史上最干货的Apple ID安全攻略

匿名用户 2018-11-29 19:14:21 16点赞 183收藏 17评论

我是谁

一个不小心加入门萨俱乐部的好奇宝宝,最大的爱好是求知欲,因此也有了很多悲伤的故事史上最干货的Apple ID安全攻略

大学时候突然感兴趣网络就去考了个CCIE以为这就是今生的饭碗,然而毕业后做了完全无关的事情。也因为兴趣曾经混了下白帽子圈子,然后也没有然后不再有交集了史上最干货的Apple ID安全攻略


写在最前面

因为一个令人悲伤的原因正好研究了下Apple对于Apple ID和iCloud的安全策略,突然发现自己一直生活在虚假的安全感中。

干货旨在帮助值友更好地保护自己的帐号、帐号所关联的设备以及iCloud里的数据和财产(绑定的信用卡、支付宝、微信、Apple Pay)安全。可能但不一定会对被盗后找回手机的机率造成影响。如果有人认为值得冒上述危险去搏找回手机的一点点可能性,那我也无话可说史上最干货的Apple ID安全攻略

顺便敲黑板:手机被盗后找回的可能性微乎其微。你们看到的找回攻略存在极大的幸存者偏差,没成功找回的千千万人是不会来写攻略的。

可能会有值友问:这篇干货会不会让盗窃黑产的人看了后改进方法。我是这样想的:

  1. 有可能

  2. 由于知识储备的不对称,大概率对普通用户的帮助更大

  3. 安全都是相对而言的,同木桶原理突破口都是最短板的环节,能补上就提高了整体的安全性。比如设备锁屏密码,在iOS12以前的版本几乎100%可以破解。12安全吗?只能说在2018年11月的当前是

  4. 出于对这个问题的考虑,我尽可能不去提到哪些环节可以被利用或者具体攻破的方法。也请高人和神仙们不要在评论里各种“可以破解”来显示自己的高明



一个悲伤的故事

之前升级iOS11的时候被Apple强制把两步验证(2-Step Verification)升级成双重认证(2-Factor Authentication)了,各种不习惯就退回原来的两步了。从此小心不去iCloud的安全设置里乱点。

前几天作死打开一个iCloud功能的时提示输入密码,稀里糊涂输入后手机告诉我已经升级成双重认证史上最干货的Apple ID安全攻略赶紧去取消却发现过去的通道已经关闭了史上最干货的Apple ID安全攻略 不死心继续在不存在的网站上搜索怎么退回去 ,功夫不负有心人找到说可以点击邮件里的链接改回去

史上最干货的Apple ID安全攻略

狂喜,去邮箱找。。。WTF,邮件是有了,但说好的链接呢!

官网也这样说了


史上最干货的Apple ID安全攻略

理直气壮打400电话,和电话那头的小妹blablablabla一顿,对方倒是很热心,一顿远程协助后升级到资深顾问,然后又一顿协助后表示要提交Apple ID的团队来检查是否存在被我邮箱拒收的另一封邮件。谢过客服,几小时后通知我Apple ID的工程师说了我从两步验证升级上去的不能回退。我问网站上的说明呢?回答说网站上的说明不作数的。干的漂亮!史上最干货的Apple ID安全攻略

于是我只能向前看,沉下心来研究到底有什么不一样:也就是因为这个原因有了这篇东西史上最干货的Apple ID安全攻略


什么是双(多)重认证

一张流,也是大多数用户的体验。国内大多发送手机验证码做成TOTP动态令牌

史上最干货的Apple ID安全攻略

学院派一点来说就是用一个以上的要素来做身份验证,要素可以分成三种:

  • 你知道的:比如密码

  • 你物理接触的:电话,手机或者一个物理设备诸如U盾、令牌

  • 你是你:生物特征如指纹、掌纹、虹膜、脸、声音,或者你的GPS位置等

可以想象当两种以上的要素被同时使用时安全性就高了很多个数量级了,从数学上也很容易证明这一结论。


Apple ID的双重认证与安全性

皮一下:Apple的双重认证是双重认证吗?

严格说,不是。

因为Apple只有在你密码正确的时候才会进到动态令牌的比对,所以只是一个改进过的两步认证。相对之前的两步验证

  1. 验证码从4位到6位,被撞对的概率从万分之一降低到百万分之一

  2. 显示登录者的大致位置,当然这个很容易伪装

  3. 会在所有受信任的设备上广播账号被登录的消息,可以让被攻击者有更大概率及时发现密码被泄露

史上最干货的Apple ID安全攻略

Apple不会不知道他们的双重认证是假双重,所以更多是宣传需要,让更多人愿意去升级到这个认证方案。为什么呢?往下看。


从两步验证2-Step verification到双重认证2-Factor authentication

首先我整理了一个对比

史上最干货的Apple ID安全攻略

重点在红色部分,从安全的角度,这是一个很反智的设定:手里拥有受信任的设备并且已经解锁手机(不代表一定知道密码),看起来符合两个要素的定义,但由于这两个要素在实际中的关联度很高,所以并不理想。

不过配合”重置Apple ID密码“这条来看就很容易理解了。因为Apple ID对iOS设备的特殊性以及支付属性被很多人盯上,以至于Apple需要花费很多人力物力来甄别谁是账号的真正拥有者。然而做这件事是有原罪的:证据不足时不把帐号还给主人会被骂;需要的证据少了,给了错的人更要被骂。但谁又能保证用统一的标准不会有错判和漏网之鱼呢?

然后我又研究了一些假想的用户场景下这种设定的影响,只放场景不放内容

史上最干货的Apple ID安全攻略

跳到总结

  1. 受信任设备+本地密码优先级更高,因此设置复杂的本地密码很重要。

    对于不带指纹解锁的老设备如iPad Air用户不友好。



  2. 更方便地重置Apple ID,也使得帐号更不安全。特别在手机丢失的情况下。



  3. 保证密码不泄漏变得相对不重要,不丢手机(允许物理接触设备)比过去更重要。



  4. 当把解锁的设备交给第三人时,整个帐号及其关联设备、支付信息及就暴露在对方手里。虽说可以设置口令暂时阻止访问,然而在解锁的情况下,对方很容易在5分钟内通过技术手段得到正确的口令



  5. 更好的网络安全性和物理接触时更不安全。在被盗时留在信任设备里的风险更高,变相降低了找回丢失手机的可能性


一直被忽视的SIM卡锁

不知道有没有人奇怪过为什么很多丢失手机的人会收到钓鱼邮件,短信。盗窃团伙是怎么知道机主的信息的呢?答案就是SIM卡。当小偷第一时间把你的SIM卡插入另一个手机,在你挂失前他就有了你的电话号码和能接收验证码的设备。

危害多大值友们自己脑补吧。更别说经过社会工程学之后你的整个人可以都是透明的。

国内运营商一直不宣传PIN码,猜测与经常有人输错密码烧毁SIM卡有关。4-6位密码输错3次锁定,再8位PUK码输错10次就烧毁,这种设定我反正是很喜欢的。

PIN码只有每次开机验证一次。


干货总结

  1. 还在用两步验证的账户最好不要升级。恢复密钥一定要保存好,如果忘记密码又没有密钥,你的Apple ID就离你而去了。如果已经忘记了只要记得登录密码可以去账号里重新生成。



  2. 还在用安全问题的值友赶紧打开双重认证



  3. 添加一个自己亲属或亲密朋友的手机号作为受信任的号码以防不时只需


  4. 手机SIM卡PIN码一定要开



  5. 手机被盗的话第一时间挂失手机号,登录iCloud锁定丢失手机并抹除设备。只要盗窃团伙不能破解你的锁屏密码,此时你的账户就是安全的,甚至你的帐号是什么对方都不知道。通过查找我的iPhone发送你的号码给团伙让他们联系你,切记不要用该Apple ID关联的手机号。能重新买个干净的号码更佳,毕竟手机号用久了难免碰到团队不行的网站有点蠢事。给盗窃团伙几天时间去尝试各种方法直到完全绝望,如果对方的选择除了拆零件没有别的了有可能会卖回给你的吧?



  6. 关闭短信预览(锁屏时不显示短信验证码)



  7. 升级到iOS12


  8. Apple ID不要用容易失窃的邮箱,不要被钓鱼,看到异常登录提醒马上去改密码这个大家都已经知道了


展开 收起

Apple 苹果 iPhone 11系列 A2223 4G手机

Apple 苹果 iPhone 11系列 A2223 4G手机

1699元起

Apple 苹果 iPhone 13系列 A2634 5G手机

Apple 苹果 iPhone 13系列 A2634 5G手机

3580.51元起

Apple 苹果 iPhone 14 Pro Max 5G手机

Apple 苹果 iPhone 14 Pro Max 5G手机

3999元起

Apple 苹果 iPhone 14 Pro系列 A2892 5G手机

Apple 苹果 iPhone 14 Pro系列 A2892 5G手机

5308元起

Apple 苹果 iPhone 14系列 A2884 5G手机

Apple 苹果 iPhone 14系列 A2884 5G手机

4129元起

Apple 苹果 iPhone 12系列 A2404 5G手机

Apple 苹果 iPhone 12系列 A2404 5G手机

3199元起

Apple 苹果 iPhone XR 4G手机

Apple 苹果 iPhone XR 4G手机

1939元起

Apple 苹果 iPhone 13 Pro系列 A2639国行版 5G手机

Apple 苹果 iPhone 13 Pro系列 A2639国行版 5G手机

4499元起

Apple 苹果 iPhone 15 Pro Max 5G手机

Apple 苹果 iPhone 15 Pro Max 5G手机

7699元起

Apple 苹果 iPhone 15 Pro 5G手机

Apple 苹果 iPhone 15 Pro 5G手机

5699元起

Apple 苹果 iPhone 15 5G手机

Apple 苹果 iPhone 15 5G手机

4580元起

Apple 苹果 iPhone 14 Plus系列 A2888 5G手机

Apple 苹果 iPhone 14 Plus系列 A2888 5G手机

4849元起

Apple 苹果 iPhone 13 Pro Max系列 A2644国行版 5G手机

Apple 苹果 iPhone 13 Pro Max系列 A2644国行版 5G手机

5650元起

Apple 苹果 iPhone X 4G手机

Apple 苹果 iPhone X 4G手机

6868元起

Apple 苹果 iPhone XS Max 4G手机

Apple 苹果 iPhone XS Max 4G手机

5099元起

Apple 苹果 iPhone 8 Plus 4G手机

Apple 苹果 iPhone 8 Plus 4G手机

3249元起
17评论

  • 精彩
  • 最新
  • 重点我没看出来 我应该怎么设置?

    校验提示文案

    提交
    照最后8条做

    校验提示文案

    提交
    收起所有回复
  • SIM卡pin码在手机重置以后还有用吗

    校验提示文案

    提交
    PIN在SIM卡里,你可以认为是一个独立的离线安全认证

    校验提示文案

    提交
    哦哦,谢谢

    校验提示文案

    提交
    收起所有回复
  • IOS12怎么设置PIN密码?

    校验提示文案

    提交
    设置->蜂窝网络

    校验提示文案

    提交
    收起所有回复
  • pin码原始码在哪里呢?

    校验提示文案

    提交
    打你运营商的电话问,移动联通电信都不一样

    校验提示文案

    提交
    需要提供什么信息呢?

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • sim卡,pin,甚至手机锁(不知道有没有,插入非本人之前的sim卡需要密码)。短信微信预览,email的密码,apple的密码

    校验提示文案

    提交
  • 好像很复杂的样子,完全没看懂。。。。。

    校验提示文案

    提交
  • 我想到一个倒霉的哥们,被黑人抢了手机并逼着给出了锁屏密码。到家发现自己所有的设备都被锁定了,然后不得不又花了一笔钱把帐号买回来 [嘿嘿嘿]

    校验提示文案

    提交
  • 注册过id的邮箱,换绑其它邮箱,再用旧邮箱重新注册就不能了。。。之前明明可以。。。

    校验提示文案

    提交
  • 门萨成员,膜拜一下,大神!

    校验提示文案

    提交
  • 我在高三那会,毕业了去打工赚钱买了一部日版的爱疯五,还是卡贴机,只能2g,不能3g,后来觉得实在烦啊,信号不太好的地方就完全不能上网,上贴吧找有没有办法什么的,结果上当受骗,登了别人的iCloud账号,被锁了。。。。血淋淋的教训

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关好价推荐
查看更多好价

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
183
扫一下,分享更方便,购买更轻松