如何在Apple和Google运行环境中，应对第二个身份验证因素缺失的情况？

对于Apple用户来说，忘记Apple账户密码并不是什么大问题。如果你把密码忘了，有很多选项可以让你恢复对账户的访问权限。如果你的帐户未开启双因素身份验证模式，则可以通过回答安全问题以快速重置密码，或使用iForgot（苹果的Apple ID密码重设服务）恢复对你帐户的访问权限。如果你已经设置了双因素身份验证来保护你的Apple帐户，你可以在几秒钟轻松更改密码。

以上，我们所讲的是双因素身份验证（2FA）中的第一个验证因素，也就是密码验证缺失的情况下，所有的应对策略。综上所述，重设它们是个很简单的事情。但如何应对第二个身份验证因素缺失的情况呢？如果你出国旅行时，手机被盗，则就无法收到发到你手机上的第二个身份验证因素，比如PIN，签名或ID。还有就是，黑客通过中间人（MitM）攻击、终端人（Man-in-the-endpoint）攻击、2FA 暴力攻击或SIM卡交换伪装成用户，则会出现更糟糕的情况，比如你的网络支付账号被盗等。

因此，如果你无法访问第二个身份验证因素，我会在下面详细介绍应对之策，并比较在Apple和Google生态系统中重新获得对帐户的控制权的过程。

Apple帐户的双因素身份验证主要应用在哪些地方？

双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。

Apple团队引入了双因素身份验证（2FA）功能，该功能为Apple ID提供了最大程度的保护。双因素身份验证的想法是为人们的Apple ID或iCloud帐户添加额外的安全层，即使有人发现了其密码。启用后，该功能仅允许从受信任设备访问帐户。启用2FA后，Apple ID所有者将首次收到有关尝试使用相同Apple ID登录新设备的通知。要批准登录新设备，将要求用户输入密码和验证码（六位验证码），该验证码将发送到可信设备。

1.登录Apple帐户；

1.1登录Apple帐户不止需要使用登录名和密码，还需要第二个身份验证因素；

1.2只有使用你的第二个身份验证因素，你才可以更改或重置登录的密码；

2.出厂重置iPhone，关闭iCloud Lock；

2.1使用登录名和密码后，你可以使用Apple ID密码禁用iCloud Lock；

2.2使用第二个身份验证因素，你可以更改或重置Apple ID密码，然后重置手机并禁用iCloud Lock；

3.从iCloud备份恢复新设备；

3.1使用登录名和密码后，你仍然需要第二个身份验证因素，才能从iCloud备份恢复新设备；

3.2使用你的第二个身份验证因素后，你才可以更改或重置密码，然后设置新设备。

4.如果你丢失了密码，可以有多种选项来恢复？

4.1 如果你至少有一个受信任的设备作为你的第二个身份验证因素，那么你可以更改密码。

4.2 你可以使用iforgot.apple.com重置密码，如果你的某个设备仍然可以通过2FA机制接收推送通知，则重置密码的时间不会超过一分钟。

4.3如果你仍然可以访问第二个身份验证因素（无论是可信设备还是具有可信电话号码的SIM卡），还有许多其他选项可让你重置Apple ID密码。

丢失密码的安全后果

如果你还没有丢失第二个身份验证因素，只是丢失Apple ID密码，则你的个人信息不会产生什么严重的后果。

目前，没有第二个身份验证因素的唯一Apple服务是“查找我的电话”。最糟糕的情况是，恶意的人可能会远程锁定在Apple ID上注册的所有设备（你可以解锁并更改Apple ID密码）或远程擦除你的设备（在这种情况下，你会丢失数据，但通过更改Apple ID密码即可解决此问题）。

第二个身份验证因素是什么?

以下项目都需要用到你的第二个身份验证因素：

1.你的iPhone，iPad，iPod Touch或Mac计算机已登录Apple ID；

1.1只有当你可以解锁时（使用Touch ID，面部识别码或密码）；

1.2通过设置> Apple ID>密码和安全提供离线代码；

1.3将在线代码发送到你的设备上（如果有Internet连接）；

1.4在iOS 11.3或更高版本的iPhone上，用户可能不需要输入验证码。在某些情况下，可信的电话号码可以在iPhone的后台自动验证；

2. 你信任的电话号码；

2.1SIM卡接收短信或电话；

2.2必须在Apple ID中注册至少一个可信电话号码才能使用2FA；

2.3你可以将多个电话号码注册为可信号码；

2.4任何可信赖的电话号码都可用于更改或重置Apple ID；

2.5每个可信设备都使用唯一的验证码；

不知道你有没有注意到，只有你的Apple设备或你信任的电话号码才能成为你的第二个身份验证因素。没有可以备份的有二维码，也没有Windows / Android设备可用作备份。

这意味着，如果你只有一台Apple设备（比如iPhone或iPad mini)）和一个可信赖的电话号码，且突然失去两者的访问权限，则会发生以下很严重的情况。

有趣的是，失去第二个身份验证因素是一个真正无法解决的挑战。这意味着，即使你知道自己的帐户名和密码，也会失去对所有可信设备和可信电话号码的访问权限。

在Apple环境中，丢失第二个身份验证因素的安全后果

如果你丢失了第二个身份验证因素，可能会产生严重后果。

1.如果你丢失了那些装有SIM卡的iPhone、iPad或其他苹果设备，攻击者必须先将其解锁才能可能访问第二个身份验证因素。如果你使用安全锁定屏幕，则成功解锁的可能性很低。

2.如果你丢失了受信任的SIM卡（无论有没有iPhone），攻击者可能能够重置你的Apple帐户密码，远程锁定或擦除你的其他设备，下载你的iCloud备份和一些同步数据（例如日历，iCloud邮件，照片等）。

不过，攻击者无法访问以下任何内容：

1.存储在iCloud钥匙串中的密码;

2.你的健康数据（如果你使用的是iOS 12.0或更高版本）;

3.你的消息（短信和iMessage历史）;

4.一些应用数据（例如身份验证信息，Gmail消息，聊天日志等）；

帐户恢复

对于苹果用户来说，一个非常常见的情况是，他们在旅途中丢失了唯一一部iPhone。如果没有双因素身份验证，替换设备就像购买一个新设备并从云备份中恢复一样简单。然而，如果用户设置了双因素身份验证，由于缺乏可信任的设备和丢失了唯一可信任的SIM卡，则情况就很糟糕了。

通过双因素认证，苹果引入了一种自动恢复账户访问的方法。在大多数情况下，需要很长时间的等待。提供一些额外的信息，比如注册的电话号码，理论上可以加快恢复速度。

建议用户访问iforgot.apple.com并按照提示操作。即使该过程是自动化的，恢复也可能需要很长时间。根据Apple的说法：

如果你使用双因素身份验证且无法登录或重置密码，则可以在帐户恢复等待期后重新获得访问权限。结束等待后，Apple会给你发送一条短信，提示你重新进入你的账户。此时你可以按照说明，立即重新获得对Apple ID的访问权限。

保护儿童帐户：家庭共享，屏幕时间和双因素身份验证

根据苹果官方网站的表述：

Apple家人共享可让最多六位家庭成员轻松共享iTunes、iBooks和App Store购买内容、Apple Music家庭会员资格和iCloud储存空间方案。您的家人还可以共享相簿、日历和提醒事项，甚至帮助定位彼此丢失的设备。

简单来说就是，启用“家人共享”可为你和最多5位家人提供以下服务：

1、绝大多数收费APP只需购买一次，在家人间实施共享即可；

2、只需付一个账号的费用，家人即可获得自己的Apple Music会员资格；

3、以实惠的价格共享iCloud云存储空间，当然，无需担心个人隐私问题；

4、家人间的位置共享；

5、支持为13周岁以下儿童设置独立儿童账户；

6、支持共享相簿、日历、提醒事项；

苹果建议所有人，包括未成年人，在他们的个人设备上使用自己的苹果id。将孩子添加到你的家庭共享帐户中，还可以通过启用屏幕时间来控制他们如何使用自己的设备。为了让你能够通过iCloud远程控制孩子的设备，你将被迫向孩子的帐户添加两个因素的身份验证。

把13岁以下的孩子加入你的家庭是一个单向的选择，出于未知的原因，苹果不允许将未成年儿童从家庭共享中移除(甚至不允许解散家庭)。因此，如果你的孩子无法同时使用他们唯一的设备和他们信任的电话号码，则你可能会被家里一个不活跃的苹果ID卡住。如果你没有为你的孩子注册一个非icloud的电子邮件，那么“yourchild@icloud.com”不仅是他们的苹果ID，也是他们唯一的电子邮件地址。

谷歌如何处理二次认证

当涉及到双因素身份验证时，谷歌几乎与Apple完全相反。 Google不会将你绑定到任何特定的生态系统，允许你使用任何设备作为你的第二个身份验证因素。下面就是我列出在Google世界中可以充当2FA的项目：

1.你的Android手机或平板电脑已登录你的Google帐户并配置为接受2FA推送提示；

1.1只有你可以解锁它（生物识别，密码，模式等）；

1.2默认情况下，设备上不会生成离线代码（你可以单独设置它们）；

1.3将在线提示内容发送到你的设备上（如果有Internet连接），只需点击“是”即可通过2FA；

1.4始终在服务器端执行身份验证；

2. 你信任的电话号码；

2.1SIM卡接收短信或电话；

2.2谷歌并不认为SIM卡和短信是双因素身份验证的安全手段，试图让用户远离使用短信2FA

2.3你可以将多个电话号码注册为可信号码

3.身份验证应用程序；

3.1使用行业标准的TOTP协议；

3.2所有可用的认证应用程序；

3.3兼容不同的开发商，包括谷歌、微软、小米和独立开发商；

3.4所有这些都可以以二维码的方式提供；

3.5二维码可以保存并重复使用多次，以初始化新的身份验证应用程序；

3.6二维码可以存储在云端(不同的账户)，允许远程访问；

3.7二维码可以随时从谷歌账户中被删除；

4.备份代码可打印，存放在安全的位置；

5.安全密钥（FIDO U2F或内置于手机中）；

6.如果你要求不再在该计算机上提示输入2FA代码，则可以直接使用密码登录Google帐户

对于Google帐户来说，如果你丢失了第二个身份验证因素会发生什么情况？

谷歌已经认识到了用户的手机丢失或被盗后无法获得2FA代码的问题，并对这个问题进行了全面的阐述，具体请看《两步验证的常见问题》。谷歌通过建议你使用备份选项登录到你的谷歌帐户来解决此问题，由于谷歌提供了更广泛的二级身份验证因素选择，所以这个建议非常具有实操性。

如果没有任何备份选项可用，而你仍然可以使用计算机，则可以将该计算机的Web浏览器用作第二个身份验证因素。如果你已在计算机中登录自己的Google帐户（例如在Chrome浏览器中）并且要求Google不再提示该设备上的2FA代码，则只需打开Google两步验证页面，输入你的Google帐户密码并重置双因素身份验证选项即可。例如，你可以生成一组新的备用验证码，以便你在新的Android手机上立即登录Google帐户，这将成为你的新的第二个身份验证因素。如果你无备份选项可以用，并且仍无法访问具有可信Web浏览器的计算机，则必须执行自动帐户恢复过程。在我们的测试中，不仅恢复尝试不成功，而且谷歌暂时阻止了对我们试图恢复的测试帐户的访问，要求我们更改密码。

通过Family Link重新访问Google子帐户

就像Apple一样，Google还允许用户创建一个家庭共享账户。谷歌在2017年推出了Family Link，为13岁以下儿童提供自己的Google帐户，Family Link在技术上适用于拥有现有Google帐户的任何人。在Android设备上，Google Family Link提供与Apple Screen Time类似的功能，允许你控制孩子使用Android设备的方式。

不过Google采用了一种非常不同的方法来保护儿童帐户，虽然13岁以下的儿童无法设置帐户以使用双因素身份验证，但这并不意味着任何知道密码的人都可以登录。要登录孩子的帐户，必须先由一名授权的成人监督员批准登录。成人必须输入谷歌帐户密码(并通过2FA)才能授权儿童登录。

如果孩子丢失了他们唯一的Apple设备和他们唯一受信任的电话号码，那么在Apple的世界中，他们将被拒绝访问他们的Apple帐户，他们的父母也几乎无法(或根本无法)重新控制这些账户。

而Google为了权衡安全性和便利性之间的关系，为父母或法定监护人提供了一种重新控制孩子账户的简单方法：即通过Family Link应用程序立即重置孩子的密码。

总结

Apple和谷歌都有自己的双因素身份验证实现过程，在本文中，我们回顾了在这两种环境中，用户在知道第一个验证因素（密码）的情况下，失去第二个身份验证因素时所产生的后果及恢复方法的差异。此外，我们还回顾了苹果和谷歌生态系统在访问子帐户方面的差异。