- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Одноразовый код двухфакторной аутентификации
Итак, мы рассмотрели четыре пароля, которые защищают разные аспекты экосистемы Apple. Однако если в случае с iPhone даже слабого пароля может быть достаточно просто из-за того, что к телефону нужно еще получить физический доступ, то защита онлайновой учетной записи одним лишь паролем давно показала свою несостоятельность. Яркий пример — , событие, которое заставило Apple поторопиться и выпустить сырую версию двухфакторной аутентификации под названием Two-Step Verification.
Сегодня Apple использует гораздо более технически продвинутую и безопасную схему, которая называется просто и бесхитростно — Two-Factor Authentication, или . В этой системе есть возможность настроить любое устройство Apple (и только Apple) в качестве доверенного «второго фактора». Кроме того, пользователю обязательно придется добавить хотя бы один доверенный телефонный номер на тот случай, если единственное устройство Apple будет утеряно или украдено.
Система оказалась сильной и достаточно безопасной, и в Apple решили этим воспользоваться. Неожиданно «второй, дополнительный» фактор аутентификации получил в нагрузку возможности, позволяющие проделывать ряд вещей, которые в других системах считаются дурным тоном.
Нравится тебе это или нет, но двухфакторную аутентификацию придется включить, если ты хочешь получить доступ к любому из перечисленных ниже сервисов:
Какое значение придает Apple двухфакторной аутентификации, понятно из того, что с помощью второго «дополнительного» фактора легко можно сбросить пароль от Apple ID / iCloud. А вот если потерять доступ ко всем носителям «дополнительного» фактора (включая устройства Apple и доверенный телефонный номер — что на самом деле просто, если ты в заграничной поездке), то получить доступ к собственной учетной записи не выйдет. Точнее, этого можно будет добиться, заполнив заявку, и после длительного (несколько недель) ожидания доступ к учетной записи может быть (а может и не быть) предоставлен.
Если доступ ко второму фактору аутентификации утрачен
Если доступа ко второму фактору аутентификации нет, наступят грустные последствия:
Если доступ ко второму фактору аутентификации имеется
Если же у тебя есть доступ ко второму фактору аутентификации, можно проделать следующие вещи:
Политики безопасности, ограничивающие использование слишком простых паролей, различаются для всех четырех (с половиной) паролей.
Реакция на попытку перебора
Большинство пользователей, забывших тот или иной пароль, попытается вспомнить его, попробовав ввести все множество ранее использованных паролей. Реакция системы на подбор пароля будет отличаться в зависимости от того, какой именно пароль ты попытаешься подобрать.
Заключение
В статье мы попытались разобраться в запутанных взаимоотношениях между четырьмя (с половиной) паролями Apple. Если тебе кажется, что после этой статьи ты понимаешь еще меньше, чем до нее, — это совершенно нормально: о том, каким образом одни пароли влияют на другие, могут уверенно рассуждать разве что работники Apple, которые эту систему проектировали. С нашей точки зрения, созданная Apple система продумана не до конца и местами нелогична. Самыми нелогичными решениями Apple нам представляются возможности сброса пароля от резервной копии iTunes и пароля от iCloud посредством одного лишь кода блокировки экрана. Система безопасности, созданная Google, кажется нам гораздо более стройной и логичной (о ней мы обязательно напишем в будущем).
Создается ощущение, что ряд правил и возможностей вводились компанией либо под давлением пользователей («Как мне сбросить пароль от резервной копии? Что, совсем никак? Ну вы…»), либо при попытке быстро закрыть обнаруженную дыру в безопасности. Такой подход не позволяет нам искренне похвалить созданную в Apple систему безопасности пользовательской экосистемы. В то же время понятны и причины, по которым компании пришлось пойти на компромиссы.
К сожалению, компания не смогла выдержать баланс между удобством и безопасностью, придав чрезмерное значение одним факторам безопасности (код блокировки экрана и второй фактор аутентификации) и принизив значение других (пароль от iCloud, который можно узнать или сбросить, если есть доступ хотя бы к одному другому паролю или второму фактору аутентификации). Такой перекошенный баланс делает бесполезным и бессмысленным использование сложных паролей к резервной копии (зачем, если его можно сбросить в пару кликов?) и паролей от iCloud (зачем, если есть второй фактор аутентификации, а сам пароль можно легко сбросить с устройства?).
Итак, мы рассмотрели четыре пароля, которые защищают разные аспекты экосистемы Apple. Однако если в случае с iPhone даже слабого пароля может быть достаточно просто из-за того, что к телефону нужно еще получить физический доступ, то защита онлайновой учетной записи одним лишь паролем давно показала свою несостоятельность. Яркий пример — , событие, которое заставило Apple поторопиться и выпустить сырую версию двухфакторной аутентификации под названием Two-Step Verification.
Сегодня Apple использует гораздо более технически продвинутую и безопасную схему, которая называется просто и бесхитростно — Two-Factor Authentication, или . В этой системе есть возможность настроить любое устройство Apple (и только Apple) в качестве доверенного «второго фактора». Кроме того, пользователю обязательно придется добавить хотя бы один доверенный телефонный номер на тот случай, если единственное устройство Apple будет утеряно или украдено.
Система оказалась сильной и достаточно безопасной, и в Apple решили этим воспользоваться. Неожиданно «второй, дополнительный» фактор аутентификации получил в нагрузку возможности, позволяющие проделывать ряд вещей, которые в других системах считаются дурным тоном.
Нравится тебе это или нет, но двухфакторную аутентификацию придется включить, если ты хочешь получить доступ к любому из перечисленных ниже сервисов:
- синхронизация паролей в iCloud («Облачная связка ключей»);
- синхронизация сообщений (SMS и iMessage), данных «Здоровья» и «Экранного времени» в iCloud;
- возможность сбросить забытый пароль от iCloud / Apple ID.
Какое значение придает Apple двухфакторной аутентификации, понятно из того, что с помощью второго «дополнительного» фактора легко можно сбросить пароль от Apple ID / iCloud. А вот если потерять доступ ко всем носителям «дополнительного» фактора (включая устройства Apple и доверенный телефонный номер — что на самом деле просто, если ты в заграничной поездке), то получить доступ к собственной учетной записи не выйдет. Точнее, этого можно будет добиться, заполнив заявку, и после длительного (несколько недель) ожидания доступ к учетной записи может быть (а может и не быть) предоставлен.
Если доступ ко второму фактору аутентификации утрачен
Если доступа ко второму фактору аутентификации нет, наступят грустные последствия:
- Доступ к учетной записи Apple ID и к iCloud невозможен, даже если пароль от iCloud известен. Исключения — функция Find My и отвязка сброшенного телефона от iCloud; в обоих этих случаях достаточно одного лишь пароля от iCloud.
- Возможно, тебе удастся восстановить доступ к учетной записи Apple через официальную процедуру. Это долго (несколько недель), а результат не гарантирован.
Если доступ ко второму фактору аутентификации имеется
Если же у тебя есть доступ ко второму фактору аутентификации, можно проделать следующие вещи:
- Сбросить пароль от iCloud / Apple ID с доверенного устройства (оно выступает в роли второго фактора).
- Восстановить доступ к учетной записи Apple ID и сбросить пароль от iCloud при помощи одноразового кода двухфакторной аутентификации (с чужого устройства Apple).
- После сброса пароля от iCloud войти в учетную запись и извлечь из нее данные (часть данных будет дополнительно защищена кодом блокировки экрана).
- Восстановить из облачной резервной копии новое или существующее устройство Apple.
- При восстановлении из облачной резервной копии существующего устройства (именно того, с которого была ранее создана резервная копия) будут восстановлены и пароли из «Связки ключей» (даже если тебе неизвестен код блокировки экрана, который необходим для скачивания синхронизированной «Облачной связки ключей»).
- Даже если доступ ко второму фактору аутентификации утрачен, будут доступны функция Find My и отвязка сброшенного телефона от iCloud. Для их работы достаточно одного лишь пароля от iCloud.
- «Связка ключей» из облачной резервной копии может быть восстановлена исключительно на то же самое физическое устройство, с которого была создана резервная копия. Для доступа к «Облачной связке ключей» необходимо ввести код блокировки экрана от одного из предыдущих устройств.
Политики безопасности, ограничивающие использование слишком простых паролей, различаются для всех четырех (с половиной) паролей.
- Код блокировки экрана. Жесткой политики нет. По умолчанию система предлагает использовать код, состоящий из шести цифр, но по желанию пользователь может выбрать и четырехзначный PIN, а также цифровой пароль произвольной длины либо буквенно-цифровой пароль любого размера. У Apple есть база данных самых часто используемых паролей; если пользователь попытается установить именно такой пароль (например, 0000, 1111 или 1234), то система предупредит о небезопасности такого кода блокировки — но все же позволит его установить.
- Пароль от iCloud. Минимальная длина — восемь знаков. Требуется использовать по крайней мере одну строчную и одну заглавную букву, а также по крайней мере одну цифру. Кроме того, нельзя установить пароль, который уже использовался ранее.
- Пароль от резервной копии iTunes. Ограничения отсутствуют.
- Пароль «Экранного времени». Всегда ровно четыре цифры.
- Двухфакторная аутентификация. Доверенными устройствами могут стать только устройства из экосистемы Apple (iPhone, iPad, компьютер Mac). Требуется наличие хотя бы одного доверенного телефонного номера, при этом допускается наличие в одной учетной записи нескольких доверенных телефонных номеров из разных стран, что может быть удобно в поездках.
Реакция на попытку перебора
Большинство пользователей, забывших тот или иной пароль, попытается вспомнить его, попробовав ввести все множество ранее использованных паролей. Реакция системы на подбор пароля будет отличаться в зависимости от того, какой именно пароль ты попытаешься подобрать.
- Код блокировки экрана. iOS будет увеличивать задержку между попытками ввода. Через определенное количество неудачных попыток устройство будет заблокировано: на экране появится сообщение Connect to iTunes, но подключить устройство к компьютеру не удастся из-за активированного режима защиты USB. У тебя есть некоторая степень контроля: так, в настройках можно включить функцию Erase after 10 attempts, которая сбросит устройство к заводским настройкам после десяти неудачных попыток.
- Пароль от iCloud. Попытка подобрать пароль приведет к временной блокировке учетной записи. Точное количество доступных попыток не разглашается. Важный момент: если ты попытаешься подобрать код блокировки экрана устройства, защищающий доступ к «Облачной связке ключей» (а также паролю «Экранного времени», данным «Здоровья» и сообщениям), то система удалит защищенные данные (ту самую «Облачную связку ключей» и далее по списку) после десяти неудачных попыток.
- Пароль от резервной копии iTunes. Никаких ограничений. Ломай на здоровье!
- Пароль «Экранного времени». Увеличивающаяся задержка между попытками ввода; после десяти попыток задержка между попытками составляет ровно час.
- Одноразовые коды двухфакторной аутентификации. У пользователя есть ограниченное число попыток для ввода кода двухфакторной аутентификации. Если код подобрать не удалось, будут применяться правила реакции на попытку подбора пароля от iCloud.
Заключение
В статье мы попытались разобраться в запутанных взаимоотношениях между четырьмя (с половиной) паролями Apple. Если тебе кажется, что после этой статьи ты понимаешь еще меньше, чем до нее, — это совершенно нормально: о том, каким образом одни пароли влияют на другие, могут уверенно рассуждать разве что работники Apple, которые эту систему проектировали. С нашей точки зрения, созданная Apple система продумана не до конца и местами нелогична. Самыми нелогичными решениями Apple нам представляются возможности сброса пароля от резервной копии iTunes и пароля от iCloud посредством одного лишь кода блокировки экрана. Система безопасности, созданная Google, кажется нам гораздо более стройной и логичной (о ней мы обязательно напишем в будущем).
Создается ощущение, что ряд правил и возможностей вводились компанией либо под давлением пользователей («Как мне сбросить пароль от резервной копии? Что, совсем никак? Ну вы…»), либо при попытке быстро закрыть обнаруженную дыру в безопасности. Такой подход не позволяет нам искренне похвалить созданную в Apple систему безопасности пользовательской экосистемы. В то же время понятны и причины, по которым компании пришлось пойти на компромиссы.
К сожалению, компания не смогла выдержать баланс между удобством и безопасностью, придав чрезмерное значение одним факторам безопасности (код блокировки экрана и второй фактор аутентификации) и принизив значение других (пароль от iCloud, который можно узнать или сбросить, если есть доступ хотя бы к одному другому паролю или второму фактору аутентификации). Такой перекошенный баланс делает бесполезным и бессмысленным использование сложных паролей к резервной копии (зачем, если его можно сбросить в пару кликов?) и паролей от iCloud (зачем, если есть второй фактор аутентификации, а сам пароль можно легко сбросить с устройства?).
