最近看了个新闻,一女士手机被盗然后盗贼盗取 Apple ID 密码云云,虽然群众纷纷表示智商捉鸡被钓鱼活该,但我也开始思考究竟如何才能稳妥保证 Apple ID 的安全,毕竟绑定数台设备并且购买过价值数百元的软件,有些软件还已经下架,就算开个新 ID 都不能再买,如果 Apple ID 有什么闪失必定损失惨重。
一个思路正常的犯罪分子通常只想获取你的钱财,不会对你的帐号有兴趣,但自从苹果加入了 Find My iPhone 之后就不一样了。有你的设备就会需要 Apple ID 来解锁,就算没有你的设备也可以锁定该设备进行勒索,Apple ID 的价值因此飞升。那么究竟如何保证 Apple ID 的安全呢?
Apple ID 是一个以电子邮箱作为用户名的帐号系统,并没有独立的用户名。基本的基本是不要把 Apple ID 的密码设置得和电子邮箱的登录密码相同,否则犯罪分子得到了其中之一也就同时掌握了另一个。
密码登录通过一个(理论上)只有你知道的密码来验证你是账户的所有人,但密码有可能被他人窃取,这就是二次验证(Two-Factor Authentication)的由来。两次验证除了验证密码外还需要验证一个指定的设备,而你的密码和指定设备同时落入他人手中的几率极低。
如果没有二次验证,那么犯罪分子得到了你 Apple ID 密码和电子邮箱密码中的任何一个就可以控制你的 Apple ID,并修改密码完全占有这个 Apple ID。如果他有 Apple ID 密码,便可以直接登录苹果网站修改密码;如果他有电子邮箱密码,便能通过苹果网站找回 Apple ID 的密码,也许苹果会问他几个问题,也许他能通过社工库回答出来呢。
当然,电子邮箱最好也能打开二次验证,犯罪分子便更无可乘之机。主流国外邮箱服务商如 GMail、Outlook.com、Yahoo.com、Yahoo Japan 都支持两次验证,具体可以在 https://twofactorauth.org/ 查到。
主流国内邮箱服务商都不支持二次验证,而且安全性本身就堪忧。腾讯 QQ 邮箱有独立于 QQ 密码的邮箱密码,但只是网页登录时只是需要先后输入两个固定密码,用 POP3/IMAP/Exchange 只需要输入邮箱密码即可,一样没有安全性可言(刚刚发现,QQ 邮箱最近加入了独立客户端密码的强制设定,大大提高了安全性,为 BAT 中最争气的 T 点赞);网易是早就被人拖库了还不承认,实际上用网易邮箱做 Apple ID 并没有开 Apple ID 两次验证的很多都中招了,各种被盗用导致 Find My iPhone 被锁。
其实这样已经差不多了,我还根据我的喜好对 iPhone 本体增加了一些安全性设置,虽然不能从根本上令 Apple ID 变得更加安全,但可以在某些万一的情况下把犯罪行为扼杀在苗头里。
Touch ID 开启,六位 PIN 码,并且输入 10 次错误密码就抹掉手机数据;手机短信在锁屏画面不能预览内容。
好,让我们现在模拟一下 Apple ID 及使用了 Apple ID 的设备可能遇到的危险情况。
1. Apple ID 密码丢失
犯罪分子得到了你的 Apple ID 密码,但是在登录苹果官方网站时遇到了二次验证的阻挠,无法真正拥有 Apple ID。SAFE。
2. Apple ID 的电子邮件密码丢失
犯罪分子可以控制你的电子邮箱,并去尝试找回 Apple ID 的密码。在网易拖库事件中,很多人的 Apple ID 就是被这样修改了密码并丧失了对相关设备的控制权。但如果 Apple ID 有打开两次验证,找回密码时就会被要求输入当时生成的恢复密钥,如果没有恢复密钥就不能恢复密码。SAFE。
3. 登录 Apple ID 的手机丢失,但锁屏密码没有被攻破
犯罪分子无法进入手机,至多可以在你挂失之前得到你电话号码(你可能会用来做两次验证)SIM 卡的使用权。如果手机被重置还可以得到你的 Apple ID 名称,但没有密码无法使用手机。犯罪分子可能会往你的邮箱里发来钓鱼邮件,如果你被钓走了 Apple ID 密码的话他便可解锁手机并进一步获得 Apple ID 的部分控制权,否则 SAFE。
4. 登录 Apple ID 的手机丢失,锁屏密码被攻破
据说有的小偷可以尾行目标一段时间偷窥其锁屏密码,但这种做法在指纹解锁大行其道的现在效率太低,况且就算真的进入手机也不是什么大事,苹果显然在设计时考虑到了这个可能性。修改 iCloud 设置或者进入 Find My iPhone 都需要重新输入 Apple ID 密码,即便手机可以访问 Apple ID 的电子邮箱也没用(参见 #2),犯罪分子来得及做的大概也就是花钱了,对于 ID 来说 SAFE。
可见关键问题是要打开 Apple ID 的二次验证,然后小心钓鱼邮件就能最大程度保障 Apple ID 本身的安全了,除非家中失窃,你记录着恢复密码的非常不起眼的小本本连同苹果设备一起被盗走……那也太倒霉了。
不仅仅是 Apple ID,能开二次验证的电子邮箱社交网络什么的服务也都开二次验证吧,尤其是重要账户,不要太相信供应商。我用了十年的微软账户大概就是被盗号者群发垃圾邮件遭到封禁的,损失巨大。