![是[蘋科技] 雙重認證綁定 iPhone,駭客就算取得 iCloud 密碼仍要無功而返!這篇文章的首圖](https://sw.cool3c.com/user/91812/2018/a9eff729-98b9-4afc-98bd-24e2eba5cfc1.jpg?fit=max&w=2400&q=80)
本文為蘋果保安機制系列文,上一篇文為:[蘋科技] iCloud 帳號保管個信用卡、家門鑰匙,那蘋果要如何保證資訊安全呢?
--
過去 iCloud 帳號與 iPhone 本身的解鎖密碼其實沒有太大的關聯,再加上以前 iCloud 帳號也就是用來收收信、發個 iMessage 或是打個 FaceTime,因此除了那些手機藏了太多精采照片、被破解就 GG 的名人之外,iCloud 被破解了實在也沒什麼大不了的,衍伸出來的問題其實就跟你的 Gmail 信箱被破解是同等級的災難。
但現在隨著 iCloud 帳號的應用越來越多越來越深,被破解之後所產生的麻煩也就大幅增加,從最基本的信用卡被盜刷,到直接危及人身安全的遭到惡意解除家中保全,iCloud 被盜用所能產生的危害越來越嚴重。因此蘋果除了持續的強化 iPhone 本身的保密安全之外,同時也為一切的核心「iCloud 帳」加上第二重保護,也就是從 iOS9 / Mac OS X 10.11 開始推廣的「雙重認證」。
>>掌握最新蘋果資訊,最專業的 Apple 評論
請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<
--
雙重認證的概念非常有意思,它是利用直接綁定指定硬體的方式,避免 iCloud 帳號密碼遭到破解之後所產生的連鎖反應。這個機制運作的方式很簡單:首先你必須將你的 iPhone 進行身份認證並進行帳號綁定,完成之後你的 iCloud 就再也無法單靠帳號密碼進行登入,而是必須在登入時倚賴綁定信任裝置(例如 iPhone)所產生的六碼驗證碼來進行雙重認證。
這種做法的運作原理與中國大陸銀行普遍使用的 Token(一種會不斷變換數字的鑰匙圈)相當類似,都是藉由指定硬體所產生的密碼來進行雙重驗證,避免因為帳號密碼遭到破解而被惡意非法登入帳號,進而造成破壞。
其實 iCloud 帳號(Apple ID)本來就有類似二次驗證的玩意,就是上圖中出現的「問題驗證註」。不過這種綁定指定答案的做法其實就跟帳號密碼沒什麼兩樣,都是只要你掌握了帳號(問題)與密碼(答案)之後,就能在地球上任何一個有網路連線的地方登入 iCloud 進行惡意行為。
因此雙重認證的用意就是要杜絕這種知道密碼就能亂搞的情況,這種做法並非蘋果獨有,只是現在剛好現在 iCloud 拿來用而已~如果要說雙重認證用起來是什麼樣子,那我想現在最貼近大家日常使用的應該就是「信用卡 3D 認證」了。各位如果有在網路上刷卡購物的經驗,應該都曾經有過輸入卡號購物之後,還必須等待收簡訊並輸入驗證碼才能過卡成功的經驗。
這種作法其實就是雙重認證的應用之一,利用綁定特定的手機硬體,避免卡號(密碼)被他人知道或破解之後而被盜刷,可說是目前所有網路服務中相對安全的驗證方法。
註:問題驗證這個項目會在你開通雙重認證完成的兩週後自動刪除,避免你的帳號驗證存在漏洞。至於為什麼要保存兩週再刪除?這是因為蘋果要避免你在兩週內反悔想要取消雙重認證,但如果你開了過兩週才反悔 ... 那就來不及囉!
只是 iCloud 畢竟還是要用蘋果裝置來進行驗證,因此不能像信用卡那樣綁定電話號碼(否則 iPad 怎麼辦?)。先前在 iCloud 鑰匙圈上蘋果已經實作了一次類似的應用:當你要在新裝置上取用鑰匙圈內的付款、密碼資料時,必須先在舊裝置上進行驗證才能在新裝置上登入鑰匙圈,這種作法直接避免了因為密碼被破解而產生的危害。
如今 iCloud 採用雙重認證之後,就連 iCloud 本身都將無法在任何陌生裝置上利用帳號密碼登入,所有的登入動作都必須藉由既有裝置產生的六位驗證碼來完成。
最後,為什麼這系列文章最開始只是要說 Apple Watch 可以解鎖 Mac、最後卻變成談 iCloud 保安呢?這是因為在 macOS 10.12 與 watchOS 3 中,如果要啟用 Apple Watch 解鎖功能,就必須先將 iCloud 開通雙重認證、加強 iCloud 密碼保安之後才能開啟手錶自動解鎖。此外,與 iDevices、Apple Watch 息息相關的 HomeKit 應用也將走 iCloud 途徑進行驗證。
看到這裡,你還覺得 iCloud 的安全不重要嗎?還覺得蘋果的安全做得不夠嚴密嗎?
如果上述的兩個問題你認為答案是「不重要」+「不嚴密」,那麼我強烈建議先不要使用 iCloud 的任何服務,否則當你越陷越深、連家裡的保全系統都因為 HomeKit 而連上 iCloud 時,那可就追悔莫及囉~
>>掌握最新蘋果資訊,最專業的 Apple 評論
請幫陳寗說科技按讚並加入搶先看:https://www.facebook.com/chenning.wowdigi<<
--
作者:陳寗@癮科技
--
你或許會喜歡
