6月初,苹果表示,双因素认证将紧密集成到OS X 10.11 El Capitan和iOS 9中,但没有透露这意味着什么。当前的设置分散在不同的网站和方法上,以便当用户登录到苹果网站或使用苹果ID设置的苹果设备时,提供第二次一次性使用、限时代码或其他验证方法。
苹果今天发布了详细的解释从iOS 9和El Capitan的公开测试版开始,我们将介绍双因素认证的工作原理。
在其他变化中,恢复关键选项有绊倒的用户一名苹果发言人证实,在过去的一些情况下,苹果用户不得不放弃一个永久不可用的苹果ID,现在已经被删除。在新系统中,苹果客户支持将对失去所有可信任设备和电话号码访问权限的用户进行详细的恢复过程。
双因素身份验证系统可以阻止或挫败远程登录账户的企图,因为攻击者不仅需要有密码,还需要访问目标账户的设备、计算机或电话号码。这将黑客从“批发”变成了“零售”:除非在底层系统中发现漏洞,否则每个受保护的账户必须一次破解一个。
更长的代码,更简单的过程
在现有的系统中,您必须至少设置一个iOS和OS X系统作为“可信设备”,但数量不限。这些信息会出现在你的苹果ID账户的列表中,你也可以在OS X的iCloud系统偏好设置中,通过点击账户详细信息,以及iOS 9的> iCloud >账户设置中删除。您还必须验证至少一个电话号码作为备份。
目前,手机必须接收短信,但在这次更新中,手机可以接收短信或电话,这意味着可以选择让自动系统大声说出代码,这是其他双因素系统的典型做法。
目前的系统被苹果称为“两步”,在登录时需要额外的一步(讽刺的是)。当你在苹果网站登录,支持两步,进入一个苹果ID账户名和密码后,弹出对话框或某种类型的屏幕提示您选择一个值得信赖的设备或受信任的四位数字代码发送的电话号码,然后输入代码后一步。
在El Capitan和ios9的新系统中,不再需要指定发送代码的设备。苹果表示,在输入账户名和密码后,所有运行新操作系统的受信任设备都将显示一个6位数的验证码。和之前一样,这段代码只有在iOS设备或OS X系统解锁时才会出现。苹果表示,用户可以选择在代码输入页面上点击“没有获得代码?”,将代码发送到受信任的手机。
虽然苹果没有具体说明,但在目前的系统中,只有部分苹果网站和系统需要两步操作。苹果开发者;iTunes Connect系统的用户可以上传书籍、音乐和应用程序;还有一些网站允许用户只需要一个账户名和密码就可以登陆,即使是支持两步操作的账户也是如此。这可能会改变,作为这个集成的一部分,因为这些都是漏洞,可以利用狡猾的破坏者。
目前的两步方法将继续无限期地工作,这样既不会降低老用户的安全性,也不会破坏系统。当使用iOS 8或更早版本或OS X 10.10 Yosemite或更早版本时,验证字段不会出现。相反,在尝试使用苹果ID和密码登录,并在受信任的设备上显示验证码后,用户需要再次登录,并在“密码”字段的“密码”末尾附加6位数字代码。只有El Capitan和iOS 9设备会显示6位数代码。
使用电话号码作为双因素系统的一部分为用户提供了更好的灵活性,但它也为个人目标提供了一个机会。短信系统并不是为安全和完整性而设计的,iOS 8和约塞米蒂的短信中继选项允许世界各地的iPhone用户通过登录同一iCloud账户的电脑接收短信。(参见“私人我(2014年10月23日)
恢复键结束
目前的两步系统依赖于两个因素,但也包括恢复帐户访问权限的第三个要素:恢复键。14个字符的恢复密钥是在两步注册过程中生成的,用于备份。如果您忘记了密码或失去所有可信任的设备和你的电话号码(但不是两个),恢复密钥是唯一的方法来恢复你的苹果ID帐户。
如果没有它,与该ID关联的数据和购买将永远丢失。如果苹果公司认为你的账户受到了攻击并重置了你的密码,也会触发这一功能。一些报道指出,苹果的客户服务可以在没有恢复密钥的情况下重置账户,但它似乎只能在有限的情况下使用,而且需要技术支持人员的斟酌。
在新的双因素认证系统中,苹果确认恢复密钥已经消失。相反,苹果提供了更一般性的指导,指出如果你“无法登录、重置密码或接收验证码”,你可能需要通过它所谓的小写“账户恢复”。
FAQ中描述的过程将有助于克服社会工程和身份盗窃,在过去的几年里,许多网站的用户账户被广泛描述为进入用户账户的方式。苹果会通过一个“经过验证的电话号码”与你取得联系,人们会认为这个号码与你的苹果ID账户有关——值得注意的是,一个人可以在这个号码上关联多个号码。
这一过程大致被描述为审查一个人的案件,然后需要提供详细信息来证明你是苹果ID账户的合法所有者。FAQ中写道:“该程序旨在让你尽快回到自己的账户,同时拒绝任何可能伪装成你的人的访问。”
不是立即对所有beta测试者可用
在测试期间,并不是每个帐户都有资格注册。苹果公司表示,“个人账户将逐渐符合资格,直到我们可以为每个人提供这项服务。”
如果一个账户符合条件,用户在安装助手的公开测试版上用苹果ID登录后会收到警告。苹果表示,如果用户可以选择加入,将会看到一个“双重认证”屏幕。
这篇文章,“苹果在El Capitan和ios9的新双因素认证中掉落恢复键”最初发表于Macworld 。