iclood用户注意苹果两步保护赢了保护您的数据_皇家娱乐
核心技术
皇家娱乐 > 核心技术 > iclood用户注意苹果两步保护赢了保护您的数据
iclood用户注意苹果两步保护赢了保护您的数据
时间: 2018-06-19 浏览次数:57
如果您认为您的图片、联系人和其他数据受到苹果公司3月份在其icload服务中添加的两步验证保护,请重新考虑。莫斯科的安全研究人员说,这项措施有

如果您认为您的图片、联系人和其他数据受到苹果公司3月份在其icload服务中添加的两步验证保护,请重新考虑。莫斯科的安全研究人员说,这项措施有助于防止用你的Apple ID进行欺诈性购买,但无助于增强你存储的文件的安全性。

很清楚,只要锁定icload数据的密码很强并且保持秘密,它仍然是安全的。但是,如果您的帐户凭据受损(这正是Apple的双因素验证旨在防范的可能性),则没有什么可以阻止对手访问icload帐户中存储的数据。ElcomSoft的研究人员——破解密码的复杂软件的开发人员——在周四发表的博客文章中做出了这一评估。ElcomSoft CEO Vladimir Katalov写道:

在目前的实施中,苹果的双因素身份验证并不妨碍任何人将iOS备份恢复到新的(不可信的)设备上。此外,这是一个更大的问题,Apple实施不适用于icload备份,允许知道用户Apple ID和密码的任何人下载和访问icload中存储的信息。这很容易验证;只需登录您的icload帐户,您就可以获得存储在其中的所有内容的完整信息,而无需请求任何其他登录信息。

他接着说:

在ElcomSoft s看来,从安全的角度来看,这是不正确的做法。iclough过去曾被利用(参见挪威青少年黑客iclough帐户),将来也会被利用。

公平地说,苹果公司的FAQ中没有任何关于双因素验证的内容表示或暗示用户数据受到新措施的保护。不过,它是在黑客利用亚马逊和苹果在线服务的安全漏洞,毁掉有线编辑Mat Honan的整个数字生活几个月后推出的。考虑到苹果推出双因素产品的时机,如果一些客户认为,如果黑客能够利用类似的漏洞,它可以阻止类似的事情发生在他们身上,那就不足为奇了。根据ElcomSoft s Katalov的说法,新措施可能无法阻止访问河南的攻击类型。虽然它可以防止攻击者重置用户的iclow密码,但并不能阻止他们复制或删除存储在帐户中的文件。一旦锁定它的密码遭到破坏,攻击者就可以将备份的iPhone或iPad数据恢复到新设备上,这也正是双因素身份验证旨在减轻的情形。除非苹果公司有它没有提到的幕后保护,否则攻击者就有能力获得对文件的相当大的控制权,包括永远删除它们。听起来很像去年袭击河南的黑客。

对我来说,这里的故事都是关于苹果公司提供2FA [双因素认证]解决方案,它并没有为你(文件、文件等)增加太多额外的安全性,但是它保护了他们(和你)免受未经授权的金钱交易和对你的账户的更改,挪威奥斯陆的安全顾问Thorsheim在给Ars的电子邮件中写道。人们根本没有意识到这一点,当人们启用2FA并将敏感和秘密文档放入iclood时,这将是一个虚假的安全层。

他接着说:

人们期望2FA解决方案增加额外的安全性以保护他们的数据,但是与Dropbox & Google相反,苹果并没有真的这样做。这是目前大型知名服务推出的最弱的2FA解决方案,只会给人们的思想增加一层虚假的安全隐患,可能会产生危险的结果。

便利是安全的敌人(反之亦然),但是人们也期望登录到他们的帐户很容易,并且当他们不能访问他们的数据时经常变得愤怒。缺乏任何双因素认证保护icload帐户中存储的数据,可能是苹果工程师有意决定避免在其他提供双因素保护的网站上发现的那种克鲁格。Google经常使用特定应用程序的密码来保护用户数据,因为许多程序(例如符合IMAP的电子邮件客户端或Adobe的Lightroom应用程序)目前无法接受验证码。特定于应用程序的密码有助于减少攻击者获得Google用户密码时造成的损害。但保护是有代价的。莱斯大学计算机科学系教授丹·瓦拉克告诉Ars说:「为了让Google覆盖所有的基地,Google的两个因素有时会很难使用。」 Google在安全方面做得非常好,现在你有可用性问题。

苹果工程师似乎选择了错误的另一面,牺牲一些保护来给用户更多的便利。根据iclood用户阅读Apple文档和测试双因素验证保护其帐户的方式的紧密程度,这可能是新信息,也可能不是新信息。不过,安全研究人员说,ElcomSoft的分析还是有价值的。Duo Security公司的首席技术官乔恩·奥伯雷德说:“

这是一个值得的发现。”Duo Security是一家向商业客户提供双因素身份验证服务的公司。了解和理解他们的帐户没有100 %受到推出的这一新功能的保护,这是很好的。但我不认为这是一个不可修正的限制,公平地说,我不知道这是否是为了保护这种模式。

Copyright © 2017 皇家娱乐 版权所有