Apple 的 iCloud 身份验证系统如何在使用浏览器时无法保护您的帐户
2019 年 4 月 15 日更新: Apple 表示问题不在于 iCloud 的双因素系统,而在于处理浏览器的方式。一位代表解释说,浏览器被视为单独的受信任设备,因此会将代码发送到所有其他设备,包括您正在使用的设备。
对于 iCloud 帐户和 Apple 设备,双因素身份验证与任何其他设备或帐户上的双因素身份验证有很大不同。按照 Apple 的方式,iPhone 或 Mac 上的 2FA 已融入到您拥有的设备中,从而建立一个理论上与安全密钥一样安全的系统。除非不是。
这是它的工作原理。当您尝试在 iPhone 上登录 iCloud 或 Apple Music 帐户时,系统首先会提示您输入密码。一旦被识别,您将被要求输入一个已发送到您的受信任设备(例如 iPad)的代码。您会在 iPad 上收到一条消息,通知您有人正在尝试登录您的帐户,并询问您是否允许。然后您将收到一个六位数的代码,您可以将其输入到 iPhone 上的框中。
如果您没有收到验证码(这种情况时有发生),您可以请求标准短信验证码或使用 iPhone 上的”设置”应用或”系统偏好设置”中随机生成的验证码之一。只需点击 iPhone 上的 iCloud 名称或 Mac 上的”帐户详细信息”,然后点击”密码和安全”,然后点击”获取验证码”。将出现一个六位数的代码,可以将其输入到其他设备上的相应框中。
虽然苹果似乎已经涵盖了所有 2FA 基础,但其专有的可信设备系统并非没有缺陷。其一,当您拥有多台 iOS 设备时,它的效果最佳。它不仅通过引入第二个设备来增加额外的保护层,而且是真正的 2FA,将您知道的东西(您的密码)与您拥有的东西(您的设备)配对。
安全系统中的漏洞
但如果你只有一台苹果设备,那你就有点运气不好了,这就是麻烦开始的地方。例如,如果 iPhone 是您唯一的 Apple 设备,那么您基本上将无法使用短信。显然,您无法在其他 Apple 设备上获取代码,但 Apple 将受信任设备限制为运行 iOS 9 及更高版本的 iPhone、iPad 或 iPod touch,或者运行 OS X El Capitan 及更高版本的 Mac。这意味着您无法使用 PC、Chromebook 或 Android 手机,这是一个主要限制。由于您将在”设置”应用中登录 iCloud,因此您也无法使用内置身份验证器选项卡获取验证码。
IDG
当您需要使用浏览器登录 iCloud 帐户时,您的 2FA 代码将转到同一设备。
虽然您在技术上通过 2FA 保护您的帐户和服务,但这是最不安全的方式。欺骗和直接窃取基于文本的代码的问题已有详细记录。诚然,大多数 Android 用户也在手机上使用这两个选项之一,但至少他们可以选择下载具有生物识别功能的身份验证器。由于 Apple 尚不支持 iCloud 的硬件安全密钥,因此您别无选择,只能使用第二台 Apple 设备。
如果单台 Apple 设备上的 iCloud 2FA 实施效果不佳,那么当您需要通过网络管理帐户时,它就完全有缺陷。当您输入密码登录 Apple ID 帐户页面时,无论该密码是否存储在 iCloud 钥匙串中,Apple 都会自动提示您输入 2FA 代码,这是理所应当的。
但是,该代码会发送到您所有受信任的设备,包括您正在使用的设备。如果您在 Mac 上使用 Safari,2FA 代码将在同一屏幕上弹出,这有点违背了目的,并且如果您的 Mac 被盗,您最敏感的数据将很容易受到攻击。这意味着其他人只需要您的 Mac 密码(因为大多数型号没有 Touch ID),并且假设您在 Apple ID 页面上启用了 iCloud 钥匙串,他们就可以访问您的整个帐户。
无论您在何处登录(iPhone、Mac、PC),Apple 都会将您的 2FA 代码发送给尝试从您的可信设备之一登录您帐户的任何人。 Apple 告诉我,问题不在于 iCloud 的双因素系统,而在于处理浏览器的方式。正如一位代表所解释的那样,在 iCloud 2FA 下,浏览器被视为单独的受信任设备,这就是代码被发送到您正在使用的同一设备的原因。这是有道理的,但它仍然给用户一种错误的安全感,并使 Apple 原本强大的 2FA 系统变成了安全性较低的 1FA 系统。