编注:本文来自微博用户 @JackRacing 投稿。

前言

前阵子 iCloud 照片门事件被国内外媒体大说特说,其实理性看待应该是这样:

  1. 苹果的责任主要在于,没有在网页登录账户的时候防止暴力破解,让攻击者可以无限制的不断尝试输入密码。现在苹果已将其改进为:在你登录网页端 iCloud 的同时,就会发送邮件通知你,便于不是本人登录时能及时做出反应。
  2. 消费者自己的责任在于,设置了过于简单的密码,方便了暴力破解。比如密码是你的生日或者邮箱地址或者名字之类的,尤其对于明星等公众人物来说,生日一类的信息已经不是密码。

那么,我们到底应该如何保障帐号安全呢?「两步验证」是一个很有效的解决方案。其实苹果在此之前就已经开始支持两步验证,但并没有作过多宣传,而国内的 iCloud 账户也是今年才支持。鉴于很多人不了解两步验证的实际使用效果,犹豫是否要开启两步验证,开启后会不会很麻烦,我结合自己的体验来谈一谈,供大家参考。

(两步验证的开启过程可以参考这篇《教程:启用 iCloud 两步验证,防隐私侧漏》

整个设置下来,可能你会感觉麻烦,但之后的使用过程是简单快捷的。

开启两步验证,苹果官方的 2 点注意事项

1. 必须有「密码」「动态密码」「备用密码」中的任意两个,才能通过两步验证

这个是最重要的一条。比如你丢失了手机,那么你除了知道账户密码外,必须知道备用密码,否则即便找苹果也是解不开你的账户的,同时丢了其中两个,后果只能自负了。目前,开启两步验证后,在网页登陆Apple ID 修改账户信息和登录网页版 iCloud 都需要两步验证。登录 iCloud 的详细步骤如下:

第一步,登录 www.icloud.com ,输入账户密码。

点击登陆的同时会有邮件通知。

第二步,确认是本人操作,直接忽略邮件在网页端继续操作,选择使用授信设备或者短信,接收动态验证码。

第三步,查看验证码,并在网页端输入,完成登录过程。

需要注意,在 iOS 设备上登录 iCloud 邮箱和 iMessage、FaceTime 或者 iTunes (PC 的 iTunes 也是)都不需要两步验证。但是,在新设备上登录 iCloud 的部分服务开启时,需要获得已有的授信设备授权,并且会有邮件发到你的邮箱通知。

2. 将「备用密码」写在纸上

苹果还提醒我们最好把生成的备用密码写在纸上。你可以多手写几份,比如办公室和家里各放一份,最好不要存放在电脑或者手机上,即便不备份到网上,也不要在本地存储。

当然就有人想说了:「如果手机丢了,还要回家讨要备用密码的纸条,这个好麻烦。」

其实「备用密码」本来就是备用的,不到万不得已也用不到。那么存在 1Password 类似应用中呢?苹果的官方提示是,不要保存在任何电子介质中。笔者的建议是,可以参考电影《美国队长》中提到的「每个人只知道自己的任务」,以此做到高度保密。密码、动态密码、备用密码任意两个不要保存在相同的地方,你可能会用 1Password 保存 Apple 的主账户和密码,那么就最好不要把备用密码也放在他们一起。

 

开启两步验证,另 5 点值得注意的地方

1. 设置较强的主账户密码

主账户密码也就是登录密码,建议设置复杂一点,不要使用生日之类的,应该有大小写和数字,至少 8 位,类似 Widl6sihL2ih,借助 1Password 之类的软件管理。

1Password 使用详细可以参考这篇 《1Password 5.0 for iOS 上手完全指南》 。

2. 设置较强的锁屏密码

如果是 5s 之后的设备,锁屏密码设置稍微复杂一点,类似 Adi3sh,便于记忆,但是,注意与主账户密码不要相同。另外,开启锁屏密码后,设备在两步验证接受「动态数字口令」时,查看是需要先解锁的。

需要注意的是:即便是用 Touch ID,在重新开机之后或者 48 小时不使用设备,还是要重新输入锁屏密码才能解锁并且重新启用 Touch ID。因此,锁屏密码不宜太过复杂,但也不能太简单,而且必须要记住,强烈建议开启复杂锁屏密码,具体操作为:进入「设置」-「Touch ID 和密码」- 关闭「简单密码」选项。

了解更多有关锁屏密码的内容,可以参考这篇 《一个复杂的锁屏密码,让你的设备更安全:详解 iOS 锁屏安全机制》 。

3. 关闭信息预览

这一点可能是我多虑了。因为默认情况下,手机如果有锁屏密码,对方获得了你的账户密码,登录账户管理页面,那么他可以选择是发送「动态数字口令」(通过 Find My iPhone 的网络)或者短信。前者在手机上需要解锁,后者对方则不需要解锁就能看到短信。

「关闭信息预览」对于追求方便查看和回复短信的普通用户来说(尤其 iOS 8 可以快捷回复),便捷性就没有了,锁屏状态必须解锁进入短信页面才能查看。不过如果你已经解锁了,屏幕顶部的横幅通知,还是可以下拉查看和快捷回复的。

具体操作步骤为:进入「设置」-「通知」-「信息」- 关闭「显示预览」选项。

4. 设置 SIM 卡的 PIN 码

这一点是接上一条讨论的进阶版本。极端情况下,即便你设置了锁屏密码,关闭了信息预览。对方还是可以拔掉你的手机卡,放到另一台手机上看到短信。经了解,我们可以开启手机 SIM 卡的 PIN 码,这样,即便重新开机(刷机)或者放到新手机里使用,旧的 SIM 卡需要输入 PIN 码才能使用。但是由于国内运营商都是淡化 PIN 码宣传的,所以我本人也没用过。

5. 应用独立密码

在最新版本的 iCloud 中,Apple 已经支持在开启两步验证后,可以设置最多 25 个独立的应用密码。关于独立应用密码的解释,由于苹果目前的相关文档仍是英文版本,所以在此参照微软的 应用密码和双重验证 说明:

在启用两步验证后,某些应用(例如某些手机上的邮件应用)或某些设备将显示密码错误,因为它们无法在你尝试登录时提示你输入安全代码。

 

如果你已启用两步验证并在应用或设备上看到了密码错误提示,你将需要获取并输入一个唯一的应用密码来登录。 一旦使用应用密码登录,你将可以使用该应用或设备。 你将需要为每一个无法提示你输入安全代码的应用或设备创建新的应用密码并使用该密码登录。

有关应用独立密码这方面的内容,笔者目前自己刚刚上手,也不甚了解,在此不再深入探讨。

 

总结

这么一番下来,根据我自己的体验,借助 1Password 工具,其实我只需记住 1Password 的登录主密码和我设备的锁屏密码两个即可,而备用密码由于写在纸上,只需妥善保管不用记忆。

之前有国外媒体报道关于 iCloud 照片泄露事件,质疑苹果为何不强制开启两步验证,从我个人观点来看,无论是推广两步验证的谷歌,还是国内利用类似机制的阿里巴巴、(借助专门的手机客户端管理账户安全),都没有强制开启这种安全验证功能,毕竟保障更高安全性的同时,是牺牲了便捷的使用体验,这并不是所有用户都愿意的。

综上所述,虽然开启两步验证需要有如此多注意事项,但是如果你和笔者一样注重隐私,那么我依然强烈建议你开启此功能,以最大限度地保障自己的帐号和数据安全。