iCloud将变得更安全 说说苹果新的认证机制

　　在这个属于云的时代，你可能有很多地方都需要用到 iCloud。如果云端上存储着许多重要的资料，一旦泄露了那可就不得了，国外多次 iCloud 的照片泄露事件就说明了问题的严重性。眼看着苹果又要更新一次 iCloud 的安全机制，我们不妨来了解一下它一直以来是怎样维护安全的。

　　从两步到双重

　　要保障自己的账号和隐私安全，我们知道最基本的机制就是用户名和密码的输入。如果密码只有你自己知道，那么账号的安全性就相对会高许多，这就是一个最基础的保护。然而现如今账号、密码这些信息流出的途径太多了，只有一个密码绝对是不管用的。这个时候，就需要有额外的安全机制辅助了。

　　2014 年 9 月，苹果推出了面向 iCloud 的两步验证机制。简单来说就是防止其他人在知晓用户账户密码的情况下，访问或使用其账户内容。

　　只要注册一部或多部受信任设备，就可以通过短信或“查找我的 iPhone”功能接受 4 位的验证码。大量需要使用到 iCloud 的服务，如通讯录、Pages 这些，都需要输入苹果在某个受信任设备上发送的验证码，才能够完成登录。这也就是说，即使外人知道了你的密码，在他自己的设备上是无法完成登录的。另外，两步验证还有恢复密钥机制，可用来恢复用户的访问权限。

　　2016 年当 iOS 9.3 发布时，iCloud 迎来了新的安全机制，也就是双重认证。从某种意义上说，双重认证是两步验证的强化版，因为两者之间在模式上还是有一定相似之处的。

　　双重认证机制增强了验证码的长度，从 4 位增加到 6 位，让变化更加复杂。使用已有账户登录一个新的设备，需要在其他受信任的设备上接收验证码。当然短信也同样可以。还有一点很关键，在发送验证码前它还会识别那些异常的登录地点。

　　根据苹果的官方说法，双重认证和两步验证只能二选一，理论上前者更优越，安全性更强。不过，两步验证适合那些此前没有买过苹果设备，或是苹果设备因为无法更新而不能使用双重认证机制的用户。

　　新的安全机制来了

　　双重认证有一个问题，或者是考虑不够完善的地方，那就是它只适用于打造了这个服务的公司，所运营的生态系统。所以，你可以用苹果的双重认证机制来为 iOS、macOS、iCloud、iTunes，以及苹果其他的网站和服务提供安全保护。但是，如果你用的是那些接入 iCloud 数据的第三方应用呢？这个时候双重认证机制就不适用了。

　　为了解决这个问题，苹果宣布从 6 月 15 日开始推出新的安全机制，专门面向第三方应用。这样，苹果就搭建了一个大体完备的验证体系了。

　　简单来说，当用户使用的第三方应用需要接入 iCloud 时，用户需要一个新的密码，专门面向这个应用。这样的好处在于，你只需要输入这个密码就行了，完全不需要和该应用那一端分享自己的 Apple ID 账户信息。即使是那个应用服务出了什么问题，至少也不需要担心自己的 iCloud 会受到影响。

　　从苹果一步步走来的轨迹我们可以看到，账号的安全防护肯定是会在慢慢进步的。不过，新的机制似乎还是显得有一些麻烦了，因为尽管是为了安全着想，但毕竟你又多了一段需要记住和输入的字符，还是觉得略微繁琐。另外，具体的密码也同样存在一些风险。

　　那么苹果要继续强化 iCloud 对应第三方的安全机制，它会怎么做呢？有一种名为 OAuth 的认证服务标准，或许将会是苹果未来的考虑方向。

　　OAuth 是什么？

　　OAuth 的特殊之处在于，它并不依赖某种可以访问一切的密码，能够让第三方应用或服务列举出具体需要哪些数据，以及这些数据和信息之间怎么互动。当应用 A 需要调用应用 B 的某些服务时，传统有两种方案可以提供给用户：第一种，分别在两个应用里注册，调用时分别输入各自的账号密码。可想而知，这样有多麻烦。第二种，将 B 的账户信息提供给 A，A 再凭此发出需求 —— 毫无疑问，这样很不安全。

　　苹果即将推出的新安全机制当然是一个不错的办法，但正如上文所说，它可能还稍显繁琐。OAuth 给出的方案是，B 向 A 发出一个请求令牌，A 询问用户是否要给予授权，用户同意后，经过授权的令牌发出，让 A 能够访问 B 的特定服务。

　　将 OAuth 机制套用到苹果环境下也是一样的：当第三方应用接入到 iCloud 数据时，用户会收到是否授权的询问，同意之后，应用成功访问 iCloud 相关数据。在这个过程中，并没有涉及到任何的用户信息交换。即使有办法拦截，或是其他别的手段，也得不到有用的信息。

　　据了解，诸如 Facebook、推特、谷歌这些网站都已经开始使用了 OAuth 标准，说明它的有效性确实是得到了认可。如果说苹果在未来真的会升级安全机制到 OAuth，那也是在情理之中的事情。

　　关键在自己

　　当然了，世界上没有完美无缺的防御。即使是 OAuth，它都有许许多多的问题。它的认证可以被伪装，一旦人们没有多加留意，就很有可能会出事。所以，最强的防御手段当然就是人们自己的注意了。

　　从苹果一路下来的机制变化来看，它对于 iCloud 的账户是十分看重的。尽管隐患总是会存在，但越来越完善的安全机制意味着攻击者的入侵成本变得越来越高。或许短期内这种效果不明显，但未来整个大环境是会随之有所改善的。

　　很快，新的机制就将到来。为了自己的隐私和安全考虑，如果使用了要接入 iCloud 的第三方服务，那么最好就要打开这种面向应用的密码认证机制，不要嫌麻烦。

　　还有一点必须强调，那就是即使启用了一整套的安全机制，我们也不能放松警惕，因为很多时候入侵是无孔不入的。外部提供的保护，加上自己的意识，那么就能够把自己“中招”的可能性降到最小。