О двухфакторной аутентификации


Проблема 1: При попытке войти на Mac в iCloud и страницу управления своим Apple ID, коды двухфакторной аутентификации приходят не только на другие доверенные устройства (iPhone), но и на тот Mac, на котором требуется подтверждение входа. Что обессмысливает процедуру, т.к. позволяет злоумышленнику, получившему устройство, получить ещё и доступ ко всему остальному.

Проблема 2: Отключить это или как-то иначе настроить, ни в Системных настройках, ни в iCloud, ни на странице управления своим Apple ID невозможно.

Вчера мы постигли эту тайну, и тоже с помощью далеко не первого специалиста поддержки компании Apple.

 

Ответ:

Компания Apple сообщила, что отображение кодов двухфакторной проверки на всех доверенных устройствах – это как раз нормально. Ненормально, наоборот, то, что происходит у нас (происходило: под руководством Специалиста технического отдела Apple мы у себя это поломали и теперь тоже наслаждаемся отображением кодов везде, где не надо).

Далее стороны обменялись такими мнениями:

– Но ведь код проверки нужно получать НА ДРУГОМ устройстве. Получение этого кода на том же устройстве, на котором вводится, лишает её слмысла. Во-первых, невозможно удостовериться, что человек, запрашивающий этот пароль, и есть хозяин Mac. А во-вторых, получение этого пароля злоумышленником означает доступ к Apple ID, а потом смену настроек безопасности других устройств и их блокировку..

– Да, мы понимаем. Но Вы можете создать на этом Mac резервные коды доступа, если Ваш iPhone не доступен.

(Если возник вопрос, при чём тут предыдущая реплика, то, правильно – ни при чём. Человек попытался сменить тему, но вышло совсем плохо)

– То есть, мало того, что злоумышленник получает полный доступ к Mac, iCloud и странице управления Apple ID, он ещё и может на этом Mac генерировать коды аварийного доступа для входа на другие устройства без пароля пользователя? (Системные настройки ⤑ iCloud ⤑ Учётная запись ⤑ Безопасность ⤑ Получить код проверки). Но ведь для этого даже не надо вводить никакой дополнительный пароль подтверждения и проверки – даже пароль Администратора Mac (даже чтобы сменить дату, это необходимо, а тут – нет)!

– Да.

Вы там совсем что ли рехнулись? Вашу ж мать. Спасибо. Это было прекрасно.

Наконец, самое весёлое. Если удалить Mac из списка доверенных устройств – например, для того, чтобы с украденного, но разблокированного (например, когда человек пил кофе на летней площадке приличного заведения, а мимо пробегал Гаврош) было невозможно получить доступ к iCloud, Apple ID и другим устройствам пользователя, и чтобы эти коды проверки приходили только на другие устройства, то с этого Mac также удаляется и iCloud пользователя + привязка этого Mac к его iCloud (и они не будут работать на этом Mac до тех пор, пока он снова не будет добавлен в список доверенных устройств). В общем, если удалить свой Mac из списка доверенных устройств в критической ситуации, то это значит просто подарить его, т.к. “Найти Mac” там работать не будет (а значит и удалённая блокировка, и поиск).