爱思助手

iCloud将变得更安全 说说苹果新的认证机制

  在这个属于云的时代,你可能有很多地方都需要用到 iCloud。如果云端上存储着许多重要的资料,一旦泄露了那可就不得了,国外多次 iCloud 的照片泄露事件就说明了问题的严重性。眼看着苹果又要更新一次 iCloud 的安全机制,我们不妨来了解一下它一直以来是怎样维护安全的。


iCloud将变得更安全 说说苹果新的认证机制





  从两步到双重


iCloud将变得更安全 说说苹果新的认证机制



  要保障自己的账号和隐私安全,我们知道最基本的机制就是用户名和密码的输入。如果密码只有你自己知道,那么账号的安全性就相对会高许多,这就是一个最基础的保护。然而现如今账号、密码这些信息流出的途径太多了,只有一个密码绝对是不管用的。这个时候,就需要有额外的安全机制辅助了。

  2014 年 9 月,苹果推出了面向 iCloud 的两步验证机制。简单来说就是防止其他人在知晓用户账户密码的情况下,访问或使用其账户内容。

  只要注册一部或多部受信任设备,就可以通过短信或“查找我的 iPhone”功能接受 4 位的验证码。大量需要使用到 iCloud 的服务,如通讯录、Pages 这些,都需要输入苹果在某个受信任设备上发送的验证码,才能够完成登录。这也就是说,即使外人知道了你的密码,在他自己的设备上是无法完成登录的。另外,两步验证还有恢复密钥机制,可用来恢复用户的访问权限。

  2016 年当 iOS 9.3 发布时,iCloud 迎来了新的安全机制,也就是双重认证。从某种意义上说,双重认证是两步验证的强化版,因为两者之间在模式上还是有一定相似之处的。

  双重认证机制增强了验证码的长度,从 4 位增加到 6 位,让变化更加复杂。使用已有账户登录一个新的设备,需要在其他受信任的设备上接收验证码。当然短信也同样可以。还有一点很关键,在发送验证码前它还会识别那些异常的登录地点。

  根据苹果的官方说法,双重认证和两步验证只能二选一,理论上前者更优越,安全性更强。不过,两步验证适合那些此前没有买过苹果设备,或是苹果设备因为无法更新而不能使用双重认证机制的用户。


  新的安全机制来了


iCloud将变得更安全 说说苹果新的认证机制


  双重认证有一个问题,或者是考虑不够完善的地方,那就是它只适用于打造了这个服务的公司,所运营的生态系统。所以,你可以用苹果的双重认证机制来为 iOS、macOS、iCloud、iTunes,以及苹果其他的网站和服务提供安全保护。但是,如果你用的是那些接入 iCloud 数据的第三方应用呢?这个时候双重认证机制就不适用了。

  为了解决这个问题,苹果宣布从 6 月 15 日开始推出新的安全机制,专门面向第三方应用。这样,苹果就搭建了一个大体完备的验证体系了。

  简单来说,当用户使用的第三方应用需要接入 iCloud 时,用户需要一个新的密码,专门面向这个应用。这样的好处在于,你只需要输入这个密码就行了,完全不需要和该应用那一端分享自己的 Apple ID 账户信息。即使是那个应用服务出了什么问题,至少也不需要担心自己的 iCloud 会受到影响。

  从苹果一步步走来的轨迹我们可以看到,账号的安全防护肯定是会在慢慢进步的。不过,新的机制似乎还是显得有一些麻烦了,因为尽管是为了安全着想,但毕竟你又多了一段需要记住和输入的字符,还是觉得略微繁琐。另外,具体的密码也同样存在一些风险。

  那么苹果要继续强化 iCloud 对应第三方的安全机制,它会怎么做呢?有一种名为 OAuth 的认证服务标准,或许将会是苹果未来的考虑方向。


  OAuth 是什么?


iCloud将变得更安全 说说苹果新的认证机制


  OAuth 的特殊之处在于,它并不依赖某种可以访问一切的密码,能够让第三方应用或服务列举出具体需要哪些数据,以及这些数据和信息之间怎么互动。当应用 A 需要调用应用 B 的某些服务时,传统有两种方案可以提供给用户:第一种,分别在两个应用里注册,调用时分别输入各自的账号密码。可想而知,这样有多麻烦。第二种,将 B 的账户信息提供给 A,A 再凭此发出需求 —— 毫无疑问,这样很不安全。

  苹果即将推出的新安全机制当然是一个不错的办法,但正如上文所说,它可能还稍显繁琐。OAuth 给出的方案是,B 向 A 发出一个请求令牌,A 询问用户是否要给予授权,用户同意后,经过授权的令牌发出,让 A 能够访问 B 的特定服务。

  将 OAuth 机制套用到苹果环境下也是一样的:当第三方应用接入到 iCloud 数据时,用户会收到是否授权的询问,同意之后,应用成功访问 iCloud 相关数据。在这个过程中,并没有涉及到任何的用户信息交换。即使有办法拦截,或是其他别的手段,也得不到有用的信息。

  据了解,诸如 Facebook、推特、谷歌这些网站都已经开始使用了 OAuth 标准,说明它的有效性确实是得到了认可。如果说苹果在未来真的会升级安全机制到 OAuth,那也是在情理之中的事情。


  关键在自己


iCloud将变得更安全 说说苹果新的认证机制


  当然了,世界上没有完美无缺的防御。即使是 OAuth,它都有许许多多的问题。它的认证可以被伪装,一旦人们没有多加留意,就很有可能会出事。所以,最强的防御手段当然就是人们自己的注意了。

  从苹果一路下来的机制变化来看,它对于 iCloud 的账户是十分看重的。尽管隐患总是会存在,但越来越完善的安全机制意味着攻击者的入侵成本变得越来越高。或许短期内这种效果不明显,但未来整个大环境是会随之有所改善的。

  很快,新的机制就将到来。为了自己的隐私和安全考虑,如果使用了要接入 iCloud 的第三方服务,那么最好就要打开这种面向应用的密码认证机制,不要嫌麻烦。

  还有一点必须强调,那就是即使启用了一整套的安全机制,我们也不能放松警惕,因为很多时候入侵是无孔不入的。外部提供的保护,加上自己的意识,那么就能够把自己“中招”的可能性降到最小。