Apple ID 的密码被静默修改

2023-02-17 09:32:19 +08:00
 windirt

我的 icloud 帐号和 apple store 帐号是分开使用的,apple store 帐号是 gmail.com ,开启了两步验证(授信设备验证或者短信验证码)

今天查看 gmail 邮箱的时候,发现一封苹果发来的邮件说昨天下午 17:44 的时候,这个 gmail 的 apple id 密码被重设成功,此时间段我未收到任何授信设备登录提醒以及短信。gmail.com 帐号是开启了谷歌高级数据保护的,需要刷 yubikey 才能登录的。

于是我使用这个帐号登录 icloud.com ,显示帐号和密码错误。

找回帐号的过程中,需要验证手机号,这个通过了,然后苹果说在我其他所有登录过这个帐号的设备上会弹出授信登录和六位数字,结果无论是 iPhone 还是 Macbook 都没有任何弹出,选择其他方式,继续验证短信和邮箱,输入两次六位代码以后,一个工作日以后通过邮箱告知结果。

现在好奇的是 Apple 修改密码没有任何验证的? 我的密码是怎么被修改的?

2380 次点击
所在节点    Apple
13 条回复
mringg
2023-02-17 09:34:45 +08:00
感觉主要因为这步 “apple id 密码重设”,所以没有验证的提示。
shyrock
2023-02-17 09:50:39 +08:00
我也收到了,是被女儿修改的。

苹果的沙币设计,用 iPad 锁屏密码就可以重置登录 iPad 的 app id 密码
shyrock
2023-02-17 09:51:44 +08:00
我猜设计初衷是为了解决一些记性不好的蠢人忘了 app id 密码的问题,就让这帮笨蛋有机会通过简单的锁屏密码来重置 app id 密码。。。
RiverMud
2023-02-17 09:58:36 +08:00
正如 2L3L 说的那样,iOS14 还是 15 出的沙币特性。

检查下你是不是有其他设备 iCloud 登录了 gmail
dearmymy
2023-02-17 09:58:37 +08:00
首先两点要确认下
1 ,apple id 是否自己注册还是购买。
2 ,手机号是否自己自用实体卡还是 gv 之类。
他修改你没提醒,我能想到原因就是
1 ,这个 apple id 信任过其他人设备,想想是否用爱思助手之类,不只是手机,pc 信任也会导致被修改。
2 ,他能拦截你手机号,如果使用虚拟号可以想想
3 ,他知道你 id 跟手机号。恢复选择记不住密码跟手机遗失。但是好像审核需要 1 个月左右,你搜下近几个月邮箱有收到苹果邮寄没
4 ,就是你身边人物理黑客。。。
shyrock
2023-02-17 10:02:33 +08:00
@RiverMud #4 用简单密码重置复杂密码,用低风险密码重置高风险密码。这特么毫无安全常识的设计真的让人想开骂。不知道哪里有渠道可以把问题报给库克。
windirt
2023-02-17 10:05:10 +08:00
@dearmymy

1. 2010 年自己注册的
2. 自用十几年号码
3. 因为是 App Store 购买帐号,所以在家里所有设备上都有登录,大概十几个吧
4. 我初步怀疑是我家老头改的,因为前几天才淘汰了一个 iPhone 给他,暂时还没给他加入 iCloud 家庭,仅仅只登录了 App Store 帐号(也就是涉事帐号)便于给他下载 app

大概率是老头瞎戳戳的时候乱改的

等回家再问了,估计也是一脸无辜,我啥都不知情的样子
xtx
2023-02-17 10:48:35 +08:00
很早以前就吐槽过了,不用验证码,不用老密码,可以直接改 appleid 密码。
xtinput
2023-02-17 10:54:33 +08:00
因为它是可信任设备,所以解锁密码就能改密码了
essethon
2023-02-17 10:58:18 +08:00
@shyrock #3 个人理解:

感觉苹果的产品体系就是围绕硬件(尤其是 iPhone )展开的,在这个体系里硬件( Trusted device )有很高的优先级,例如,苹果认为你的 iPhone/MacBook 本地加密密钥比作为「互联网账号」的 Apple ID 安全性高一个 level 。

所以,如果你手上控制着某个 Apple ID 关联的 trusted device ,那么使用这个 trusted device 去修改那个 Apple ID 的密码就是符合安全设计逻辑的。

反之则不行,你不能用 Apple ID 的信息去解锁一个你忘了锁屏密码的 iPhone/Mac 。
oreoiot
2023-02-17 11:03:13 +08:00
加一层访问限制可解?
Lax
2023-02-17 11:33:16 +08:00
恭喜破案。幸好我给爹妈的设备用了单独的 apple id
essethon
2023-02-17 11:33:30 +08:00
这个地推也太「敬业」了😂

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/916838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX