В последние годы одного лишь пароля для защиты важных учетных записей от неавторизованного доступа стало недостаточно. Большинство крупных компаний (Google, Apple, Amazon, Microsoft, Dropbox, Facebook и многие другие) ввели сначала опциональную, а потом — усиленно рекомендуемую защиту вторым фактором аутентификации. До тех пор пока второй фактор находится у тебя на руках, все работает хорошо. Но что будет, если пароль ты помнишь, а доступа ко второму фактору нет?
Попробуем разобраться, что случится с твоими аккаунтами Apple и Google, если доступ ко второму фактору утрачен.
Спросишь, как вообще можно потерять второй фактор аутентификации? Легко: в поездке (особенно заграничной) у тебя украли (забыл, потерял — не суть важно) телефон. Совершенно случайно в украденном (забытом, потерянном) телефоне была установлена SIM-карта с доверенным номером. Заблокировать украденное устройство ты можешь и без него, а вот зайти в учетную запись, чтобы активировать купленный на замену утраченному смартфон, уже не получится: «домашнюю» SIM-карту тебе за границей не восстановят.
В случае с Apple дела обстоят еще интереснее. Помимо доверенных телефонных номеров, вторым фактором аутентификации у Apple могут выступать только и исключительно устройства Apple. Ни запасных кодов, ни приложения, которое генерировало бы одноразовые ключи, не предусмотрено. Так что, если вдруг ты собрался продать или обменять единственное из имеющихся у тебя или у ребенка устройств Apple, убедись, что в настройках аккаунта указан актуальный телефонный номер. В противном случае тебе не поможет никто: зайти в свою учетную запись на свежекупленном устройстве ты уже не сможешь.
Самое интересное происходит тогда, когда доступ ко второму фактору аутентификации теряет ребенок до тринадцати лет, устройство которого включено в «Семейный доступ» и управляется с помощью функции «Экранного времени». Казалось бы, ты родитель с активной функцией родительского контроля. Зайди в свою учетную запись и делай что угодно. Так оно и было бы, если бы ребенок просто забыл пароль; однако, по мнению Apple, пароль-то дите забыть может, а вот потерять или сломать второй фактор аутентификации — никогда. Решать возникшую проблему тебе придется вполне по-взрослому. Забегая вперед, скажу: в некоторых случаях решения у нее не будет вообще.
Полагаю, сегодня уже не надо объяснять, что такое двухфакторная аутентификация и зачем она нужна. В случае с Apple тем не менее понадобятся дополнительные пояснения. Разработчики Apple требуют использовать двухфакторную аутентификацию не только ради ее основной функции — защиты учетной записи от неавторизованного доступа, но и для доступа к следующим возможностям:
Если тебе показалось, что второй фактор аутентификации стал важнее, чем собственно пароль, то я соглашусь. Действительно, при помощи «дополнительного» фактора аутентификации сбросить забытый пароль — дело нескольких секунд, а вот заменить утраченный второй фактор, даже зная пароль, — задача практически невозможная. Давай сравним, что именно можно сделать с твоим аккаунтом и устройствами, если в наличии только логин и пароль — или только второй фактор аутентификации.
Возникает логичный вопрос: так что же у нас все-таки первичный, а что — дополнительный фактор аутентификации?
Для начала разберемся, что будет, если ты забыл пароль от учетной записи, в которой активирована защита дополнительным фактором. Если второй, дополнительный фактор у тебя на руках — не будет ничего особенного: оказывается, пароль на самом деле вовсе не нужен и для успешного входа в учетную запись достаточно только второго фактора аутентификации. При наличии дополнительного фактора ты легко можешь сбросить или просто сменить пароль от Apple ID на новый. Вот как это работает.
Если у тебя на руках iPhone или iPad, который настроен для работы с твоей учетной записью (и активирована защита 2FA), то ты можешь попросту сменить пароль от учетной записи. Вот инструкция Apple:
Обрати внимание: оригинальный пароль от Apple ID для этого не нужен.
Пароль можно сбросить через сайт iforgot.apple.com. Инструкции отправят на все доверенные устройства одновременно.
Если доверенного устройства на руках нет, пароль все равно можно сбросить, воспользовавшись одним из многочисленных способов. Ключевой момент здесь — учетная запись должна использовать двухфакторную аутентификацию, а второй фактор (например, SIM-карта с доверенным телефонным номером) должен быть доступен.
Если у тебя украли пароль, твои данные в относительной безопасности. Единственный сервис Apple, которым сможет воспользоваться злоумышленник с твоим паролем, — это Find My iPhone. Через этот сервис можно отследить местоположение твоих устройств, заблокировать их или удалить с них данные. А вот получить доступ к твоим данным — тем же фотографиям или сохраненным в облаке паролям — у злоумышленника не получится. Ты же всегда сможешь восстановить сброшенные устройства из резервной копии, локальной или облачной.
В экосистеме Apple вторым фактором могут быть:
Обрати внимание: в качестве доверенных устройств могут использоваться только устройства Apple, включая iPad, iPhone, iPod Touch или компьютеры Mac. Ты не можешь просто взять и отсканировать QR-код для последующего использования в стандартном приложении Authenticator (их выпускают такие компании, как Google, Microsoft, Xiaomi, масса сторонних разработчиков — и все они совместимы между собой и работают на любой платформе). Аутентификация через стандартное приложение Authenticator — это путь, выбранный большинством компаний: Amazon, Dropbox, Facebook, Google, Microsoft, Xiaomi и многие другие компании поддерживают коды, генерируемые по стандартному протоколу TOTP. Но не Apple.
А что произойдет, если у тебя есть только одно устройство Apple и единственный доверенный номер телефона и ты лишился и того и другого?
Как ты помнишь, забытый пароль при наличии вторичного фактора аутентификации — вопрос решаемый, причем решаемый за несколько секунд. А вот за утрату всех экземпляров второго фактора аутентификации Apple накажет: при том, что пароль тебе известен, к своим данным ты не доберешься без длительной (до двух недель) процедуры восстановления доступа к учетной записи. И еще не факт, что доступ тебе восстановят: есть вероятность, что со своей учетной записью и всеми накопленными там данными тебе придется попрощаться навсегда.
Как мы уже выяснили, если украдут твой пароль от Apple ID, то максимум, что сможет сделать злоумышленник, — это заблокировать привязанные к твоей учетной записи устройства и стереть с них данные. Сменить пароль от учетной записи он не сможет; не сможет и получить доступ к данным.
Если же у тебя украдут второй фактор аутентификации — у тебя проблемы. Как вариант, злоумышленник может получить за тебя новую SIM-карту с доверенным номером по фальшивой доверенности — этот способ мошенничества набирает обороты, причем иногда в подобных схемах участвуют нечистые на руку сотрудники сотовых операторов.
Итак, если второй фактор украден, злоумышленник может действовать следующим образом.
Злоумышленник получит доступ ко всей информации из списка ниже:
Информация из следующего списка дополнительно зашифрована ключом, получить который может только устройство из «круга доверия». Войти в «круг доверия» можно, только указав код блокировки одного из твоих устройств iOS (или системный пароль от компьютера Mac). После десяти неверных попыток ввода этого кода содержимое облачной связки ключей уничтожается. Если код блокировки злоумышленнику неизвестен, то он не получит доступа к следующим данным:
В каких случаях пользователь чаще всего теряет оба экземпляра второго фактора аутентификации — и телефон, и доверенный телефонный номер? Конечно, во время поездок и путешествий. Казалось бы, с учетом частоты этих регулярно повторяющихся происшествий у Apple должен быть четкий механизм для максимально быстрого восстановления доступа к учетной записи. Ну, например, пользователь мог бы прийти в магазин Apple Store и идентифицировать себя хотя бы паспортом, чтобы получить возможность активировать новое устройство. Однако такой подход не работает. Ни самого пользователя, ни его паспорт Apple не считает вторым фактором аутентификации, а значит, и подпускать такую подозрительную личность к защищенной учетной записи нельзя.
Соответственно, тебе придется сначала восстановить SIM-карту с доверенным телефонным номером (для чего, как правило, нужно вернуться в страну, в которой была выдана SIM-карта, — за исключением случаев, когда использовалась eSIM) и получить на эту SIM-карту SMS с кодом верификации. Только после этого ты сможешь зайти в собственную учетную запись.
А если тебе нужен доступ здесь и сейчас? Единственное, чем тебе может помочь Apple, — это автоматизированная процедура восстановления доступа к Apple ID, причем «в целях безопасности процедура восстановления может занять несколько дней или больше». Кроме того, даже если ты введешь корректные данные, успех вовсе не гарантируется.
Вообще говоря, трудно поверить, что дела могут обстоять именно таким образом. В конце концов, человек может потерять все что угодно (а многие из нас делают это регулярно). В большинстве случаев (утрата SIM-карт, банковских и кредитных карточек) потерянное восстанавливается легко и просто, даже если не всегда бесплатно. С учетом того, насколько легко при помощи второго фактора восстанавливается забытый пароль от Apple ID, мы ожидали, что и второй фактор посредством пароля (и, возможно, идентифицирующего документа) можно будет восстановить. Увы, оказалось, что это не так.
Важный вывод: в экосистеме Apple второй фактор аутентификации внезапно превращается в основной инструмент авторизации пользователя. Пароль от учетной записи отходит на второй план и становится совершенно не обязательным.
Семейный доступ — прекрасная возможность совместного использования купленных в App Store приложений и иного контента. В одной «семье» Apple разрешает завести до шести членов. В то же время Apple официально рекомендует использовать отдельные, уникальные Apple ID для каждого члена семьи, включая детей. Для контроля использования детьми устройств в последних версиях iOS доступен режим «Экранное время». В этом режиме можно как отслеживать использование устройства ребенком, так и настроить ограничения.
Экранным временем удобно управлять дистанционно, через облако. Однако для того, чтобы это сделать, необходимо включить двухфакторную аутентификацию как на родительской, так и на детской учетной записи. Таким образом, даже детские учетные записи, по мнению Apple, должны использовать двухфакторную аутентификацию (забегая вперед: нет, просто родительского пароля недостаточно).
Дальше — интереснее. Если ребенку не исполнилось тринадцати лет, то просто удалить его учетную запись из семейного доступа ты не сможешь: по мнению Apple, такое действие эквивалентно тому, чтобы вышвырнуть несчастное дитя на улицу. Более того, если в твоей группе присутствует хотя бы одна учетная запись, возраст участника которой менее тринадцати лет, ты не сможешь даже выйти из семейного доступа, распустив группу. В результате при утрате ребенком второго фактора аутентификации (например, если в качестве доверенного номера ты зарегистрировал SIM-карту, которую потом перестали использовать) не только будет утрачен доступ к детской учетной записи, но и удалить ее из семейного доступа ты не сможешь.
Честно говоря, мне было трудно поверить, что подобная нелогичная система возможна. Я искусственно создал описанную выше ситуацию и позвонил в техподдержку Apple. После общения со специалистом техподдержки, а затем и специалистом второго уровня у меня создалось стойкое ощущение, что мне ненавязчиво рекомендуют создать «липовый» Apple ID, в который можно перевести не нужного больше ребенка. Почему «липовый»? Вероятность того, что работники техподдержки всерьез стали бы рекомендовать завести новую жену, которой можно было бы «спихнуть» ребенка, я оцениваю как крайне низкую.
Мой вывод в целом — в настоящее время второй фактор аутентификации в экосистеме Apple играет слишком большую роль.
После того, что из двухфакторной аутентификации сотворили в Apple, аналогичная система Google кажется глотком свежего воздуха. Google использует двухфакторную аутентификацию исключительно по ее прямому назначению: в качестве дополнительной меры безопасности и ни для чего больше. В учетных записях Google без двухфакторной аутентификации доступны ровно те же возможности, что и с ней.
В Google чрезвычайно либерально относятся к тому, что именно может выступать дополнительным фактором. Вот список:
В Google понимают, что доступ к 2FA может быть утрачен точно так же, как и пароль. В компании написали на эту тему подробную статью «Проблемы при использовании двухэтапной аутентификации», которая начинается с пункта «Мой телефон потерялся или был украден». В целом нам не расскажут ничего особо интересного: большинство предложений сводится к тому, чтобы воспользоваться одним из множества дополнительных факторов аутентификации, которые все еще могли остаться в твоем распоряжении. Пожалуй, интерес представляет лишь вариант войти в настройки Google Account из браузера на компьютере, в котором ты когда-то вошел в учетную запись Google, и прямо оттуда двухфакторную аутентификацию временно отключить или, к примеру, сгенерировать с десяток свежих резервных кодов. Впрочем, с учетом того, насколько либерально относится Google к дополнительным средствам аутентификации, можно заранее озаботиться тем, чтобы завести дополнительные.
Если же ни один из дополнительных факторов тебе не доступен, то единственный оставшийся вариант — автоматизированная процедура восстановления доступа к аккаунту. Мы неоднократно тестировали работу этой функции и, как и в случае с Apple, пришли к выводу, что ее успешное использование — вопрос исключительно удачи, а не чего-либо еще. Иногда нам удавалось получить доступ к аккаунту, но нередко наши попытки заканчивались тем, что Google просто блокировал аккаунт и требовал сменить пароль. Кстати, попытка восстановить доступ к аккаунту провалится с очень высокой вероятностью, если ты попробуешь это проделать, находясь в заграничной поездке. А вот из дома, с собственного IP, у тебя есть шансы.
Так же как и Apple, Google рекомендует создавать отдельные учетные записи для детей, в том числе для детей, не достигших тринадцати лет. Так же как и в экосистеме Apple, ты можешь добавить ребенка в семейную группу, что позволит ребенку пользоваться купленными тобой приложениями — впрочем, только теми, которые ты оплатил после 2 июля 2016 года. (К примеру, купленный мной в незапамятные времена лаунчер Nova в моей семейной группе недоступен.)
Если ребенок использует планшет или телефон с Android, то его учетной записью можно управлять с помощью приложения Google Family Link (кстати, функциональность Family Link доступна и на платформе iOS через одноименное приложение). Google Family Link во многом похож на «Экранное время» Apple и выполняет схожие функции. Впрочем, в Google нет ряда ограничений (например, учетную запись ребенка можно свободно добавлять и удалять независимо от возраста), зато есть другие (например, при активации Family Link приложение YouTube автоматически становится недоступным на устройстве ребенка, не достигшего тринадцати лет).
Нас же Family Link интересует в первую очередь тем, как в нем обрабатывается двухфакторная аутентификация — а она есть. Для того чтобы настроить устройство ребенка, тебе потребуется ввести как пароль от аккаунта ребенка, так и пароль одного из родителей: вот он, второй фактор аутентификации.
Дети могут забыть свой пароль (пользоваться этим паролем им не приходится, так что подобное случается сплошь и рядом). Соответственно, процедура смены забытого детского пароля упрощена до предела: родителю достаточно открыть приложение Family Link и прямо на главном экране тапнуть на команду «изменить пароль». После этого пароль детского аккаунта можно поменять. Весь процесс занимает секунды.
Что произойдет, если ребенок потеряет устройство? Ты просто настроишь новый смартфон или планшет на Android, используя пароль от детского аккаунта (актуальный или свежеустановленный) и — в качестве второго фактора — пароль от собственного аккаунта Google. Как видим, никакой драмы; возможности потерять доступ к учетной записи просто нет.
Кстати, интересный момент. Когда ребенку исполнится тринадцать, он может проявить самостоятельность и выйти из-под контроля Family Link. После этого у него появится возможность настроить собственные способы двухфакторной аутентификации.
В экосистемах как Apple, так и Google предусмотрена возможность восстановления доступа к учетным записям. При использовании двухфакторной аутентификации механизмы восстановления доступа будут сильно отличаться для ситуации, когда ты забыл пароль (но имеешь доступ ко второму фактору аутентификации), и ситуации, когда пароль тебе известен, но доступа ко второму фактору аутентификации нет.
В экосистеме Apple ко второму фактору двухфакторной аутентификации привязано такое количество сервисов, что его ценность и важность многократно превосходит ценность собственно пароля от учетной записи. Как следствие, восстановление доступа к аккаунту, если утрачен второй фактор, многократно сложнее и неизмеримо более длительно, чем восстановление доступа к учетным записям с забытым паролем.
Для Google оба фактора аутентификации примерно равнозначны, но механизмы восстановления доступа также будут отличаться. К примеру, если ты вошел в свою учетную запись Google через браузер Chrome на компьютере, то у любого, кто откроет окно браузера на том же компьютере, будет возможность изменить или отключить двухфакторную аутентификацию или сгенерировать пакет одноразовых кодов. Однако возможности сменить пароль от учетной записи Google у такого пользователя не будет: для изменения пароля потребуется ввести старый или пройти процедуру восстановления доступа к учетной записи.
А вот в случае с Apple пароль от Apple ID можно изменить и без ввода старого: для этого достаточно воспользоваться одним из доверенных устройств или сервисом iForgot, получив одноразовый код на доверенный телефонный номер. Отключить двухфакторную аутентификацию в экосистеме Apple у тебя, скорее всего, не получится (такая возможность хоть и существует, но не афишируется, а сама процедура отключения чрезвычайно длительная). Изменить настройки двухфакторной аутентификации (например, добавить еще один доверенный телефонный номер) можно и без пароля, но один из уже имеющихся дополнительных факторов должен быть доступен.