Как восстановить пароль Аpple с двухфакторной аутентификацией

Полагаю, сегодня уже не надо объяснять, что такое двухфакторная аутентификация и зачем она нужна. В случае с Apple тем не менее понадобятся дополнительные пояснения. Разработчики Apple требуют использовать двухфакторную аутентификацию не только ради ее основной функции — защиты учетной записи от неавторизованного доступа, но и для доступа к следующим возможностям:

• Синхронизация паролей в облако iCloud (облачная связка ключей iCloud Keychain). Стоит к ней привыкнуть, как эта возможность становится поистине незаменимой. Что интересно, пару лет назад воспользоваться синхронизацией паролей в облаке можно было и без двухфакторной аутентификации (а, к примеру, Google разрешает так делать до сих пор).
• Быстрый сброс или изменение забытого пароля к Apple ID. Достаточно противоречивая возможность: любой, к кому в руки попал твой iPhone и кто узнал твой код блокировки, сможет изменить и пароль от твоей учетной записи Apple ID (а заодно отвязать устройство от iCloud).
• Синхронизация сообщений с облаком iCloud (SMS и iMessage). Тоже довольно удобно; раньше сообщения сохранялись только в бэкапах.
• Синхронизация данных приложения «Здоровье». Логично, что эту категорию данных в компании пытаются защитить по максимуму.
• Работа «Экранного времени» в удаленном режиме. Для того чтобы контролировать экранное время ребенка, тебе придется включить 2FA как на своей учетной записи, так и на учетной записи ребенка. Еще одно противоречивое решение, учитывая то, с какой легкостью дети теряют и разбивают устройства.

РЕКОМЕНДУЕМ:
Стоит ли покупать iPhone на Avito и как это правильно сделать?

Если тебе показалось, что второй фактор аутентификации стал важнее, чем собственно пароль, то я соглашусь. Действительно, при помощи «дополнительного» фактора аутентификации сбросить забытый пароль — дело нескольких секунд, а вот заменить утраченный второй фактор, даже зная пароль, — задача практически невозможная. Давай сравним, что именно можно сделать с твоим аккаунтом и устройствами, если в наличии только логин и пароль — или только второй фактор аутентификации.

Вход в учетную запись Apple Account

• Логин и пароль: нет, потребуется второй фактор (за исключением сервиса Find My iPhone).
• Используя только второй фактор: да, можно. Просто сбрасываем пароль и наслаждаемся сервисом.

Сброс iPhone к заводским настройкам и отключение Find My iPhone

• Логин и пароль: да, можно сбросить и отключить привязку к iCloud.
• Используя только второй фактор: тоже без проблем. Просто меняем пароль, а потом отключаем iCloud.

Настройка нового устройства и восстановление данных из облачной резервной копии

• Логин и пароль: нет, потребуется второй фактор.
• Используя только второй фактор: да, можно. Просто сбрасываем пароль и наслаждаемся сервисом.

Возникает логичный вопрос: так что же у нас все-таки первичный, а что — дополнительный фактор аутентификации?

Если забыть пароль

Для начала разберемся, что будет, если ты забыл пароль от учетной записи, в которой активирована защита дополнительным фактором. Если второй, дополнительный фактор у тебя на руках — не будет ничего особенного: оказывается, пароль на самом деле вовсе не нужен и для успешного входа в учетную запись достаточно только второго фактора аутентификации. При наличии дополнительного фактора ты легко можешь сбросить или просто сменить пароль от Apple ID на новый. Вот как это работает.

Если iPhone или iPad настроен для работы с твоей учетной записью

Если у тебя на руках iPhone или iPad, который настроен для работы с твоей учетной записью (и активирована защита 2FA), то ты можешь попросту сменить пароль от учетной записи. Вот инструкция Apple:

1. Убедись, что на устройстве установлена iOS 10 или более поздней версии.
2. Открой настройки.
3. Нажми пункт «[твое имя] → Пароль и безопасность → Сменить пароль» и следуй инструкциям на экране для изменения пароля. При использовании iOS 10.2 и более ранних версий нажми пункт «iCloud → [твое имя] → Пароль и безопасность → Сменить пароль» и следуй инструкциям на экране.

Обрати внимание: оригинальный пароль от Apple ID для этого не нужен.

Если есть возможность сбросить пароль через сайт

Пароль можно сбросить через сайт iforgot.apple.com. Инструкции отправят на все доверенные устройства одновременно.

Если предыдущие варианты недоступны

Если доверенного устройства на руках нет, пароль все равно можно сбросить, воспользовавшись одним из многочисленных способов. Ключевой момент здесь — учетная запись должна использовать двухфакторную аутентификацию, а второй фактор (например, SIM-карта с доверенным телефонным номером) должен быть доступен.

Если пароль украден

Если у тебя украли пароль, твои данные в относительной безопасности. Единственный сервис Apple, которым сможет воспользоваться злоумышленник с твоим паролем, — это Find My iPhone. Через этот сервис можно отследить местоположение твоих устройств, заблокировать их или удалить с них данные. А вот получить доступ к твоим данным — тем же фотографиям или сохраненным в облаке паролям — у злоумышленника не получится. Ты же всегда сможешь восстановить сброшенные устройства из резервной копии, локальной или облачной.

Что считается вторым фактором аутентификации

В экосистеме Apple вторым фактором могут быть:

1. Твой iPhone, iPad, iPod Touch или компьютер с macOS, которые используют твой Apple ID.
2. Доверенный телефонный номер.

Особенности аутентификации с помощью другого устройства Apple

• Работает, только если ты можешь разблокировать устройство посредством Touch ID, Face ID или пасскода.
• Можно сгенерировать код подтверждения доступа в режиме офлайн через настройки «Apple ID → Пароль и безопасность». Что интересно, коды, одновременно сгенерированные на разных устройствах, будут разными (а вот для Google это не так: офлайновое приложение Authenticator в каждый момент времени будет генерировать одинаковые коды независимо от того, на каком устройстве запущено).

• Если устройство подключено к интернету, код будет отправлен на все устройства.
• Каждое устройство получит свой, уникальный код.
• В iOS 11.3 появилась возможность проходить двухфакторную аутентификацию даже без ввода одноразового кода. В некоторых (официально не уточняется, каких именно) случаях iPhone автоматически верифицирует доверенный телефонный номер в фоновом режиме. Вероятно, технически это реализуется доставкой скрытой SMS с токеном (подобным образом реализует двухфакторную аутентификацию Xiaomi для защиты Mi Account).

Особенности аутентификации с помощью доверенного телефонного номера

• Доверенных телефонных номеров может быть несколько, при этом любой из них может быть использован против тебя (для перехвата управления твоей учетной записи, смены пароля от Apple ID и последующих манипуляций).
• Наличие хотя бы одного доверенного телефонного номера — необходимое требование для включения 2FA.
• Код для проверки приходит в SMS или через голосовой звонок.

Обрати внимание: в качестве доверенных устройств могут использоваться только устройства Apple, включая iPad, iPhone, iPod Touch или компьютеры Mac. Ты не можешь просто взять и отсканировать QR-код для последующего использования в стандартном приложении Authenticator (их выпускают такие компании, как Google, Microsoft, Xiaomi, масса сторонних разработчиков — и все они совместимы между собой и работают на любой платформе). Аутентификация через стандартное приложение Authenticator — это путь, выбранный большинством компаний: Amazon, Dropbox, Facebook, Google, Microsoft, Xiaomi и многие другие компании поддерживают коды, генерируемые по стандартному протоколу TOTP. Но не Apple.

А что произойдет, если у тебя есть только одно устройство Apple и единственный доверенный номер телефона и ты лишился и того и другого?

Если ты знаешь пароль, но утратил вторичный фактор аутентификации

Как ты помнишь, забытый пароль при наличии вторичного фактора аутентификации — вопрос решаемый, причем решаемый за несколько секунд. А вот за утрату всех экземпляров второго фактора аутентификации Apple накажет: при том, что пароль тебе известен, к своим данным ты не доберешься без длительной (до двух недель) процедуры восстановления доступа к учетной записи. И еще не факт, что доступ тебе восстановят: есть вероятность, что со своей учетной записью и всеми накопленными там данными тебе придется попрощаться навсегда.

Как мы уже выяснили, если украдут твой пароль от Apple ID, то максимум, что сможет сделать злоумышленник, — это заблокировать привязанные к твоей учетной записи устройства и стереть с них данные. Сменить пароль от учетной записи он не сможет; не сможет и получить доступ к данным.

РЕКОМЕНДУЕМ:
Восстановление прошивки iPhone

Если же у тебя украдут второй фактор аутентификации — у тебя проблемы. Как вариант, злоумышленник может получить за тебя новую SIM-карту с доверенным номером по фальшивой доверенности — этот способ мошенничества набирает обороты, причем иногда в подобных схемах участвуют нечистые на руку сотрудники сотовых операторов.

Итак, если второй фактор украден, злоумышленник может действовать следующим образом.

1. На первом шаге злоумышленник попытается изменить пароль от твоей учетной записи Apple ID. Как ты помнишь, сделать это просто. На оставшиеся у тебя устройства поступит уведомление о попытке входа в учетную запись; как правило, мошенник сменит пароль еще до того, как ты успеешь отреагировать. После этого события будут развиваться с высокой скоростью: схема у мошенников отработана, а обычному пользователю не сразу становится понятно, что его учетную запись взломали.
2. После того как пароль от учетной записи сменится, злоумышленник постарается максимально быстро отвязать устройство от iCloud, после чего или сразу же сбросить устройство (если его цель — перепродажа), или получить доступ ко всей твоей информации.

Злоумышленник получит доступ ко всей информации из списка ниже:

1. Фотографии из облака iCloud, если включена опция iCloud Photo Library.
2. Синхронизированные данные. Сюда входят контакты, календари, заметки, напоминания, список телефонных звонков (кстати, включая голосовые звонки через такие приложения, как Skype или Telegram), история браузера Safari, закладки, открытые вкладки и многое другое.
3. Данные приложения «Здоровье», если у тебя было хотя бы одно устройство с iOS 11.x.
4. После восстановления на свежий телефон резервной копии из iCloud (в ней, кстати, могут сохраняться и фотографии, если облачное хранилище фото отключено) — данные множества установленных на твоих устройствах приложений. Здесь нужно отметить, что ряд приложений ограничивает количество данных, сохраняемых в резервной копии.
5. Если ты пользуешься почтовым адресом на icloud.com, то доступ к твоей переписке.
6. Файлы iCloud Drive.
7. Книги и документы из приложения Books.
8. Данные многих приложений, которые используют iCloud Drive для синхронизации или хранения информации.

Информация из следующего списка дополнительно зашифрована ключом, получить который может только устройство из «круга доверия». Войти в «круг доверия» можно, только указав код блокировки одного из твоих устройств iOS (или системный пароль от компьютера Mac). После десяти неверных попыток ввода этого кода содержимое облачной связки ключей уничтожается. Если код блокировки злоумышленнику неизвестен, то он не получит доступа к следующим данным:

1. Облачная связка ключей iCloud Keychain. Здесь могут храниться все твои пароли — как те, которые сохранялись в браузере Safari, так и те, которые ты вводил в приложениях. К счастью, хранилище паролей надежно зашифровано; извлечь из облака (а точнее, расшифровать) эту информацию, не зная кода блокировки к одному из твоих устройств, невозможно.
2. Данные приложения «Здоровье», сохраненные устройствами с iOS 12. Эти данные также шифруются ключом из iCloud Keychain.
3. Твои сообщения SMS и iMessage, если ты включил режим синхронизации сообщений в облако. А вот если режим синхронизации не был включен, то сообщения можно достать из резервной копии.
4. Данные ряда приложений, которые не сохраняют резервные копии в облаке. Сюда входят, например, многие мессенджеры (Skype, Telegram), почтовые клиенты (Outlook, Gmail), приложения-аутентификаторы, банковские приложения.

Как восстановить доступ к Apple ID

В каких случаях пользователь чаще всего теряет оба экземпляра второго фактора аутентификации — и телефон, и доверенный телефонный номер? Конечно, во время поездок и путешествий. Казалось бы, с учетом частоты этих регулярно повторяющихся происшествий у Apple должен быть четкий механизм для максимально быстрого восстановления доступа к учетной записи. Ну, например, пользователь мог бы прийти в магазин Apple Store и идентифицировать себя хотя бы паспортом, чтобы получить возможность активировать новое устройство. Однако такой подход не работает. Ни самого пользователя, ни его паспорт Apple не считает вторым фактором аутентификации, а значит, и подпускать такую подозрительную личность к защищенной учетной записи нельзя.

Соответственно, тебе придется сначала восстановить SIM-карту с доверенным телефонным номером (для чего, как правило, нужно вернуться в страну, в которой была выдана SIM-карта, — за исключением случаев, когда использовалась eSIM) и получить на эту SIM-карту SMS с кодом верификации. Только после этого ты сможешь зайти в собственную учетную запись.

А если тебе нужен доступ здесь и сейчас? Единственное, чем тебе может помочь Apple, — это автоматизированная процедура восстановления доступа к Apple ID, причем «в целях безопасности процедура восстановления может занять несколько дней или больше». Кроме того, даже если ты введешь корректные данные, успех вовсе не гарантируется.

Вообще говоря, трудно поверить, что дела могут обстоять именно таким образом. В конце концов, человек может потерять все что угодно (а многие из нас делают это регулярно). В большинстве случаев (утрата SIM-карт, банковских и кредитных карточек) потерянное восстанавливается легко и просто, даже если не всегда бесплатно. С учетом того, насколько легко при помощи второго фактора восстанавливается забытый пароль от Apple ID, мы ожидали, что и второй фактор посредством пароля (и, возможно, идентифицирующего документа) можно будет восстановить. Увы, оказалось, что это не так.

Важный вывод: в экосистеме Apple второй фактор аутентификации внезапно превращается в основной инструмент авторизации пользователя. Пароль от учетной записи отходит на второй план и становится совершенно не обязательным.

Двухфакторная аутентификация, детские аккаунты и «Экранное время»

Семейный доступ — прекрасная возможность совместного использования купленных в App Store приложений и иного контента. В одной «семье» Apple разрешает завести до шести членов. В то же время Apple официально рекомендует использовать отдельные, уникальные Apple ID для каждого члена семьи, включая детей. Для контроля использования детьми устройств в последних версиях iOS доступен режим «Экранное время». В этом режиме можно как отслеживать использование устройства ребенком, так и настроить ограничения.

Экранным временем удобно управлять дистанционно, через облако. Однако для того, чтобы это сделать, необходимо включить двухфакторную аутентификацию как на родительской, так и на детской учетной записи. Таким образом, даже детские учетные записи, по мнению Apple, должны использовать двухфакторную аутентификацию (забегая вперед: нет, просто родительского пароля недостаточно).

Дальше — интереснее. Если ребенку не исполнилось тринадцати лет, то просто удалить его учетную запись из семейного доступа ты не сможешь: по мнению Apple, такое действие эквивалентно тому, чтобы вышвырнуть несчастное дитя на улицу. Более того, если в твоей группе присутствует хотя бы одна учетная запись, возраст участника которой менее тринадцати лет, ты не сможешь даже выйти из семейного доступа, распустив группу. В результате при утрате ребенком второго фактора аутентификации (например, если в качестве доверенного номера ты зарегистрировал SIM-карту, которую потом перестали использовать) не только будет утрачен доступ к детской учетной записи, но и удалить ее из семейного доступа ты не сможешь.

РЕКОМЕНДУЕМ:
Есть ли вирусы на iOS?

Честно говоря, мне было трудно поверить, что подобная нелогичная система возможна. Я искусственно создал описанную выше ситуацию и позвонил в техподдержку Apple. После общения со специалистом техподдержки, а затем и специалистом второго уровня у меня создалось стойкое ощущение, что мне ненавязчиво рекомендуют создать «липовый» Apple ID, в который можно перевести не нужного больше ребенка. Почему «липовый»? Вероятность того, что работники техподдержки всерьез стали бы рекомендовать завести новую жену, которой можно было бы «спихнуть» ребенка, я оцениваю как крайне низкую.

Мой вывод в целом — в настоящее время второй фактор аутентификации в экосистеме Apple играет слишком большую роль.

Заключение

В экосистемах как Apple, так и Google предусмотрена возможность восстановления доступа к учетным записям. При использовании двухфакторной аутентификации механизмы восстановления доступа будут сильно отличаться для ситуации, когда ты забыл пароль (но имеешь доступ ко второму фактору аутентификации), и ситуации, когда пароль тебе известен, но доступа ко второму фактору аутентификации нет.

В экосистеме Apple ко второму фактору двухфакторной аутентификации привязано такое количество сервисов, что его ценность и важность многократно превосходит ценность собственно пароля от учетной записи. Как следствие, восстановление доступа к аккаунту, если утрачен второй фактор, многократно сложнее и неизмеримо более длительно, чем восстановление доступа к учетным записям с забытым паролем.