Risikos zu helfen.

Leider verwenden die Benutzer oft nicht nur dasselbe Passwort für ihre Konten, sondern dieselben Sicherheitsfragen, dieselben Wiederherstellungs-E-Mails usw. Daher ist das Zurücksetzen Ihres Passworts eine hervorragende Vorsichtsmaßnahme.

Schließlich kommt Apple seiner Sorgfaltspflicht nach, indem Apple in seiner E-Mail angibt , Ihr Passwort unverzüglich zurückzusetzen , und dies wäre im Falle eines Verstoßes und/oder anschließender rechtlicher Schritte sehr wichtig.

Oh, gute Punkte. Ich habe nie an einen Angreifer gedacht, der versucht, kompromittierte Wiederherstellungsantworten von „Dienst A“ auf „Dienst B“ zu verwenden. Ich nehme an, das könnte effektiv sein, wenn der Wiederherstellungsprozess nicht durch eine E-Mail überwacht wird.

Der Gedanke ist, dass dies höchstwahrscheinlich kein Streich ist und dass es bedeutet, dass jemand versucht, Zugriff auf Ihr Konto zu erhalten. Obwohl ich zustimme, dass es unwahrscheinlich ist, dass jemand auf Ihr Konto zugreift, kann ich verstehen, warum Apple dies für die Massen empfiehlt.

Ich würde davon ausgehen, dass dies hauptsächlich auf Tippfehler zurückzuführen ist (insbesondere wenn Sie einen gemeinsamen Namen haben), z. B. die Verwendung von @gmail anstelle von @hotmail usw., aber Sie können heutzutage nicht zu vorsichtig sein.

Dies könnten auch Hacker sein, die versuchen, aktive Konten zu bestätigen.

Angenommen, Sie haben ein starkes Passwort und die Bestätigung in zwei Schritten aktiviert, sollte alles in Ordnung sein. Es wird sowieso empfohlen, Ihr Passwort regelmäßig zu ändern. Wenn Sie dies in den letzten Monaten nicht getan haben, würde ich es tun.

Es ist eine persönliche Entscheidung, aber für die Masse (die meistens schwache Passwörter hat) würde ich ihnen empfehlen, ihr Passwort zu ändern (genau wie Apple es getan hat).

Warum fordert Apple mich auf, mein Passwort zu ändern, nachdem ich eine E-Mail zum Zurücksetzen des Passworts erhalten habe?
AntwortenHierDatenschutz-Bestimmungen1y, 1v