iCulture forum | iPhone, iPad, iPod touch, Apple TV en iOS - Bedenking 2FA (twee-factor authenticatie)

- iCloud (https://forum.iculture.nl/f147/icloud/f148/icloud/)

- - Bedenking 2FA (twee-factor authenticatie) (https://forum.iculture.nl/f147/icloud/f148/icloud/176465-bedenking-2fa-twee-factor-authenticatie.html)

Bedenking 2FA (twee-factor authenticatie)

Een paar dagen geleden kreeg ik opeens een melding op mijn iPhone dat iemand uit Tapei toegang wou krijgen tot mijn iCloud account. Dit heb ik uiteraard onmiddellijk geblokkeerd dankzij 2FA.

Wat me wel ongerust maakt is dat iemand blijkbaar mijn wachtwoord correct heeft kunnen invoeren. Dit is namelijk een sterk en uniek wachtwoord. Ik gebruikte dit wachtwoord enkel en alleen voor iCloud.

Iemand enig idee hoe dit toch kan gebeurd zijn?

De bedenking die ik overigens heb bij het gebruik van 2FA heeft te maken met het feit dat als iemand probeert in te loggen dat je dan op elk trusted device dat je hebt die popup krijgt om al dan nie toe te staan, gevolgd door de 6 cijferige code die ingevoerd moet worden indien je de loginpoging hebt geaccepteerd. Dit is allemaal zeer praktisch en vlot.

Maar wat nu in de volgende situatie:
1) Je bent op vakantie en je hebt enkel je iPhone meegenomen
2) Je iPad ligt thuis in de woonkamer
3) Je krijgt ongewenst bezoek van een inbreker midden in de nacht
4) Deze inbreker kent, om een of andere reden, jouw iCloud wachtwoord
5) Deze persoon neemt de iPad, logt in met jouw wachtwoord
6) 2FA schiet in actie en zowel op de iPhone als op de iPad komt de popup
7) Jij zelf bent aan het slapen dus je ziet de popup op je telefoon niet
8) De dief klikt gewoon op toestaan op de iPad popup en heeft nu volledig toegang tot je account en kan simpelweg het wachtwoord veranderen

Ik snap met andere woorden niet goed dat wanneer je op toestel A probeert in te loggen dat je dan ook op toestel A die popup krijgt. Zou het niet veiliger zijn dat wanneer je op A probeert in te loggen dat je dan enkel op toestel B die popup krijgt?

Iemand een idee?

Citaat:

Oorspronkelijk geplaatst door Frederik81 (Bericht 1031671)

5) Deze persoon neemt de iPad, logt in met jouw wachtwoord
6) 2FA schiet in actie en zowel op de iPhone als op de iPad komt de popup

In deze situatie verschijnt er op de iPad geen pop-up. Tenminste bij mij werkt dat zo.

Check dit: https://www.icloud.com/sharedalbum/#B0wGDdyTvGxsqql

Ik heb een vermoeden dat dit, toch wel een tekortkoming, zich enkel stelt bij (mobile) Safari.

Ik vind dat Apple ook in (mobile) Safari zou moeten checken of het verzoek niet komt van hetzelfde toestel. Indien het verzoek van hetzelfde toestel komt dan mag de 2FA popup niet naar dat toestel verzonden worden.

Wat denk jij?

Ik heb ook 2FA aan staan en zojuist mijn iPad ge-update naar de nieuwste iOS update. Ik kreeg netjes een iMessage op mijn iPhone met een verificatiecode. Daarna kreeg ik het scherm "iCloud instellingen bijwerken". Daarna werd er gevraagd om de toegangscode van mijn iPhone op te geven(?) dus de alternatieve code voor touchid van mijn iPhone. Heeft iemand dat ook gehad? Waar is dat voor nodig? Blijkbaar is de code van mijn telefoon dan dus opgeslagen in iCloud? Ik dacht dat je iPhone code lokaal bleef staan alleen op je toestel?