如何在Apple和Google运行环境中,应对第二个身份验证因素缺失的情况?

lucywang Web安全 2019年5月4日发布
Favorite收藏

导语:双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。

对于Apple用户来说,忘记Apple账户密码并不是什么大问题。如果你把密码忘了,有很多选项可以让你恢复对账户的访问权限。如果你的帐户未开启双因素身份验证模式,则可以通过回答安全问题以快速重置密码,或使用iForgot(苹果的Apple ID密码重设服务)恢复对你帐户的访问权限。如果你已经设置了双因素身份验证来保护你的Apple帐户,你可以在几秒钟轻松更改密码。

以上,我们所讲的是双因素身份验证(2FA)中的第一个验证因素,也就是密码验证缺失的情况下,所有的应对策略。综上所述,重设它们是个很简单的事情。但如何应对第二个身份验证因素缺失的情况呢?如果你出国旅行时,手机被盗,则就无法收到发到你手机上的第二个身份验证因素,比如PIN,签名或ID。还有就是,黑客通过中间人(MitM)攻击、终端人(Man-in-the-endpoint)攻击、2FA 暴力攻击或SIM卡交换伪装成用户,则会出现更糟糕的情况,比如你的网络支付账号被盗等。

因此,如果你无法访问第二个身份验证因素,我会在下面详细介绍应对之策,并比较在Apple和Google生态系统中重新获得对帐户的控制权的过程。

Apple帐户的双因素身份验证主要应用在哪些地方?

双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。

Apple团队引入了双因素身份验证(2FA)功能,该功能为Apple ID提供了最大程度的保护。双因素身份验证的想法是为人们的Apple ID或iCloud帐户添加额外的安全层,即使有人发现了其密码。启用后,该功能仅允许从受信任设备访问帐户。启用2FA后,Apple ID所有者将首次收到有关尝试使用相同Apple ID登录新设备的通知。要批准登录新设备,将要求用户输入密码和验证码(六位验证码),该验证码将发送到可信设备。

1.登录Apple帐户;

1.1登录Apple帐户不止需要使用登录名和密码,还需要第二个身份验证因素;

1.2只有使用你的第二个身份验证因素,你才可以更改或重置登录的密码;

2.出厂重置iPhone,关闭iCloud Lock;

2.1使用登录名和密码后,你可以使用Apple ID密码禁用iCloud Lock;

2.2使用第二个身份验证因素,你可以更改或重置Apple ID密码,然后重置手机并禁用iCloud Lock;

3.从iCloud备份恢复新设备;

3.1使用登录名和密码后,你仍然需要第二个身份验证因素,才能从iCloud备份恢复新设备;

3.2使用你的第二个身份验证因素后,你才可以更改或重置密码,然后设置新设备。

4.如果你丢失了密码,可以有多种选项来恢复?

4.1 如果你至少有一个受信任的设备作为你的第二个身份验证因素,那么你可以更改密码。

4.2 你可以使用iforgot.apple.com重置密码,如果你的某个设备仍然可以通过2FA机制接收推送通知,则重置密码的时间不会超过一分钟。

1.png

4.3如果你仍然可以访问第二个身份验证因素(无论是可信设备还是具有可信电话号码的SIM卡),还有许多其他选项可让你重置Apple ID密码。

2.png

丢失密码的安全后果

如果你还没有丢失第二个身份验证因素,只是丢失Apple ID密码,则你的个人信息不会产生什么严重的后果。

目前,没有第二个身份验证因素的唯一Apple服务是“查找我的电话”。最糟糕的情况是,恶意的人可能会远程锁定在Apple ID上注册的所有设备(你可以解锁并更改Apple ID密码)或远程擦除你的设备(在这种情况下,你会丢失数据,但通过更改Apple ID密码即可解决此问题)。

第二个身份验证因素是什么?

以下项目都需要用到你的第二个身份验证因素:

1.你的iPhone,iPad,iPod Touch或Mac计算机已登录Apple ID;

1.1只有当你可以解锁时(使用Touch ID,面部识别码或密码);

1.2通过设置> Apple ID>密码和安全提供离线代码;

3.png

1.3将在线代码发送到你的设备上(如果有Internet连接);

1.4在iOS 11.3或更高版本的iPhone上,用户可能不需要输入验证码。在某些情况下,可信的电话号码可以在iPhone的后台自动验证;

2. 你信任的电话号码;

2.1SIM卡接收短信或电话;

2.2必须在Apple ID中注册至少一个可信电话号码才能使用2FA;

2.3你可以将多个电话号码注册为可信号码;

2.4任何可信赖的电话号码都可用于更改或重置Apple ID;

2.5每个可信设备都使用唯一的验证码;

不知道你有没有注意到,只有你的Apple设备或你信任的电话号码才能成为你的第二个身份验证因素。没有可以备份的有二维码,也没有Windows / Android设备可用作备份。

这意味着,如果你只有一台Apple设备(比如iPhone或iPad mini))和一个可信赖的电话号码,且突然失去两者的访问权限,则会发生以下很严重的情况。

有趣的是,失去第二个身份验证因素是一个真正无法解决的挑战。这意味着,即使你知道自己的帐户名和密码,也会失去对所有可信设备和可信电话号码的访问权限。

在Apple环境中,丢失第二个身份验证因素的安全后果

如果你丢失了第二个身份验证因素,可能会产生严重后果。

1.如果你丢失了那些装有SIM卡的iPhone、iPad或其他苹果设备,攻击者必须先将其解锁才能可能访问第二个身份验证因素。如果你使用安全锁定屏幕,则成功解锁的可能性很低。

2.如果你丢失了受信任的SIM卡(无论有没有iPhone),攻击者可能能够重置你的Apple帐户密码,远程锁定或擦除你的其他设备,下载你的iCloud备份和一些同步数据(例如日历,iCloud邮件,照片等)。

不过,攻击者无法访问以下任何内容:

1.存储在iCloud钥匙串中的密码;

2.你的健康数据(如果你使用的是iOS 12.0或更高版本);

3.你的消息(短信和iMessage历史);

4.一些应用数据(例如身份验证信息,Gmail消息,聊天日志等);

帐户恢复

对于苹果用户来说,一个非常常见的情况是,他们在旅途中丢失了唯一一部iPhone。如果没有双因素身份验证,替换设备就像购买一个新设备并从云备份中恢复一样简单。然而,如果用户设置了双因素身份验证,由于缺乏可信任的设备和丢失了唯一可信任的SIM卡,则情况就很糟糕了。

通过双因素认证,苹果引入了一种自动恢复账户访问的方法。在大多数情况下,需要很长时间的等待。提供一些额外的信息,比如注册的电话号码,理论上可以加快恢复速度。

建议用户访问iforgot.apple.com并按照提示操作。即使该过程是自动化的,恢复也可能需要很长时间。根据Apple的说法:

如果你使用双因素身份验证且无法登录或重置密码,则可以在帐户恢复等待期后重新获得访问权限。结束等待后,Apple会给你发送一条短信,提示你重新进入你的账户。此时你可以按照说明,立即重新获得对Apple ID的访问权限。

保护儿童帐户:家庭共享,屏幕时间和双因素身份验证

根据苹果官方网站的表述:

Apple家人共享可让最多六位家庭成员轻松共享iTunes、iBooks和App Store购买内容、Apple Music家庭会员资格和iCloud储存空间方案。您的家人还可以共享相簿、日历和提醒事项,甚至帮助定位彼此丢失的设备。

简单来说就是,启用“家人共享”可为你和最多5位家人提供以下服务:

1、绝大多数收费APP只需购买一次,在家人间实施共享即可;

2、只需付一个账号的费用,家人即可获得自己的Apple Music会员资格;

3、以实惠的价格共享iCloud云存储空间,当然,无需担心个人隐私问题;

4、家人间的位置共享;

5、支持为13周岁以下儿童设置独立儿童账户;

6、支持共享相簿、日历、提醒事项;

苹果建议所有人,包括未成年人,在他们的个人设备上使用自己的苹果id。将孩子添加到你的家庭共享帐户中,还可以通过启用屏幕时间来控制他们如何使用自己的设备。为了让你能够通过iCloud远程控制孩子的设备,你将被迫向孩子的帐户添加两个因素的身份验证。

把13岁以下的孩子加入你的家庭是一个单向的选择,出于未知的原因,苹果不允许将未成年儿童从家庭共享中移除(甚至不允许解散家庭)。因此,如果你的孩子无法同时使用他们唯一的设备和他们信任的电话号码,则你可能会被家里一个不活跃的苹果ID卡住。如果你没有为你的孩子注册一个非icloud的电子邮件,那么“[email protected]”不仅是他们的苹果ID,也是他们唯一的电子邮件地址。

谷歌如何处理二次认证

当涉及到双因素身份验证时,谷歌几乎与Apple完全相反。 Google不会将你绑定到任何特定的生态系统,允许你使用任何设备作为你的第二个身份验证因素。下面就是我列出在Google世界中可以充当2FA的项目:

4.png

1.你的Android手机或平板电脑已登录你的Google帐户并配置为接受2FA推送提示;

1.1只有你可以解锁它(生物识别,密码,模式等);

1.2默认情况下,设备上不会生成离线代码(你可以单独设置它们);

1.3将在线提示内容发送到你的设备上(如果有Internet连接),只需点击“是”即可通过2FA;

1.4始终在服务器端执行身份验证;

2. 你信任的电话号码;

2.1SIM卡接收短信或电话;

2.2谷歌并不认为SIM卡和短信是双因素身份验证的安全手段,试图让用户远离使用短信2FA

2.3你可以将多个电话号码注册为可信号码

3.身份验证应用程序;

3.1使用行业标准的TOTP协议;

3.2所有可用的认证应用程序;

3.3兼容不同的开发商,包括谷歌、微软、小米和独立开发商;

3.4所有这些都可以以二维码的方式提供;

3.5二维码可以保存并重复使用多次,以初始化新的身份验证应用程序;

3.6二维码可以存储在云端(不同的账户),允许远程访问;

3.7二维码可以随时从谷歌账户中被删除;

4.备份代码可打印,存放在安全的位置;

5.安全密钥(FIDO U2F或内置于手机中);

6.如果你要求不再在该计算机上提示输入2FA代码,则可以直接使用密码登录Google帐户

对于Google帐户来说,如果你丢失了第二个身份验证因素会发生什么情况?

谷歌已经认识到了用户的手机丢失或被盗后无法获得2FA代码的问题,并对这个问题进行了全面的阐述,具体请看《两步验证的常见问题》。谷歌通过建议你使用备份选项登录到你的谷歌帐户来解决此问题,由于谷歌提供了更广泛的二级身份验证因素选择,所以这个建议非常具有实操性。

如果没有任何备份选项可用,而你仍然可以使用计算机,则可以将该计算机的Web浏览器用作第二个身份验证因素。如果你已在计算机中登录自己的Google帐户(例如在Chrome浏览器中)并且要求Google不再提示该设备上的2FA代码,则只需打开Google两步验证页面,输入你的Google帐户密码并重置双因素身份验证选项即可。例如,你可以生成一组新的备用验证码,以便你在新的Android手机上立即登录Google帐户,这将成为你的新的第二个身份验证因素。如果你无备份选项可以用,并且仍无法访问具有可信Web浏览器的计算机,则必须执行自动帐户恢复过程。在我们的测试中,不仅恢复尝试不成功,而且谷歌暂时阻止了对我们试图恢复的测试帐户的访问,要求我们更改密码。

通过Family Link重新访问Google子帐户

就像Apple一样,Google还允许用户创建一个家庭共享账户。谷歌在2017年推出了Family Link,为13岁以下儿童提供自己的Google帐户,Family Link在技术上适用于拥有现有Google帐户的任何人。在Android设备上,Google Family Link提供与Apple Screen Time类似的功能,允许你控制孩子使用Android设备的方式。

不过Google采用了一种非常不同的方法来保护儿童帐户,虽然13岁以下的儿童无法设置帐户以使用双因素身份验证,但这并不意味着任何知道密码的人都可以登录。要登录孩子的帐户,必须先由一名授权的成人监督员批准登录。成人必须输入谷歌帐户密码(并通过2FA)才能授权儿童登录。

如果孩子丢失了他们唯一的Apple设备和他们唯一受信任的电话号码,那么在Apple的世界中,他们将被拒绝访问他们的Apple帐户,他们的父母也几乎无法(或根本无法)重新控制这些账户。

而Google为了权衡安全性和便利性之间的关系,为父母或法定监护人提供了一种重新控制孩子账户的简单方法:即通过Family Link应用程序立即重置孩子的密码。

总结

Apple和谷歌都有自己的双因素身份验证实现过程,在本文中,我们回顾了在这两种环境中,用户在知道第一个验证因素(密码)的情况下,失去第二个身份验证因素时所产生的后果及恢复方法的差异。此外,我们还回顾了苹果和谷歌生态系统在访问子帐户方面的差异。

本文翻译自:https://blog.elcomsoft.com/2019/04/you-lost-your-second-authentication-factor-now-what/如若转载,请注明原文地址: https://www.4hou.com/web/17763.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论