ReadWrite

苹果如何使用户易受iCloud盗窃

苹果公司现在表示,黑客通过攻击女性名人的iCloud帐户进行裸照或以其他方式泄露照片的行为,这并不是它的错。公司 称事件 “针对用户名,密码和安全性问题的针对性很强的攻击”,其云存储服务中没有任何潜在的漏洞。

可能是这样,随着调查的继续,我们会知道更多。但是,苹果仍然应承担很大的责任-如果不是因为iCloud中的安全漏洞,那是因为使用户保护自己免受iCloud帐户的攻击变得不合理地困难。

也可以看看: 让我们清理一下Apple的多云照片流

苹果为可访问iCloud的Apple ID帐户提供了一些强大的安全保护。但这并不“奏效”。 [更新: 它也不保护一切。在下面。 设置它可以使您更容易将自己意外地永远锁定在Apple ID帐户之外。

苹果用户:两方面因素!

苹果公司在照片盗窃案中的声明包含以下标准内容:“为防止此类攻击,我们建议所有用户始终使用强密码并启用两步验证。”这是合理的建议,默认情况下,Apple已经要求使用相当安全的密码。

苹果还提供了双重身份验证,通过在登录过程中增加第二步来增强安全性。基本上,您在Apple上注册了手机号码;之后,每次登录时,Apple都会向您发送安全密码,并输入密码。 (您也可以通过在Apple的“查找我的iPhone”服务中注册的任何iDevice来获取这些安全代码。)

此过程可确保没有人无法访问您的帐户-这是确保您输入密码的一种很好的方法。麻烦的是,Apple使得采用两因素身份验证的方式注册的难度比应有的困难。而且听起来还有些吓人。

也可以看看: 两要素身份验证非常出色,直到您丢失该死的令牌为止 

[更新: 事实证明,即使是两因素身份验证 没有提供应有的保护。目前,如果您要更改Apple ID设置,获得Apple ID支持或使用新设备从iTunes,iBooks或App Store购买商品,Apple仅要求输入验证码。具体来说,通过新计算机访问iCloud备份确实  触发身份验证请求,尽管据报道Apple正在测试该功能。]

首先,Apple并未完全宣传两因素身份验证的存在。苹果在声明中指示人们 该知识库页面 有关更多信息,事实证明这是Apple公共站点上唯一提及的安全方法之一。您也可以通过在以下设置中进行挖掘来找到它 您的Apple ID;它列在“密码和安全性”标签下。

现在,乐趣开始了。在Apple上注册您的手机号码-它必须是真实号码; Google语音和类似的基于Internet的电话号码会让您垂涎三尺,并且您会收到如下通知:

那就对了。苹果让你等 整整三天 在保护您的帐户之前。即使这样,您也可以返回帐户设置以“继续设置”。

从Google和Microsoft到Facebook和Twitter,我几乎在提供它的每个主要互联网服务上都使用两因素身份验证,而且从未见过像这样的等待期。我对苹果公司的新闻办公室进行了询问,但像在iCloud攻击后注册了双重身份验证的人们一样,我仍在等待。

从一种角度看,这些都不是特别令人惊讶。毕竟,苹果最初启用双重身份验证的速度非常慢。 Google提供了整整两年的时间 在苹果公司解决它之前。

您还必须记得,Apple仅在 有线记者Mat Honan的史诗般的骇客,他们将iPhone,iPad和MacBook的内容丢失给了黑客,这些黑客通过社交手段进入了他的Apple帐户,并擦除了他的设备。苹果公司对该黑客事件采取了很多措施,为了确保没有攻击者在未经您同意的情况下激活两因素身份验证可以将您锁定在自己的帐户之外,苹果对此反应有些过大。

就是说,此设置对用户而言是极大的障碍,并且是提高帐户安全性的糟糕方法。诸如众所周知的iCloud攻击之类的动机促使人们保护自己的帐户之后,三天后很容易忘记了这一切。即使他们还没有,登录到您的AppleID帐户以完成两因素设置也肯定比事后紧迫。

现在,您更加安全-当心!

假设您等了三天,就收到了Apple的通知,并完成了两因素身份验证的设置。恭喜你!您更加安全。

您还增加了将自己锁定在Apple帐户之外的可能性。永久性。

激活两因素身份验证时,Apple会放弃安全性问题,这些问题是恢复丢失密码的常规备份。这是苹果公司可以理解的,甚至是值得称赞的举动,因为安全问题通常比攻击者更容易被攻击者猜测。那就是大学生的样子 进入Sarah Palin的Yahoo电子邮件 在2008年,以及加州男子如何 闯入了3000多名女性的电子邮件帐户,然后他在他的Facebook帐户中发布了一些他发现的色情照片。 (安全性问题可能在iCloud攻击中起了类似的作用。)

但是,除了安全性问题外,Apple给您的是14个字符的“恢复密钥”。 苹果鼓励您打印出来,进行复印并将它们安全地存储在家里或办公室中。难怪:如果您丢失了手机却找不到此密钥,则说明您的Apple帐户已被窃听。 

我的意思是 胶管。如 苹果说 (emphasis added):

如上所述,两步验证至少需要以下两项才能成功登录:

•您的Apple ID密码
•访问您信任的设备之一
•您的恢复密钥

如果您永久丢失了其中两项, 您将无法登录或重新获得对帐户的访问权限。您将需要创建一个新的Apple ID。您可以在其中一台设备或网络上通过以下方式进行操作: 我的Apple ID.

如果您是那种可以将恢复密钥打印出来的文件,并且不怕以后需要时找到它的人,那根本就不会打扰您。但是,对于其他任何人来说,丢失应用程序购买历史记录,iPhone备份和照片,甚至可能丢失电子邮件的前景可能令人不安,甚至令人恐惧。

您甚至可能认为有足够的理由完全避免两因素身份验证。尽管这完全是可以预见的结果,但这肯定不是Apple以此方式建立其安全系统的意图。

太平洋时间上午10:35更新 以及有关两因素身份验证可以保护(或不保护)的更多信息。

引导图片 伊万·班杜拉(Ivan Bandura); David Hamilton的屏幕截图,用于ReadWrite