iCloud Keychain

Mit dem Release von OS X Mavericks hat Apple nun auch den iCloud Schlüsselbund (KeyChain) eingeführt. Den Dienst können alle iOS Geräte ab iOS 7.0.3, und alle Mac’s mit OS X Mavericks verwenden.

Die klassische Funktionalität des Schlüsselbundes, sensible Informationen wie Zugangsdaten oder Kreditkarteninformationen zu speichern, wird um die Möglichkeit erweitert die hinterlegten Daten über alle angebundenen Geräte synchron zu halten. Der damit erlangte Vorteil, die geheimen Daten dann im Zugriff zu haben wenn diese benötigt werden, zum Beispiel für die Anmeldung an einen Internetdienst, kann aber auch unerwünschtes Verhalten provozieren.

In einem Test von Heise Security buchte sich der an dem iCloud Schlüsselbund angebundene Mac Mini automatisch in das WLan ein, dessen Zugangsdaten zuvor im iPhone erfasst wurden.

Für die Sicherheit des iCloud Schlüsselbundes sollen neben einem Master-Passwort für das entsperren des Schlüsselbundes, auch zusätzliche Bestätigungsmechanismen sorgen. Vorsicht ist bei der Einrichtung des iCloud Schlüsselbundes über das iPhone geboten, hier schlägt Apple vor den vierstelligen Sperrbildschirm PIN (falls vorhanden) zu verwenden. Einer vierstelligen PIN sollte man den Zugang zu allen persönlichen Passwörtern nicht anvertrauen! iOS bietet, etwas versteckt, auch die Möglichkeit ein komplexeres Passwort zu setzen, was sehr zu empfehlen ist.

Sympathischer scheint die Möglichkeit den Schlüsselbund auch ohne die Anbindung an die iCloud zu verwenden, so sollen sich laut einem Apple Support Dokument die Geräte auch nur über das WLan synchronisieren lassen.

Can I set up iCloud Keychain so that my data isn’t backed up in the cloud?

Yes. When setting up iCloud Keychain, you can skip the step for creating an iCloud Security Code. Your keychain data is then stored only locally on the device, and updates only across your approved devices.

Important: If you choose to not create an iCloud Security Code, Apple will not be able to recover your iCloud Keychain.

Leider schlug der Test dieser Funktion bei Ars Technica fehl.

Fazit

Die Sicherheit des Schlüsselbundes steht und fällt mit der Komplexität des Passworts dass den Zugriff auf den Schlüsselbund gewährt! Insbesondere Unternehmen sollte die Funktionalität über das MDM deaktivieren.

2014

2013

2012