「只有当 Apple ID 被盗之后,我才意识到所谓的『互联网时代』离我们实际有多远。」 Jesse Chan,最好的社会就是人人都是圣母。 关于一次 Apple ID 差点被盗的经历,一些使用 Apple ID 时的安全建议,以及「互联网时代」离我们有多近,又有多远。 12 月 2 日晚上 7 点,我刚刚结束了和 Apple Support 人员的通话,呆坐在电脑前。距离上午 10 点我在 App Store 尝试购买 app 失败,进而发现自己的 Apple ID 已经被锁定,并且重设密码功能也被锁定 8 小时,已经过去了 9 个小时。 我脑子里只有一个画面,就是题图里 Steve Jobs 在介绍第一代 iPhone 的时候,用的一个这样的手势,来表达 iPhone 如何自动接管你的所有数据。 早上 10 点,发现自己 Apple ID 进入密码重设流程之后,我第一时间联系 Apple Support,被告知有人通过 Apple Support 帮助的方式,通过我的一个安全问题答案(我至今不知道在电话里如何验证安全问题答案),以及 Apple Support 人员发送到一台被盗的 iPhone 6(丢失模式)的设备验证码,重设了我的 Apple ID。 阻止这次重设的流程倒是不复杂,验证我手上的两部在线的 iOS 设备,没有验证我的任何密码和安全问题,Apple ID 的密码重设被取消了。 但在 Apple ID 进入盗取者申诉所取得的密码重设流程之前,我的 Apple ID 的密码重设功能和账户本身已经被锁定。需要等待 8 小时才能进行解锁。而最可笑的是,在这 8 个小时的本身应该用以让账户所有人来对自己账户进行「抢救」的时间内,无论你能够提供哪些信息,任何人,包括我自己,Apple Support 工作人员,或者是 Tim Cook,都不能对我的账户进行任何操作。 而 8 小时之后的晚上 6 点,当我又马上接收到「密码重设」功能再次被锁定 8 小时的通知邮件之后,我有点慌了。这个知道我 Apple ID 邮箱的人很可能在不断尝试密码重设,9 次失败之后就会自动锁定 8 小时。 联系 Apple Support 的结果是,他们无法对账户做任何事情,我只能等待 8 小时,然后比那个恶意盗号者更快地,自行解锁账户,更换账户主邮箱。而且这是阻止这个仅仅需要知道我 Apple ID 邮箱的恶意盗号者继续尝试我的安全问题并锁定我的「密码重设」功能的唯一途径。 我背上开始有冷汗了,因为我很清楚,在某个地方,正在尝试套出我安全问题答案的,很可能是一个机器,一个被设置好了,每 8 个小时就自动进行这样的尝试的程序。而我的操作,很可能永远也不能比它快,所以我的账户可能会永远处于被锁定的状态。 而一旦其套出了我的安全问题的答案,成功重设我的密码,盗取我的账户,我的银行卡可能被盗刷,我的所有的 Steve Jobs 引以为傲的被 iPhone 接管的数据,巨量的隐私,都会被完全暴露在一个黑色产业从业者手中。 晚上八点,最后一次结束和 Apple Support 工作人员的通话,我需要在凌晨 2:40,8 小时的锁定时间后,抢先对账户进行设置。我坐在床上,开始思考,如果我的隐私泄露,iCloud 数据取回,有哪些重要信息会被窃取,哪些数据的做了本地备份。Apple ID 无法使用,隐私可能被窃取的风险,让我仿佛全身被抽空了。 在那么一个时间点,我一点都不想去碰我的 PC、iPad、iPhone,只能开始用 iPod 这个跟「互联网」这个词几乎没有关系的设备开始听歌,消磨这 6 个小时的等待。 这大概是我在过去 7 年的时间里,距离「互联网」最遥远的 6 个小时。 可能是祈祷产生了效果,那个盗号者似乎并不是一个不用睡觉的机器,所以不用睡觉的我在凌晨 2:51,夺回了我的 Apple ID,更改了所有安全信息,并且申请开启两步验证。 而这样的,差点完全摧毁了我线上生活的一天,我从头到尾,所做错的事情,仅仅是一台 iPhone 被盗,使用了一个不太安全的「安全问题」,以及没有积极地去开启两步验证。而我还是一个比很多 Apple Support 工作人员都要更了解 iOS 产品的重度用户。 「互联网时代」离我们很近,近到它一旦出问题,对我们的几乎已经完全在线上的生活会早晨毁灭性的打击。「互联网时代」又离我们很远,远到这个世界上几乎没有人、没有企业,能保证线上的东西有足够的安全性。 所以,对于 Apple ID 的安全,我有几个建议: 1. 使用一个冷门的,不用以通讯的,不用以其他账户注册的邮箱来进行 Apple ID 的注册。因为如果有人知道了你的 Apple ID 邮箱,他就可以通过密码重设,输错 9 次验证信息,锁定你的 Apple ID,仅仅需要知道邮箱。 2. 然后把这个邮箱的邮件接入到你的常用邮箱进行代收信,以及时收到苹果发送的相关安全邮件。 3. 一定要开启两步验证。因为如果不开,一旦你的 Apple ID 密码被盗,那在被盗的一瞬间,这个 Apple ID 的主邮箱就可以被更改,用户名被改了,Apple ID 几乎不可能取回了。 4. 收到苹果的邮件,一定要注意查看发件人地址是不是 apple.com。更不要随便把自己的 Apple ID 相关信息泄露给他人。当然考虑到国内还有一大批小白,使用的购机商家的 Apple ID,这些基本的东西,其实也意义不太大,属于基本安全意识的范畴。 以上。 发自知乎专栏「大破进击」
