Apple-ID Traumabericht

Apple bietet unter appleid.apple.com die Option an, seine Apple-ID umzubenennen.Apple ID Rename

Obwohl sich das schon nach Schmerzen anhört, habe ich es gestern Abend in geistiger Umnachtung dennoch versucht – was alles schief gehen kann, könnt ihr nun hier lesen…

Apple-ID umbenennen

Man kann es sich vielleicht schon denken: Benennt man einfach mal frech die Apple-ID (Username, der identisch mit der primären Mailadresse ist) um, rennen sowohl OS X als auch iOS gegen die Wand.

“Natürlich” rechnen alle systemintegrierten Apple-Dienste nicht damit, dass sich die Apple-ID ändern könnte und prompten den User dementsprechend nur nach dem Passwort, nicht nach dem Username.

Während man unter OS X zumindest den alten iCloud-Account entfernen und sich neu anmelden kann, findet das finale Fuck-Up unter iOS 7 statt: Bei eingeschaltetem “Find My iPhone” ist auch Activation Lock aktiv, das an die Apple-ID gebunden ist.
Versucht man also, den iCloud-Account lokal zu entfernen, wird erst einmal gepromptet – natürlich ohne Möglichkeit, den Username zu ändern.

Sollte der User also seine Apple-ID geändert haben und auf die alte Mail-Adresse aus Gründen keinen Zugriff mehr haben, besteht für ihn meiner Ansicht nach keine Möglichkeit mehr, sein Telefon zu restoren / aktivieren / benutzen.

Passwörter besser nicht zu lang

Bei der Apple-ID endet die Katastrophe noch nicht: Ändert man das Passwort, kann man auf appleid.apple.com – solange die aufgelisteten Kriterien inkl. Mindestlänge für das Passwort erfüllt sind – ein beliebig langes Passwort eingeben, was bei mir durch 1Password 40 Stellen lang war.

Was passiert beim Anmelden in iTunes / auf iOS / OS X? Richtig, login failed. Durch Ausprobieren bin ich letztlich auf 32 Stellen Maximallänge gekommen.

Fazit: It will break.

Apple hält es anscheinend nicht für nötig, dem Device etwas wie ein Access-Token oder zumindest eine User-ID anstelle der vom Benutzer veränderbaren Apple-ID mitzugeben, wenn es sich bei Apple-Diensten anmeldet. Schwache Leistung. Dass nicht mal die Form-Validation ordentlich funktioniert, setzt dem Ganzen die Krone auf, ganz abzusehen davon, dass die Passwortlänge frei wählbar sein sollte.

Für beide Bugs habe ich ein Radar gefiled: Das erste wurde als Duplicate und kann aus Gründen nicht veröffentlicht werden, das Zweite findet sich hier.

Flattr this!