[蘋科技] 雙重認證綁定 iPhone,駭客就算取得 iCloud 密碼仍要無功而返!

by 陳寗
2016.08.19 11:54PM
2984
是[蘋科技] 雙重認證綁定 iPhone,駭客就算取得 iCloud 密碼仍要無功而返!這篇文章的首圖

本文為蘋果保安機制系列文,上一篇文為:[蘋科技] iCloud 帳號保管個信用卡、家門鑰匙,那蘋果要如何保證資訊安全呢?

--

過去 iCloud 帳號與 iPhone 本身的解鎖密碼其實沒有太大的關聯,再加上以前 iCloud 帳號也就是用來收收信、發個 iMessage 或是打個 FaceTime,因此除了那些手機藏了太多精采照片、被破解就 GG 的名人之外,iCloud 被破解了實在也沒什麼大不了的,衍伸出來的問題其實就跟你的 Gmail 信箱被破解是同等級的災難。

但現在隨著 iCloud 帳號的應用越來越多越來越深,被破解之後所產生的麻煩也就大幅增加,從最基本的信用卡被盜刷,到直接危及人身安全的遭到惡意解除家中保全,iCloud 被盜用所能產生的危害越來越嚴重。因此蘋果除了持續的強化 iPhone 本身的保密安全之外,同時也為一切的核心「iCloud 帳」加上第二重保護,也就是從 iOS9 / Mac OS X 10.11 開始推廣的「雙重認證」。

>>掌握最新蘋果資訊,最專業的 Apple 評論

請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<

--

db4b2d723de5f38b47e572afad044804

雙重認證的概念非常有意思,它是利用直接綁定指定硬體的方式,避免 iCloud 帳號密碼遭到破解之後所產生的連鎖反應。這個機制運作的方式很簡單:首先你必須將你的 iPhone 進行身份認證並進行帳號綁定,完成之後你的 iCloud 就再也無法單靠帳號密碼進行登入,而是必須在登入時倚賴綁定信任裝置(例如 iPhone)所產生的六碼驗證碼來進行雙重認證。

這種做法的運作原理與中國大陸銀行普遍使用的 Token(一種會不斷變換數字的鑰匙圈)相當類似,都是藉由指定硬體所產生的密碼來進行雙重驗證,避免因為帳號密碼遭到破解而被惡意非法登入帳號,進而造成破壞。

99818b2bd36a05be566898d8f1f6c83a

其實 iCloud 帳號(Apple ID)本來就有類似二次驗證的玩意,就是上圖中出現的「問題驗證」。不過這種綁定指定答案的做法其實就跟帳號密碼沒什麼兩樣,都是只要你掌握了帳號(問題)與密碼(答案)之後,就能在地球上任何一個有網路連線的地方登入 iCloud 進行惡意行為。

因此雙重認證的用意就是要杜絕這種知道密碼就能亂搞的情況,這種做法並非蘋果獨有,只是現在剛好現在 iCloud 拿來用而已~如果要說雙重認證用起來是什麼樣子,那我想現在最貼近大家日常使用的應該就是「信用卡 3D 認證」了。各位如果有在網路上刷卡購物的經驗,應該都曾經有過輸入卡號購物之後,還必須等待收簡訊並輸入驗證碼才能過卡成功的經驗。

這種作法其實就是雙重認證的應用之一,利用綁定特定的手機硬體,避免卡號(密碼)被他人知道或破解之後而被盜刷,可說是目前所有網路服務中相對安全的驗證方法。

註:問題驗證這個項目會在你開通雙重認證完成的兩週後自動刪除,避免你的帳號驗證存在漏洞。至於為什麼要保存兩週再刪除?這是因為蘋果要避免你在兩週內反悔想要取消雙重認證,但如果你開了過兩週才反悔 ...  那就來不及囉!

ffe689bf15abdb168bbbbbbb49a33616

只是 iCloud 畢竟還是要用蘋果裝置來進行驗證,因此不能像信用卡那樣綁定電話號碼(否則 iPad 怎麼辦?)。先前在 iCloud 鑰匙圈上蘋果已經實作了一次類似的應用:當你要在新裝置上取用鑰匙圈內的付款、密碼資料時,必須先在舊裝置上進行驗證才能在新裝置上登入鑰匙圈,這種作法直接避免了因為密碼被破解而產生的危害。

如今 iCloud 採用雙重認證之後,就連 iCloud 本身都將無法在任何陌生裝置上利用帳號密碼登入,所有的登入動作都必須藉由既有裝置產生的六位驗證碼來完成。

最後,為什麼這系列文章最開始只是要說 Apple Watch 可以解鎖 Mac、最後卻變成談 iCloud 保安呢?這是因為在 macOS 10.12 與 watchOS 3 中,如果要啟用 Apple Watch 解鎖功能,就必須先將 iCloud 開通雙重認證、加強 iCloud 密碼保安之後才能開啟手錶自動解鎖。此外,與 iDevices、Apple Watch 息息相關的 HomeKit 應用也將走 iCloud 途徑進行驗證。

看到這裡,你還覺得 iCloud 的安全不重要嗎?還覺得蘋果的安全做得不夠嚴密嗎?

如果上述的兩個問題你認為答案是「不重要」+「不嚴密」,那麼我強烈建議先不要使用 iCloud 的任何服務,否則當你越陷越深、連家裡的保全系統都因為 HomeKit 而連上 iCloud 時,那可就追悔莫及囉~

>>掌握最新蘋果資訊,最專業的 Apple 評論

請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<

--

作者:陳寗@癮科技

--

你或許會喜歡

你知道福利品不等於二手機,也有未拆封新品嗎?

台日團隊合作第一炮!SHARP M1 美背機上手體驗

 

回應 0
外國人溝通神器
22 個小時前