О двухфакторной аутентификации

Проблема:

    1. При попытке войти с Mac на icloud.com и страницу управления своим Apple ID, коды двухфакторной аутентификации приходят не только на другие доверенные устройства (iPhone), но и на то устройство (Mac), на котором требуется подтверждение входа. Что обессмысливает процедуру, т.к. позволяет злоумышленнику, получившему устройство, получить ещё и доступ ко всему остальному.
    2. Отключить это или как-то иначе настроить, ни в Системных настройках, ни в iCloud, ни на странице управления своим Apple ID невозможно.

Вчера мы постигли эту тайну, и тоже с помощью далеко не первого специалиста поддержки компании Apple.

 

Ответ:

Компания Apple сообщила, что отображение кодов двухфакторной проверки на всех доверенных устройствах – это как раз нормально. Ненормально, наоборот, то, что происходит у нас (происходило: под руководством Специалиста технического отдела Apple мы у себя это поломали и теперь тоже наслаждаемся отображением кодов везде, где не надо).

Далее стороны обменялись такими мнениями:

– Но ведь код проверки нужно получать НА ДРУГОМ устройстве. Получение этого кода на том же устройстве, на котором вводится, лишает её смысла: во-первых, невозможно удостовериться, что человек, запрашивающий этот пароль, и есть хозяин Mac; а во-вторых, получение этого пароля злоумышленником означает доступ к Apple ID, а потом и смену настроек безопасности других устройств и их блокировку..

– Да, мы понимаем. Но Вы можете создать на этом Mac резервные коды доступа, если Ваш iPhone недоступен.

(Если возник вопрос, при чём тут это, то, правильно: ни при чём. Человек попытался тупо сменить тему, что, во-первых, – хамство, а во-вторых, вышло плохо совсем)

– То есть, мало того, что злоумышленник получает полный доступ к Mac, iCloud и к странице управления Apple ID, он ещё и может на этом Mac генерировать коды аварийного доступа для входа на другие устройства без пароля пользователя? (Системные настройки ⤑ iCloud ⤑ Учётная запись ⤑ Безопасность ⤑ Получить код проверки). Но ведь для этого даже не надо вводить никакой дополнительный пароль подтверждения и проверки – даже пароль Администратора Mac (даже чтобы сменить дату, это необходимо, а тут – нет)!

– Да.

– Вы там совсем рехнулись?

 

Бонус

Наконец, самое весёлое. Если удалить проблемное устройство из списка доверенных (чтобы с украденного, но разблокированного (а так бывает, когда сидите на летней площадке кафе, а мимо пробегает Гаврош) было невозможно получить доступ к iCloud, Apple ID и другим устройствам пользователя, и чтобы эти коды проверки приходили только на другие устройства), то с этого устройства также удаляется и iCloud пользователя и привязка его к iCloud (и они не будут работать на этом Mac до тех пор, пока он снова не будет добавлен в список доверенных устройств). То есть, если в критической ситуации удалить это устройство из списка доверенных (разумные действия), то это значит просто подарить его какой-то мрази, т.к. “Найти Mac/iPhone” там работать не будет (а значит – и удалённая блокировка, и поиск).