苹果双重认证，真的安全吗？

创作时间:

2025-01-21 19:18:48

作者:

@小白创作中心

苹果双重认证，真的安全吗？

苹果双重认证并非绝对安全。最近，苹果公司的智能家居平台HomeKit一项重大安全漏洞被曝光，可能被用于安装Pegasus间谍软件，而且不需要用户进行任何交互就可以实现。这再次引发了人们对苹果双重认证安全性的质疑。

双重认证的原理与升级

早在2013年，苹果便为Apple ID增加了“两步验证（Two-Step）”的功能。在两年后的WWDC 2015上，苹果推出了“两步验证”的升级版——双重认证（Two-factor authentication），并承诺会带来更好的用户体验。

尽管两种验证方式大致原理相同，它们在具体的实现方式上仍然有着显著的差异：

开通途径：“两步验证”只能在Apple ID的管理页面开通，而“双重认证”则只能在iOS 9.3或OS X 10.11.4的iCloud账户管理页面中开通。
设备注册方式：在开通“两步验证”时，系统将会要求你单独发送验证码到每台开启了“查找我的iPhone”的iOS设备上，才能将对应设备设为“受信任设备”。而在开通“双重认证”时，系统会自动将所有登录了iCloud的设备设为“受信任设备”。
恢复密钥：“两步验证”会生成一串“恢复密钥”作为恢复账户访问权限的后备手段，而“双重认证”不会生成任何恢复密钥。
验证过程：在未受信任的设备或浏览器上登录Apple ID时，两种验证方式都会要求输入额外的验证码确认身份。输入账户密码后，“两步验证”会要求你选择一台“受信任设备”或者“受信任电话号码”接收一串四位数的验证码。“双重认证”则会自动向所有的“受信任设备”发送登录提醒，你也可以手动选择使用手机号码来接收验证码。与“两步验证”不同的是，登录提醒不仅仅包含验证码，还会显示账号登录的大致地理位置，验证码的长度也从四位延长到了六位。
接收验证码的设备：“两步验证”只能向iOS设备发送验证码，而“双重认证”既可以向iOS设备发送验证码，也可以发送给Mac。
离线状态下的使用：“两步验证”在所有“受信任设备”和“受信任电话号码”离线时将无法使用，这可能会给你的登录带来麻烦。而“双重认证”可以在“受信任设备”上离线生成验证码，大大简化了用户体验。
安全信息的更改：开通了“两步验证”，你只能在Apple ID内修改包括“受信任设备”在内的安全信息。而“双重认证”则可以让你在设备端的账号管理页面直接修改。
忘记密码后的处理：“两步验证”要求你拥有账户密码、恢复密钥、一台可接收验证码的“受信任设备”中的任意两样才能访问Apple ID。一旦丢失这三样中的任意两样，你将永久性失去Apple ID的访问权限。“双重认证”没有恢复密钥。在你忘记密码，也不能使用“受信任设备”和“受信任电话号码”时，你还可以使用“账户恢复”并提交有关信息给苹果进行审核，尝试重新获得账户的访问权限。苹果技术支持无权干涉“账户恢复”的流程，一定程度上杜绝了“内鬼”作祟。

安全风险与漏洞

尽管双重认证显著提升了Apple ID的安全性，但仍然存在一些潜在风险：

技术漏洞：正如HomeKit安全漏洞所展示的，即使是最先进的安全系统也可能存在未知的漏洞。这些漏洞可能被恶意软件利用，绕过双重认证机制。
社会工程学攻击：黑客可以通过伪装成苹果官方发送钓鱼邮件，诱使用户在虚假页面输入账号密码和验证码。这类攻击利用了人性的弱点，即使有双重认证也可能被攻破。
设备安全：如果用户的“受信任设备”被他人获取，那么双重认证的安全性将大大降低。此外，如果设备被安装了恶意软件，也可能导致验证码被窃取。

攻击案例

最近，苹果公司向全球15亿iPhone用户发出警告，显示最近黑客通过钓鱼邮件持续发起针对Apple ID的攻击。此类邮件通常以账号被停用为名，引导用户点击链接进行验证，实则目的在于窃取用户的Apple ID凭证以及相关信息，危及用户的电子钱包安全。

这些钓鱼邮件的外观伪装成苹果官方邮件，初看难以分辨真实与否，令人不寒而栗。邮件内容往往声称账号因某种原因已被停用，提示用户必须立即点击链接进行验证，以免在短时间内面临账号永久停用的风险。邮件中的紧迫感无疑增加了受害者上当的可能性。为了欺骗用户，黑客甚至会使用与苹果类似的格式和语言，但细心的用户仍然可以从一些细节中发现破绽，例如不规范的语法、拼写错误、以及邮件地址并不以‘@apple.com’结尾。

苹果在官方网站上明确表示，他们绝不会通过电子邮件向用户要求登录任何网站或提供密码、设备密码和双重验证信息。这一安全警示强调了用户自我保护意识的重要性。该事件引发了广泛关注，充分展示了当前网络安全形势的严峻性。