V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
taevas
V2EX  ›  Apple

apple id 严重有问题

  •  
  •   taevas · 2016-05-19 21:18:46 +08:00 · 11639 次点击
    这是一个创建于 3136 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的apple ID 被盗了. 手机变砖了...真是够了.

    原因很多,可能密码管理不善。因为在多地注册,可能修改密码也就改个首位大小写。盗了就盗了。

    但是,刚才重新注册了一个,测试了一下更改邮箱的功能, 发现一个严重的问题。

    https://appleid.apple.com/account/home登陆界面,大家可以试试。

    image


    下面在帐号部分,点击编辑。下面出现一个编辑电子邮件地址。输进去一个邮箱。过程中,并没有什么其他验证,改个密码还要回答密保答案好吗!!!

    image

    image

    在我提交的邮箱中,会收到一个验证码。输入上面那个 注意,是我提交的那个邮箱,也没有验证原邮箱

    image

    我真的很好奇,就这么简单的改掉了?


    后面,我验证了一下原来那个邮箱。

    image

    当然,不负众望。连找回的机会都没了。

    我就不知道苹果这么大个公司,这难道不算 bug ?连帐号都改了,告诉我,如何找回密码???


    常识告诉我,这里面严重中有问题吧?

    总结一下,也就是说,密码没了,你连找回的权利都没有?这合理么,何况,只是知道密码,二次验证何在?

    别说用户自己管理不善,丢个密码谁没有? ok 。我都没办法找回了现在。

    我的手机一直处 在此 iphone 已丢失并被抹掉,请使用抹掉此 iphone 的 apple ID 登录 的状态。当然, apple ID 邮箱都不是我本人的了。。。什么东西改不了...

    =。=请重视下严重性啊。

    第 1 条附言  ·  2016-05-22 19:15:08 +08:00
    由于表述不是那么清楚。再总结一下吧。就是说,撇开二次验证(你说你是技术宅你安全意识高,那没得说)。如果盗号的知道你的密码,那么就可以直接把 apple id(也就是邮箱)修改掉。修改了账号,根本没有办法通过任何办法自行找回。
    另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
    说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
    丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
    另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
    124 条回复    2016-05-22 22:51:03 +08:00
    1  2  
    SlipStupig
        101
    SlipStupig  
       2016-05-20 16:33:40 +08:00
    首先得知道账号密码了才能换啊!
    nvidiaAMD980X
        102
    nvidiaAMD980X  
       2016-05-20 17:07:04 +08:00 via Android
    只有我一个人觉得限制用户更改帐号是一件很恶心的事吗?
    既然是我自己的账号,我就有权对其进行任何处理。自己的账号和密码都泄漏了,然后两步验证也不开,到头来怪 Apple ?这不合理吧?
    charlie21
        103
    charlie21  
       2016-05-20 20:35:26 +08:00
    @nvidiaAMD980X 通常的机制是,可以更改帐号,在更改帐号之前,需要输入原密码,输入对了才能改帐号。以防你在电脑上登录了但是人暂时离开电脑了此时有一个人来你的电脑前给你改了帐号

    apple 在更改帐号方面的机制上没这么做
    charlie21
        104
    charlie21  
       2016-05-20 20:55:02 +08:00
    而且 “要求输入密码” 这个动作,本来就意味着一个新旧密码的时间差:
    如果你及时设了新密码,那么(按照机制要求一个人在改帐号之前 输入密码, which apple doesn't require so )要求他人输入密码之后,他人输入的就是一个“旧密码” ,随之就无法完成接下来的操作,这就等于对帐号的保护 ( a protection which apple doesn't offer —— so apple id 严重有问题。这就是 LZ 想说的 )
    Koma
        105
    Koma  
       2016-05-20 21:59:59 +08:00
    @charlie21 “及时设了新密码”这个情况就很少,人家知道你的密码,登录,改账号。一般人都是出了问题才知道账号被盗了,哪有时间改密码。
    Balthild
        106
    Balthild  
       2016-05-20 23:32:10 +08:00 via iPhone
    @ipconfiger 不同意。我认为应该设计成验证原邮箱+紧急恢复代码,不能为怕原邮箱丢失而直接降低安全性
    ipconfiger
        107
    ipconfiger  
       2016-05-20 23:52:50 +08:00
    @Balthild 不管紧急恢复代码还是保护邮箱的密码还是保护密码的密码的密码什么的东西, 都和原邮箱无关对吧, 那么我说的更换邮箱需要原邮箱来验证的设计是愚蠢设计的结论你是反对的哪一出?
    charlie21
        108
    charlie21  
       2016-05-21 02:32:55 +08:00
    @Koma 谁说 “及时设了新密码” 这个情况就很少?
    donotgo
        109
    donotgo  
       2016-05-21 05:06:16 +08:00 via iPhone
    @binux 你在扯啥呢? google account 非所有者能登陆账号么
    donotgo
        110
    donotgo  
       2016-05-21 05:09:27 +08:00 via iPhone
    @taevas 有密码不能改密码的逻辑是什么?你用过 别的互联网帐号么比如 google account 。账户所有人才有密码->有密码能改邮箱,有什么不对的地方?
    binux
        111
    binux  
       2016-05-21 05:14:23 +08:00
    @nvidiaAMD980X 就是因为效率低才需要多级啊,难道你整天改登录邮箱的吗?
    binux
        112
    binux  
       2016-05-21 05:16:04 +08:00
    binux
        113
    binux  
       2016-05-21 05:18:10 +08:00
    @donotgo 你的假设是用户帐号永远不会被盗,这显然是不现实的。
    而这里讨论的是被盗之后帐号能不能找回

    密码被改了,你可以通过安全答案,邮箱找回。
    邮箱被改了,你打算用什么找回?
    donotgo
        114
    donotgo  
       2016-05-21 05:46:12 +08:00 via iPhone
    @binux 我前两天刚改过某个马甲 gmail 的找回邮箱,除了原邮箱收到一封通知邮件以外没有输入任何额外信息也没用收到任何额外通知。盗号的人改了你密码,却傻到不改安全问题的答案么……
    binux
        115
    binux  
       2016-05-21 05:51:58 +08:00
    @donotgo 用帐号密码能改安全问题的答案?你不要骗我
    当你知道密码被改了,你可以通过安全答案,安全邮箱找回。

    当你登录名被改了,你没法(很难)找回,注意区别
    Tink
        116
    Tink  
       2016-05-21 05:55:21 +08:00
    这设计确实很傻逼
    Tink
        117
    Tink  
       2016-05-21 05:57:13 +08:00
    @donotgo 单纯用账号密码改不了安全问题和答案吧
    nvidiaAMD980X
        118
    nvidiaAMD980X  
       2016-05-21 08:10:29 +08:00 via Android
    @binux 你用 Gmail 不就没事了吗!!非得用锅内的垃圾邮箱 163 和 QQ ,账号和密码泄露怪 Apple ?
    还多级验证??一个两步验证都能解决的问题,搞这么复杂干什么!!! Apple 提供了两步 /双重验证,自己不用,怪 Apple ??无语……………
    nvidiaAMD980X
        119
    nvidiaAMD980X  
       2016-05-21 08:12:56 +08:00 via Android
    @Tink 安全问题和答案早已泄露的可能不是没有…………
    Balthild
        120
    Balthild  
       2016-05-21 12:34:42 +08:00 via iPhone
    @ipconfiger 请你至少看清楚我说的话。「验证原邮箱+紧急恢复代码」
    taevas
        121
    taevas  
    OP
       2016-05-22 18:45:28 +08:00 via Android
    @donotgo 不好意思,这个注册的时候,邮箱就是账号吧?能改账号真没办法找回吧
    taevas
        122
    taevas  
    OP
       2016-05-22 18:53:32 +08:00 via Android
    @SuperMild 好的。谢谢提醒
    taevas
        123
    taevas  
    OP
       2016-05-22 20:09:06 +08:00
    @Tink 可以。改邮箱不需要密保,改 密保可以通过邮箱。。。
    shengli
        124
    shengli  
       2016-05-22 22:51:03 +08:00
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4459 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:02 · PVG 18:02 · LAX 02:02 · JFK 05:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.