今天早上我醒得很早,和数百万人一样,我做的第一件事就是查看 iPhone 上的消息、天气预报和新闻。 与以往不同的是,我发现自己退出了 Apple ID,不仅要求再次输入密码,而且还要求将其更改为新密码。 看来我并不孤单。
虽然 苹果系统状态页面 它报告没有任何问题,但这似乎与实际情况相去甚远。 只要快速浏览一下社交媒体,就可以意识到这种情况正在大规模发生。 事实上,我的同事扎克·达夫曼(Zach Duffman)也是《福布斯》网络安全版块的撰稿人,他告诉我也发生了同样的事情。
以下更新日期为 4 月 28 日。 本文最初发表于 4 月 27 日。
该问题似乎是从 4 月 26 日星期五晚些时候开始的,有报道称用户的 Apple ID 被注销。 这不是特定于设备的,似乎会影响 iPhone、iPad 和 MacBook 用户。
作为一个关心安全的人,我立即想到可能出了问题,因为最近发生了一些涉及密码重置的攻击。 然而,正如我的同事凯特·奥弗拉赫蒂(Kate O'Flaherty)在三月份报道的那样,这些依赖于“轰炸”的双因素身份验证方法,而目前的情况是直接“重置密码”而不需要任何其他东西。 双因素身份验证轰炸攻击者随后接到了一个冒充 Apple 支持的电话,但我从未接到过这样的电话,也没有看到其他人接到过这样的电话。
该问题还意味着用户不仅需要在所有设备上重新登录,还需要重置所有应用程序密码。 目前,尚不清楚这是一个错误还是安全事件。 我已要求苹果公司发表声明,并将在获得更多信息后立即更新这一重大新闻。
ESET 全球网络安全顾问 Jake Moore 表示:“当突然出现任何情况时,例如密码重置或一次性密码请求,在遵循任何特定提示之前,尽可能进行进一步的调查和研究非常重要。” “这似乎是许多人都遇到过的一个真正的错误。虽然这很痛苦,但时不时或发生数据泄露时重置所有连接的设备并更改密码实际上通常是一个好主意。但是,请小心。在处理不需要的通知时,尽职调查至关重要,并且应默认为所有帐户启用 MFA。
4 月 28 日更新:几位读者联系我,询问由于退出 Apple ID 帐户并被迫重置密码后不再通过 iCloud 同步的应用程序。 我提到过,但不是在这些话里。 这个问题的关键在于,需要访问 iCloud 中存储的日历、联系人和邮件等信息的第三方应用程序需要应用程序专用的密码才能安全地执行此操作。 苹果表示,这是“帮助确保应用程序无法存储或收集你的 Apple ID 密码”。 强制重置 Apple ID 密码会使应用程序专用密码失效,必须为任何需要这些密码的应用程序重新创建这些密码。 Apple 的支持文档指出:“每当您更改或重置 Apple ID 的主密码时,所有应用程序专用密码都会自动撤销,以保护您帐户的安全。您需要为您想要的任何应用程序创建新的应用程序专用密码。继续使用。
幸运的是,这不是一个非常复杂的过程,但如果您有许多第三方应用程序需要重置应用程序密码,则非常耗时。
首先在 appleid.apple.com 网站上登录您的 Apple ID 帐户,然后找到“登录和安全”部分,您必须滚动到底部并选择“应用程序专用密码”选项。
这允许您按照给定的说明创建新密码。 创建应用程序密码后,只需在弹出输入框要求输入密码时将其粘贴到关联应用程序的密码字段中即可。
您最多只能拥有 25 个应用程序专用密码,因此您也可以借此机会取消不再需要的任何密码。 为此,请前往您的 Apple ID 帐户的“登录和安全”部分。 如果您确实想重新开始,可以从这里单独或完全删除密码。 从安全角度来看,建议撤销此类不经常使用的密码,否则会留下潜在的攻击向量。
“驕傲的網絡狂熱者。微妙迷人的推特怪胎。讀者。互聯網先驅。音樂愛好者。”
More Stories
《东京恶习》制片人详述日本走向全球制作中心之路
康拉德·科尔曼仅使用可再生能源再次改变了世界
新款 MacBook Pro 为苹果一周的重大新闻画上了句号