对于 Apple 用户来说, 忘记 Apple 账户密码并不是什么大问题. 如果你把密码忘了, 有很多选项可以让你恢复对账户的访问权限. 如果你的帐户未开启双因素身份验证模式, 则可以通过回答安全问题以快速重置密码, 或使用 iForgot(苹果的 Apple ID 密码重设服务)恢复对你帐户的访问权限. 如果你已经设置了双因素身份验证来保护你的 Apple 帐户, 你可以在几秒钟轻松更改密码.
以上, 我们所讲的是双因素身份验证 (2FA) 中的第一个验证因素, 也就是密码验证缺失的情况下, 所有的应对策略. 综上所述, 重设它们是个很简单的事情. 但如何应对第二个身份验证因素缺失的情况呢? 如果你出国旅行时, 手机被盗, 则就无法收到发到你手机上的第二个身份验证因素, 比如 PIN, 签名或 ID. 还有就是, 黑客通过中间人 (MitM) 攻击, 终端人 (Man-in-the-endpoint) 攻击, 2FA 暴力攻击或 SIM 卡交换伪装成用户, 则会出现更糟糕的情况, 比如你的网络支付账号被盗等.
因此, 如果你无法访问第二个身份验证因素, 我会在下面详细介绍应对之策, 并比较在 Apple 和 Google 生态系统中重新获得对帐户的控制权的过程.
Apple 帐户的双因素身份验证主要应用在哪些地方?
双因素认证是一种采用时间同步技术的系统, 采用了基于时间, 事件和密钥三变量而产生的一次性密码来代替传统的静态密码.
Apple 团队引入了双因素身份验证 (2FA) 功能, 该功能为 Apple ID 提供了最大程度的保护. 双因素身份验证的想法是为人们的 Apple ID 或 iCloud 帐户添加额外的安全层, 即使有人发现了其密码. 启用后, 该功能仅允许从受信任设备访问帐户. 启用 2FA 后, Apple ID 所有者将首次收到有关尝试使用相同 Apple ID 登录新设备的通知. 要批准登录新设备, 将要求用户输入密码和验证码(六位验证码), 该验证码将发送到可信设备.
1. 登录 Apple 帐户;
1.1 登录 Apple 帐户不止需要使用登录名和密码, 还需要第二个身份验证因素;
1.2 只有使用你的第二个身份验证因素, 你才可以更改或重置登录的密码;
2. 出厂重置 iPhone, 关闭 iCloud Lock;
2.1 使用登录名和密码后, 你可以使用 Apple ID 密码禁用 iCloud Lock;
2.2 使用第二个身份验证因素, 你可以更改或重置 Apple ID 密码, 然后重置手机并禁用 iCloud Lock;
3. 从 iCloud 备份恢复新设备;
3.1 使用登录名和密码后, 你仍然需要第二个身份验证因素, 才能从 iCloud 备份恢复新设备;
3.2 使用你的第二个身份验证因素后, 你才可以更改或重置密码, 然后设置新设备.
4. 如果你丢失了密码, 可以有多种选项来恢复?
4.1 如果你至少有一个受信任的设备作为你的第二个身份验证因素, 那么你可以更改密码.
4.2 你可以使用 iforgot.apple.com 重置密码, 如果你的某个设备仍然可以通过 2FA 机制接收推送通知, 则重置密码的时间不会超过一分钟.
4.3 如果你仍然可以访问第二个身份验证因素(无论是可信设备还是具有可信电话号码的 SIM 卡), 还有许多其他选项可让你重置 Apple ID 密码.
丢失密码的安全后果
如果你还没有丢失第二个身份验证因素, 只是丢失 Apple ID 密码, 则你的个人信息不会产生什么严重的后果.
目前, 没有第二个身份验证因素的唯一 Apple 服务是 "查找我的电话". 最糟糕的情况是, 恶意的人可能会远程锁定在 Apple ID 上注册的所有设备 (你可以解锁并更改 Apple ID 密码) 或远程擦除你的设备(在这种情况下, 你会丢失数据, 但通过更改 Apple ID 密码即可解决此问题).
第二个身份验证因素是什么?
以下项目都需要用到你的第二个身份验证因素:
1. 你的 iPhone,iPad,iPod Touch 或 Mac 计算机已登录 Apple ID;
1.1 只有当你可以解锁时(使用 Touch ID, 面部识别码或密码);
1.2 通过设置> Apple ID > 密码和安全提供离线代码;
1.3 将在线代码发送到你的设备上(如果有 Internet 连接);
1.4 在 iOS 11.3 或更高版本的 iPhone 上, 用户可能不需要输入验证码. 在某些情况下, 可信的电话号码可以在 iPhone 的后台自动验证;
2. 你信任的电话号码;
2.1SIM 卡接收短信或电话;
2.2 必须在 Apple ID 中注册至少一个可信电话号码才能使用 2FA;
2.3 你可以将多个电话号码注册为可信号码;
2.4 任何可信赖的电话号码都可用于更改或重置 Apple ID;
2.5 每个可信设备都使用唯一的验证码;
不知道你有没有注意到, 只有你的 Apple 设备或你信任的电话号码才能成为你的第二个身份验证因素. 没有可以备份的有二维码, 也没有 Windows / Android 设备可用作备份.
这意味着, 如果你只有一台 Apple 设备 (比如 iPhone 或 iPad mini)) 和一个可信赖的电话号码, 且突然失去两者的访问权限, 则会发生以下很严重的情况.
有趣的是, 失去第二个身份验证因素是一个真正无法解决的挑战. 这意味着, 即使你知道自己的帐户名和密码, 也会失去对所有可信设备和可信电话号码的访问权限.
在 Apple 环境中, 丢失第二个身份验证因素的安全后果
如果你丢失了第二个身份验证因素, 可能会产生严重后果.
1. 如果你丢失了那些装有 SIM 卡的 iPhone,iPad 或其他苹果设备, 攻击者必须先将其解锁才能可能访问第二个身份验证因素. 如果你使用安全锁定屏幕, 则成功解锁的可能性很低.
2. 如果你丢失了受信任的 SIM 卡(无论有没有 iPhone), 攻击者可能能够重置你的 Apple 帐户密码, 远程锁定或擦除你的其他设备, 下载你的 iCloud 备份和一些同步数据(例如日历, iCloud 邮件, 照片等).
不过, 攻击者无法访问以下任何内容:
1. 存储在 iCloud 钥匙串中的密码;
2. 你的健康数据(如果你使用的是 iOS 12.0 或更高版本);
3. 你的消息(短信和 iMessage 历史);
4. 一些应用数据(例如身份验证信息, Gmail 消息, 聊天日志等);
帐户恢复
对于苹果用户来说, 一个非常常见的情况是, 他们在旅途中丢失了唯一一部 iPhone. 如果没有双因素身份验证, 替换设备就像购买一个新设备并从云备份中恢复一样简单. 然而, 如果用户设置了双因素身份验证, 由于缺乏可信任的设备和丢失了唯一可信任的 SIM 卡, 则情况就很糟糕了.
通过双因素认证, 苹果引入了一种自动恢复账户访问的方法. 在大多数情况下, 需要很长时间的等待. 提供一些额外的信息, 比如注册的电话号码, 理论上可以加快恢复速度.
建议用户访问 iforgot.apple.com 并按照提示操作. 即使该过程是自动化的, 恢复也可能需要很长时间. 根据 Apple 的说法:
如果你使用双因素身份验证且无法登录或重置密码, 则可以在帐户恢复等待期后重新获得访问权限. 结束等待后, Apple 会给你发送一条短信, 提示你重新进入你的账户. 此时你可以按照说明, 立即重新获得对 Apple ID 的访问权限.
保护儿童帐户: 家庭共享, 屏幕时间和双因素身份验证
根据苹果官方网站的表述:
Apple 家人共享可让最多六位家庭成员轻松共享 iTunes,iBooks 和 App Store 购买内容, Apple Music 家庭会员资格和 iCloud 储存空间方案. 您的家人还可以共享相簿, 日历和提醒事项, 甚至帮助定位彼此丢失的设备.
简单来说就是, 启用 "家人共享" 可为你和最多 5 位家人提供以下服务:
1, 绝大多数收费 App 只需购买一次, 在家人间实施共享即可;
2, 只需付一个账号的费用, 家人即可获得自己的 Apple Music 会员资格;
3, 以实惠的价格共享 iCloud 云存储空间, 当然, 无需担心个人隐私问题;
4, 家人间的位置共享;
5, 支持为 13 周岁以下儿童设置独立儿童账户;
6, 支持共享相簿, 日历, 提醒事项;
苹果建议所有人, 包括未成年人, 在他们的个人设备上使用自己的苹果 id. 将孩子添加到你的家庭共享帐户中, 还可以通过启用屏幕时间来控制他们如何使用自己的设备. 为了让你能够通过 iCloud 远程控制孩子的设备, 你将被迫向孩子的帐户添加两个因素的身份验证.
把 13 岁以下的孩子加入你的家庭是一个单向的选择, 出于未知的原因, 苹果不允许将未成年儿童从家庭共享中移除(甚至不允许解散家庭). 因此, 如果你的孩子无法同时使用他们唯一的设备和他们信任的电话号码, 则你可能会被家里一个不活跃的苹果 ID 卡住. 如果你没有为你的孩子注册一个非 icloud 的电子邮件, 那么 "yourchild@icloud.com" 不仅是他们的苹果 ID, 也是他们唯一的电子邮件地址.
谷歌如何处理二次认证
当涉及到双因素身份验证时, 谷歌几乎与 Apple 完全相反. Google 不会将你绑定到任何特定的生态系统, 允许你使用任何设备作为你的第二个身份验证因素. 下面就是我列出在 Google 世界中可以充当 2FA 的项目:
1. 你的 Android 手机或平板电脑已登录你的 Google 帐户并配置为接受 2FA 推送提示;
1.1 只有你可以解锁它(生物识别, 密码, 模式等);
1.2 默认情况下, 设备上不会生成离线代码(你可以单独设置它们);
1.3 将在线提示内容发送到你的设备上(如果有 Internet 连接), 只需点击 "是" 即可通过 2FA;
1.4 始终在服务器端执行身份验证;
2. 你信任的电话号码;
2.1SIM 卡接收短信或电话;
2.2 谷歌并不认为 SIM 卡和短信是双因素身份验证的安全手段, 试图让用户远离使用短信 2FA
2.3 你可以将多个电话号码注册为可信号码
3. 身份验证应用程序;
3.1 使用行业标准的 TOTP 协议;
3.2 所有可用的认证应用程序;
3.3 兼容不同的开发商, 包括谷歌, 微软, 小米和独立开发商;
3.4 所有这些都可以以二维码的方式提供;
3.5 二维码可以保存并重复使用多次, 以初始化新的身份验证应用程序;
3.6 二维码可以存储在云端(不同的账户), 允许远程访问;
3.7 二维码可以随时从谷歌账户中被删除;
4. 备份代码可打印, 存放在安全的位置;
5. 安全密钥(FIDO U2F 或内置于手机中);
6. 如果你要求不再在该计算机上提示输入 2FA 代码, 则可以直接使用密码登录 Google 帐户
对于 Google 帐户来说, 如果你丢失了第二个身份验证因素会发生什么情况?
谷歌已经认识到了用户的手机丢失或被盗后无法获得 2FA 代码的问题, 并对这个问题进行了全面的阐述, 具体请看《两步验证的常见问题》. 谷歌通过建议你使用备份选项登录到你的谷歌帐户来解决此问题, 由于谷歌提供了更广泛的二级身份验证因素选择, 所以这个建议非常具有实操性.
如果没有任何备份选项可用, 而你仍然可以使用计算机, 则可以将该计算机的 web 浏览器用作第二个身份验证因素. 如果你已在计算机中登录自己的 Google 帐户 (例如在 Chrome 浏览器中) 并且要求 Google 不再提示该设备上的 2FA 代码, 则只需打开 Google 两步验证页面, 输入你的 Google 帐户密码并重置双因素身份验证选项即可. 例如, 你可以生成一组新的备用验证码, 以便你在新的 Android 手机上立即登录 Google 帐户, 这将成为你的新的第二个身份验证因素. 如果你无备份选项可以用, 并且仍无法访问具有可信 Web 浏览器的计算机, 则必须执行自动帐户恢复过程. 在我们的测试中, 不仅恢复尝试不成功, 而且谷歌暂时阻止了对我们试图恢复的测试帐户的访问, 要求我们更改密码.
通过 Family Link 重新访问 Google 子帐户
就像 Apple 一样, Google 还允许用户创建一个家庭共享账户. 谷歌在 2017 年推出了 Family Link, 为 13 岁以下儿童提供自己的 Google 帐户, Family Link 在技术上适用于拥有现有 Google 帐户的任何人. 在 Android 设备上, Google Family Link 提供与 Apple Screen Time 类似的功能, 允许你控制孩子使用 Android 设备的方式.
不过 Google 采用了一种非常不同的方法来保护儿童帐户, 虽然 13 岁以下的儿童无法设置帐户以使用双因素身份验证, 但这并不意味着任何知道密码的人都可以登录. 要登录孩子的帐户, 必须先由一名授权的成人监督员批准登录. 成人必须输入谷歌帐户密码 (并通过 2FA) 才能授权儿童登录.
如果孩子丢失了他们唯一的 Apple 设备和他们唯一受信任的电话号码, 那么在 Apple 的世界中, 他们将被拒绝访问他们的 Apple 帐户, 他们的父母也几乎无法 (或根本无法) 重新控制这些账户.
而 Google 为了权衡安全性和便利性之间的关系, 为父母或法定监护人提供了一种重新控制孩子账户的简单方法: 即通过 Family Link 应用程序立即重置孩子的密码.
总结
Apple 和谷歌都有自己的双因素身份验证实现过程, 在本文中, 我们回顾了在这两种环境中, 用户在知道第一个验证因素 (密码) 的情况下, 失去第二个身份验证因素时所产生的后果及恢复方法的差异. 此外, 我们还回顾了苹果和谷歌生态系统在访问子帐户方面的差异.
来源: http://www.jianshu.com/p/68e022f9eb65