О двухфакторной аутентификации

Опубликовано Опубликовано в рубрике Обзоры

Проблема: При попытке войти на Mac в iCloud или даже на страницу управления своим Apple ID, коды двухфакторной аутентификации приходят не только на другие доверенные устройства (например, iPhone), но и на тот Mac, на котором требуется подтверждение входа. Что по нашему мнению немного туповато, т.к. позволяет злоумышленнику, получившему устройство, получить ещё и доступ ко всему остальному.

Проблема 2: Отключить это безобразие или как-то иначе настроить ни в Системных настройках, ни в iCloud, ни на странице управления своим Apple ID невозможно.

Проблема 3: Мы наблюдали подобное у всех, кого учили в прошлом и этом году, но не у себя. У нас коды нормально приходили только на iPhone.

Вчера мы постигли и эту тайну, и тоже с помощью далеко не первого, с кем общались в компании Apple.

 

Ответ:

Как сообщила компания Apple, отображение кодов двухфакторной проверки на всех доверенных устройствах – это как раз нормально. Ненормально, наоборот, то, что происходит у нас (происходило: под руководством квалифицированного специалиста технического отдела Apple мы у себя это поломали и теперь тоже наслаждаемся отображением кодов везде, где не надо).

Далее стороны обменялись примерно такими мнениями:

— Минуточку. Но ведь код проверки нужно получать НА ДРУГОМ устройстве. Получение этого кода на том же устройстве, на котором вводится, обессмысливает саму процедуру. Во-первых, невозможно удостовериться, что человек, запрашивающий этот пароль, и есть хозяин Mac. А во-вторых, получение этого пароля злоумышленником означает потерю вообще всего, что у пользователя есть в Apple: злоумышленник получает доступ к Apple ID, а потом меняет настройки безопасности других устройств, которые можно сбрасывать с помощью Apple ID. И всё..

– Да, мы понимаем. Но Вы можете создать на этом Mac резервные коды доступа, если Ваш iPhone не доступен.

(Если возник вопрос, при чём тут предыдущая реплика, то, правильно – ни при чём. Человек попытался «изящно» сменить тему разговора, но вышло совсем ой)

– То есть, мало того, что злоумышленник получает полный доступ к Mac, iCloud и странице управления Apple ID, он ещё и может на этом Mac генерировать коды аварийного доступа для входа на другие устройства без пароля пользователя? (Системные настройки ⤑ iCloud ⤑ Учётная запись ⤑ Безопасность ⤑ Получить код проверки). Но ведь для этого даже не надо вводить никакой дополнительный пароль подтверждения и проверки – даже пароль Администратора Mac (даже чтобы сменить дату, это необходимо, а тут – нет)!

– Да.

Вы совсем что ли обезумели? Это прекрасно.

Наконец, самое весёлое. Если удалить Mac из списка доверенных устройств – например, для того, чтобы с украденного разблокированного (так бывает, например, когда человек сидит на летней площадке, а мимо пробегал Гаврош) было невозможно получить доступ к iCloud, Apple ID и другим устройствам пользователя и чтобы эти коды проверки приходили только на другие устройства, то с этого Mac также удаляется и iCloud пользователя + привязка этого Mac к его iCloud (и они не будут работать на этом Mac до тех пор, пока он снова не будет добавлен в список доверенных устройств). В общем, если удалить свой Mac из списка доверенных устройств в критической ситуации, то это значит просто подарить его, т.к. никакой удалённой блокировки и «Найти Mac» там работать не будет.

Бурные, продолжительные аплодисменты.

***

Пс: Причина того, почему у нас коды проверки приходили нормально (по нашему извращённому пониманию нормы) в том, что ранее у нас была включена двухСТУПЕНЧАТАЯ проверка – защита предыдущего поколения с помощью 4 чисел в СМС на номер телефона, и после её смены на двухфакторную проверку, шестизначные коды двухфакторной проверки продолжили исправно приходить так, как и должны – только на телефон (это был глюк). При этом, наши Mac находились в списке доверенных устройств на странице управления Apple ID + iCloud на них прекрасно работал. До тех пор, пока специалисты не помогли.