V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
taevas
V2EX  ›  Apple

apple id 严重有问题

  •  
  •   taevas · 2016-05-19 21:18:46 +08:00 · 11567 次点击
    这是一个创建于 3108 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的apple ID 被盗了. 手机变砖了...真是够了.

    原因很多,可能密码管理不善。因为在多地注册,可能修改密码也就改个首位大小写。盗了就盗了。

    但是,刚才重新注册了一个,测试了一下更改邮箱的功能, 发现一个严重的问题。

    https://appleid.apple.com/account/home登陆界面,大家可以试试。

    image


    下面在帐号部分,点击编辑。下面出现一个编辑电子邮件地址。输进去一个邮箱。过程中,并没有什么其他验证,改个密码还要回答密保答案好吗!!!

    image

    image

    在我提交的邮箱中,会收到一个验证码。输入上面那个 注意,是我提交的那个邮箱,也没有验证原邮箱

    image

    我真的很好奇,就这么简单的改掉了?


    后面,我验证了一下原来那个邮箱。

    image

    当然,不负众望。连找回的机会都没了。

    我就不知道苹果这么大个公司,这难道不算 bug ?连帐号都改了,告诉我,如何找回密码???


    常识告诉我,这里面严重中有问题吧?

    总结一下,也就是说,密码没了,你连找回的权利都没有?这合理么,何况,只是知道密码,二次验证何在?

    别说用户自己管理不善,丢个密码谁没有? ok 。我都没办法找回了现在。

    我的手机一直处 在此 iphone 已丢失并被抹掉,请使用抹掉此 iphone 的 apple ID 登录 的状态。当然, apple ID 邮箱都不是我本人的了。。。什么东西改不了...

    =。=请重视下严重性啊。

    第 1 条附言  ·  2016-05-22 19:15:08 +08:00
    由于表述不是那么清楚。再总结一下吧。就是说,撇开二次验证(你说你是技术宅你安全意识高,那没得说)。如果盗号的知道你的密码,那么就可以直接把 apple id(也就是邮箱)修改掉。修改了账号,根本没有办法通过任何办法自行找回。
    另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
    说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
    丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
    另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
    124 条回复    2016-05-22 22:51:03 +08:00
    1  2  
    jay_chiu
        1
    jay_chiu  
       2016-05-19 21:20:42 +08:00 via Android
    apple 的云服务能用??
    taevas
        2
    taevas  
    OP
       2016-05-19 21:23:55 +08:00
    @jay_chiu 我连账号都没了啊。哪个云服务。我不知道。我的 iclould 在 17 号早上被登录了。我当时没在意。还是在 IE 上。我草=。=今天发现手机不行。找回?看完上面的,找回无望了。
    taevas
        3
    taevas  
    OP
       2016-05-19 21:27:52 +08:00
    @jay_chiu 我其他没测试,我相信大多数人没什么事,不会去登录 apple id 吧。那界面挺难找的。跟简单的购买界面比起来,没法看清楚到底想要什么售后,怎么服务(下午登录在官网找 apple id 那些找回什么的界面的时候的第一感觉)。而且方法也很单一,就是打电话。
    debiann
        4
    debiann  
       2016-05-19 21:28:02 +08:00 via iPhone
    开了二步验证也可以改邮箱?他们是怎么想的
    em70
        5
    em70  
       2016-05-19 21:28:36 +08:00
    上次网易邮箱被脱裤,我的 apple id 被盗,多台设备被锁,主账号被改,苹果客服一点办法都没有,给骗子交了 300 拿回了账号

    有密码,账号主邮箱就可以随便改,这个设计太弱智了
    taevas
        6
    taevas  
    OP
       2016-05-19 21:30:56 +08:00
    @debiann 我没测试这个,我好像看到有个二步验证的。但是,重点是我在注册的时候,肯定需要输入密保问题,并且,在改密码的时候,也是需要输入密保问题的。这个都试过。修改帐号这么严重的问题,不通知原帐号,不需要密保问题。这严重性看不见么?
    imn1
        7
    imn1  
       2016-05-19 21:35:54 +08:00
    注意一个隐藏条件:是在注册的机器上执行修改的
    应该换一台机器登录修改试试
    taevas
        8
    taevas  
    OP
       2016-05-19 21:37:22 +08:00
    @em70 不是自己去试真不知道那么坑。谁还天天进那种售后界面啊。手机就这样被锁了。好烦啊。丢个密码都能那么严重。内容没了就算了。
    zander
        9
    zander  
       2016-05-19 21:37:28 +08:00
    修改邮箱要原邮箱验证,修改手机要原手机验证,还有比这两种更蠢的么。
    Dvel
        10
    Dvel  
       2016-05-19 21:37:59 +08:00
    我原来有个 [email protected] 的 Apple ID 。
    后来我更改邮箱,整个账户都变成 [email protected] 了。
    后来的后来,我又用曾佳的 [email protected] 重新注册了一个。。。
    taevas
        11
    taevas  
    OP
       2016-05-19 21:43:06 +08:00
    @imn1 很高兴你提的这个问题。刚测试了。 ok 。**网络都不同的**。我在学校寝室,另一台没用过的电脑更改了我的帐号。跟上没一样。
    taevas
        12
    taevas  
    OP
       2016-05-19 21:44:19 +08:00
    @Dvel 对啊。我被人改了,现在测试用的就是之前的邮箱阿靠
    debiann
        13
    debiann  
       2016-05-19 21:53:42 +08:00 via iPhone
    @zander 有,就是可以不需要其他验证就更改
    laoyur
        14
    laoyur  
       2016-05-19 21:59:20 +08:00
    如果开了两步验证,就算盗了密码他也登录不进去啊,更谈何改掉你的邮箱呢
    zander
        15
    zander  
       2016-05-19 21:59:51 +08:00
    @debiann 我觉得在登陆的地方多验证下足够了。
    VersusClyne
        16
    VersusClyne  
       2016-05-19 22:00:00 +08:00
    所以为啥你邮箱和 Apple ID 的两个密码都泄露了呢?
    taevas
        17
    taevas  
    OP
       2016-05-19 22:01:58 +08:00
    @VersusClyne 是我没讲清楚么。这是测试。**根本不需要我的原来邮箱密码啊!** 那个验证码是我将要设置的那个邮箱!也就是盗号的随便一个邮箱啊 。
    taevas
        18
    taevas  
    OP
       2016-05-19 22:06:28 +08:00
    @laoyur 当初注册,反正也没有强制开启二步验证。但是,我有密码,然后需要更改密码,那么我需要有密保问题的答案,我才能改密码。改邮箱不需要,合理么?
    Jackiepie
        19
    Jackiepie  
       2016-05-19 22:13:29 +08:00
    1.对于很有信心密码不会泄漏的人,改邮箱?改密码?根本什么都不用担心。
    2.对于认为密码泄漏很正常的人,如楼主,苹果提供了两步验证或双重认证。开了两步验证,你说的那些问题都是云烟。
    taevas
        20
    taevas  
    OP
       2016-05-19 22:15:42 +08:00
    @Jackiepie 密码丢了,总可以找回吧。东西丢了就算了,反正我是找回无门了。你觉得这些都不是问题么
    ipconfiger
        21
    ipconfiger  
       2016-05-19 22:16:00 +08:00   ❤️ 1
    @taevas **根本不需要我的原来邮箱密码啊!** 那么你原来邮箱不能用的话, 你的帐号也等于废了.

    凡是切换邮箱或者手机号都需要原邮箱或者原手机来验证的都是 2b 设计.

    你不过是对自己密码掉了帐号被锁说的赌气的话而已, 所有解决方案并不是怎么更好而是能让你自己找回密码恢复帐号锁产生的假设而已. 就别假装产品经理了, 人人都是产品经理不过是一句笑话而已
    wogong
        22
    wogong  
       2016-05-19 22:17:31 +08:00   ❤️ 6
    只有我一个人没看懂么?
    taevas
        23
    taevas  
    OP
       2016-05-19 22:21:45 +08:00
    @ipconfiger 我知道是 2B 设计,本来就是菜鸡,没注意到。刚别人也提了。

    但是,修改个密码,还需要密保问题的答案,修改帐号就没有密保问题了,这不好吧?
    EchoWhale
        24
    EchoWhale  
       2016-05-19 22:23:10 +08:00 via Android
    你可以点找回密码,那里原邮箱可以作为 appleid ,然后 apple 会验证你的手机号码
    cxbig
        25
    cxbig  
       2016-05-19 22:23:19 +08:00
    Gmail 邮箱, 1Password 生成密码, 50 位大小写字母+数字+标点符号,每月一换。从未被盗过。
    taevas
        26
    taevas  
    OP
       2016-05-19 22:24:17 +08:00
    @wogong 盗号的,只要知道我密码,就把我邮箱改了。(当然前提是,我没有开启二次验证)
    但是,对于修改密码,还需要密保问题,修改邮箱,则不需要。
    EchoWhale
        27
    EchoWhale  
       2016-05-19 22:24:48 +08:00 via Android
    所以改是可以改,但还是找得回来。
    当然,偷了别人密码就能改掉别人帐号的主邮箱,这点不科学
    Perry
        28
    Perry  
       2016-05-19 22:25:38 +08:00
    你登录的时候已经用了两步验证了,为什么不能直接改邮箱呢?
    243205964
        29
    243205964  
       2016-05-19 22:25:59 +08:00 via Android
    这应该是苹果的漏洞吧,如何提交给苹果?
    EchoWhale
        30
    EchoWhale  
       2016-05-19 22:27:02 +08:00 via Android
    @Perry 那不是两步验证,那是添加新邮箱, apple 发到邮箱的验证码
    taevas
        31
    taevas  
    OP
       2016-05-19 22:27:12 +08:00
    @EchoWhale ?你有链接么?不是我上面贴的最后那个图的状态吗?而且,我测试的邮箱都是重新注册了原来的邮箱、
    taevas
        32
    taevas  
    OP
       2016-05-19 22:29:08 +08:00
    @Perry 并没有开启两步验证,当然是我的疏忽。我感觉如果一般的人,也不会去注册的时候,添加两步验证。(当然有安全意识的人会。)在注册时候,不是只有帐号,密码,密保么。
    taevas
        33
    taevas  
    OP
       2016-05-19 22:31:13 +08:00
    @243205964 不知道。反正我需要联系客服=。=手机都变砖了。就感觉起码密保验证需要吧。改密码都需要密保。。。
    sephinh
        34
    sephinh  
       2016-05-19 22:31:31 +08:00 via Android
    @em70 改备用邮箱就得各种验证才行,然后主帐号随便改,所有重要通知验证什么的都发备用邮箱,也没搞懂这逻辑,我主帐号 gmail ,备用是 163 ,结果各种安全验证都发 163 去了,我用 gmail 当主号就没啥意义了么……
    EchoWhale
        35
    EchoWhale  
       2016-05-19 22:32:07 +08:00
    ![]( )
    ![]( )
    helloSwift
        36
    helloSwift  
       2016-05-19 22:32:37 +08:00 via iPhone   ❤️ 3
    话说从小到大,我所有的帐号都没有被盗过。
    你可以跟 Apple 反馈一下 →_→

    另外,分享一下我的密码方式,
    固定的外壳,加不同的内容。
    y=f(@Ab.C);
    其中 AbC 是根据不同的网站变动的,
    且 A 是字母字符串,首字母大写,
    b 为数字
    C 为字母字符串
    这样一来,还是比较容易记,且大小写字母,数字,符号都齐了,长度也不错

    举个例子, Apple ID
    y=f(@Apple40.Swift);
    wogong
        37
    wogong  
       2016-05-19 22:32:58 +08:00
    @taevas 懂了,这的确很难发现,而且很奇怪。
    EchoWhale
        38
    EchoWhale  
       2016-05-19 22:33:20 +08:00
    @taevas 看上图。
    你的备用邮箱它改不掉,所以可以找回来
    EchoWhale
        39
    EchoWhale  
       2016-05-19 22:35:29 +08:00
    @helloSwift 我也有一个小技巧分享:
    random 一个包含字母、数字、符号的长度 8 位以上的密码,然后用 1password 存
    taevas
        40
    taevas  
    OP
       2016-05-19 22:37:56 +08:00
    @EchoWhale ……我原来的账号只有注册部分。。。注册部分好像没有填写备用邮箱的功能吧。只有邮箱,密码,密保。。。但是盗号不需要密保改了我的邮箱。导致我没办法找回了。我只是希望苹果能够解决这问题吧。增加注册的验证也好。还是什么的。=。=
    taevas
        41
    taevas  
    OP
       2016-05-19 22:42:25 +08:00
    @helloSwift 学习了
    Jackiepie
        42
    Jackiepie  
       2016-05-19 22:47:31 +08:00
    @taevas 我开了两步验证,这些都不是问题。反而觉得这样挺方便我更改邮箱。如果你支付宝密码漏了,钱被转了,找回密码钱没了又有何用?要不就一点都不要漏,增加多几层保护,想漏都难。
    说这些你也听不进的,有人找客服改回了原邮箱: https://www.v2ex.com/t/279424
    sneezry
        43
    sneezry  
       2016-05-19 22:48:20 +08:00
    @helloSwift 我自己写了个小程序,用真随机数生成密码记录起来 :-D

    EchoWhale
        44
    EchoWhale  
       2016-05-19 22:50:04 +08:00
    @taevas 我试了下,如果没有备用邮箱的话,确实找不回来
    lightening
        45
    lightening  
       2016-05-19 23:30:24 +08:00
    @helloSwift 然后再 hash 一下
    helloSwift
        46
    helloSwift  
       2016-05-19 23:41:33 +08:00 via iPhone
    @sneezry
    @lightening

    @EchoWhale

    真会玩😂
    taevas
        47
    taevas  
    OP
       2016-05-19 23:44:00 +08:00 via Android
    @Jackiepie ……不是听不进。我是根本没注意这方面的事=。= 1password 那些都有。方便的我还是在用。不方便的。我都得另外记忆。我带钱的基本有二次验证。。。 apple id 真的没在意啊。只是注册了。很久了。最近买了 iphone 在用。然后密码,以前注册,密码都差不多。要加大写。就首位大写并没有在乎这么多。好吧。反正我问了同学, apple ID 的二次验证是什么都不知道阿。我相信更多的用户是这样吧。当然发在这个技术论坛里。。。好像不该。只是觉得想说像不像个问题吧。我明天跟客服交涉好了.今天来不及了。
    chztv
        48
    chztv  
       2016-05-20 00:13:47 +08:00
    最近我也泄露过密码,还好开了双重验证(不是两步),所以对方没能登录成功,最终好好改了个密码。
    修改主 ID ,我觉得 Apple 确实在这方面有点 Bug ,但可能也是历史原因吧,因为用 Apple 自家邮箱做 ID 的,都是不能改这个 ID 的。
    话说回来,丢了 ID ,好像还是可以通过人工技术支持找回来的,先例也不少。当然需要你提供不少的资源证据。
    希望 LZ 再找 Apple 客服沟通下,能妥善解决!
    charlie21
        49
    charlie21  
       2016-05-20 00:20:30 +08:00 via iPhone
    所以 LZ 的意思是, Apple ID 一旦登入,就可以直接做包括改账号在内的任何修改。
    nvidiaAMD980X
        50
    nvidiaAMD980X  
       2016-05-20 00:33:51 +08:00 via Android
    @taevas 买了 iPhone 却不知道 Apple ID 的安全性的重要程度…………就如同买了 Nexus 却不知道 Gmail 一样不可思议…………
    SNOOPY963
        51
    SNOOPY963  
       2016-05-20 00:35:57 +08:00
    感觉出现这种纰漏是因为之前是不能改 ID 的,即修改功能并不在原有设计下。改 ID 在时间点上貌似是今年年初出现的功能,感觉在功能设计上确实存在很大的疏忽(修改 ID 这种需要高身份认证度的操作居然不用再次验证身份)。
    nvidiaAMD980X
        52
    nvidiaAMD980X  
       2016-05-20 00:37:58 +08:00 via Android
    @charlie21 只有我一个人觉得 Apple 做得没错吗?既然我是 Apple ID 的所有者,为什么不能做包括账号在内的任何修改?如果不行,这还是不是我的 ID 了??
    nvidiaAMD980X
        53
    nvidiaAMD980X  
       2016-05-20 00:39:44 +08:00 via Android
    @SNOOPY963 2015 年本人就更改过 Apple ID ……………
    LeoDev
        54
    LeoDev  
       2016-05-20 01:08:06 +08:00 via iPhone
    吓得我赶紧去找二步验证。。。
    DravenJohnson
        55
    DravenJohnson  
       2016-05-20 03:45:00 +08:00
    25 位随机密码+两部验证,从没出现过问题
    binux
        56
    binux  
       2016-05-20 06:10:29 +08:00
    @nvidiaAMD980X 那为什么还要密保答案?
    binux
        57
    binux  
       2016-05-20 06:20:39 +08:00
    1 、帐号+密码并不能确定你就是 Apple ID 的所有者,如果可以,还要密保答案干嘛?既然有更高一级的验证干嘛不用?
    2 、密码被改了可以找回,帐号被改了可以吗?
    donotgo
        58
    donotgo  
       2016-05-20 06:56:52 +08:00
    @binux 密保不是忘记密码的时候用来重设密码用的么?按你的说法账号+密码并不能确定你就是 Apple ID 的所有者的话,那登陆的时候为什么不要你输入密保答案?不然“非所有者”也能登录你的帐号了啊。
    mhtt
        59
    mhtt  
       2016-05-20 06:59:47 +08:00 via iPhone
    @helloSwift 我设密码的方式和你的方式一样啊
    binux
        60
    binux  
       2016-05-20 07:01:16 +08:00
    @donotgo 多级认证不很正常吗?“非所有者”也能登录你的帐号,这样的事情还少吗?
    Koma
        61
    Koma  
       2016-05-20 07:34:00 +08:00
    @taevas 不要用第三方邮件注册,直接申请 iCloud 账号就改不了了。
    milugt
        62
    milugt  
       2016-05-20 07:44:43 +08:00 via iPhone
    @taevas 真是不懂这个帖子的走向了 自己丢了密码怪苹果?
    nvidiaAMD980X
        63
    nvidiaAMD980X  
       2016-05-20 07:53:19 +08:00 via Android
    @binux 多级认证很麻烦而且效率低,两步验证可以很好地解决上述问题,而且每次验证码都不相同,不比你去记住那几个密保问题安全有效??
    nnxs
        64
    nnxs  
       2016-05-20 08:15:47 +08:00 via iPhone
    我觉得买了苹果就老老实实的把 Find my phone 功能关掉,难道还指望在景德镇真能靠这破功能找回自己的手机?...
    yws112358
        65
    yws112358  
       2016-05-20 08:25:37 +08:00
    @ipconfiger 一般账户说修改邮箱 只是个联系邮箱,而这说的修改邮箱是 作为 id 的邮箱。 id 和密码同等重要吧。验证原邮箱不算 2B 设计了吧?
    drw2w
        66
    drw2w  
       2016-05-20 08:58:48 +08:00
    @Koma 现在不能直接注册 icloud 帐号了吧?
    JimGreen
        67
    JimGreen  
       2016-05-20 09:01:26 +08:00
    这个确实是一个问题,早发现了。不过你知道你的 apple ID 别名是什么意思嘛?

    举个例子:
    我的 apple id 是: [email protected]
    我的 apple 密码: password
    设置我的 apple id 别名是: AAA@iCloud

    -----------被盗号之后---------------------------
    -----------apple id 主油箱被改成 [email protected]
    -----------------------------------------------------
    那么现在的实际情况就变成了:
    1 [email protected] 登录失败----------->>>找回秘密提示 id 不存在,可以寻求技术支持找回
    2 [email protected] 登录正常-------------------->>>如果改密码会提示需要回答问题
    3 [email protected] 登录成功---------------------->>>see ?

    结论:
    首先:密码安全,两步验证或者双重验证什么的,这是最重要也是最安心的
    其次: Apple ID 信息完整,救援邮箱什么
    imbahom
        68
    imbahom  
       2016-05-20 09:48:13 +08:00
    买几个色子,自己做随机密码,然后那个小本子记下来,藏好-。-
    EchoWhale
        69
    EchoWhale  
       2016-05-20 09:50:56 +08:00 via Android
    楼主丢了密码当然有他自己的责任,但是仅凭密码就能修改唯一邮箱,这也是还不科学的。
    果粉好脆弱
    wclebb
        70
    wclebb  
       2016-05-20 10:10:06 +08:00
    @nvidiaAMD980X 我觉得你说的非常对,也认同你。但脑子浮出了反差比较强烈的——我有个顾客,大概 60 岁以上,反正很老的,有个(外)孙女,要给她拍照,因为卡住了照相机,我来帮忙,发现她用的正是 Nexus S ……系统么?号称 Nexus 可以随便刷各种各样的 ROM 的它,用的还是原生的系统,我都有点惊呆了!更惊呆的是, Nexus S 本身是有各种硬件问题的,它竟然还能活到现在!
    taevas
        71
    taevas  
    OP
       2016-05-20 10:11:24 +08:00
    @charlie21 对。是这样的。因为改密码可以通过邮箱,连邮箱都改了。。。
    ichanne
        72
    ichanne  
       2016-05-20 10:20:57 +08:00
    这只是改了邮箱,密码还是旧的,你再登录进去把邮箱改掉~
    改密码是需要密保问题的。
    taevas
        73
    taevas  
    OP
       2016-05-20 10:25:08 +08:00
    @milugt 我更希望在注册的时候,就可以绑定各种验证啊。而不是我只需要账号密码。二次验证这种,你技术你懂,大多数人懂?我连界面都没进去过啊。你安全意识是高,但是为什么不能理解互联网白痴呢?
    taevas
        74
    taevas  
    OP
       2016-05-20 10:28:01 +08:00
    @donotgo 有密码,不一定能改密码。有密码就能改邮箱。懂么
    kingcos
        75
    kingcos  
       2016-05-20 10:28:18 +08:00
    开双重认证吧,我刚才试了,登录必须输入信任的设备上的码,只要盗你号的人不是你身边的人就应该没事。

    我的 AppleID 是绑定的单独的 QQ 邮箱。。。

    不过手机上安装了 QQ 安全卫士,密码也和那个不同
    SuperMild
        76
    SuperMild  
       2016-05-20 10:33:20 +08:00
    我觉得苹果这种制度非常好,密码的权限应该凌驾于邮箱,有密码基本上就等于证明了我是该账号的主人,应该可以方便地进行(除了修改密码之外的)一切操作。

    而同时,对密码进行了二重保护,即使密码被盗,我也有最后一道防线可以重新夺回主权。

    并且仅当密码被盗这种极端情况才需要动用更加麻烦的第二道防线,这样是安全与便利平衡的一种优秀方案。

    密码本来的作用就是修改账户设定的,能修改邮箱本来就应该是密码的权限范围内,更高级的安全手段只应该用来保护密码而不是越权限制密码的作用!
    taevas
        77
    taevas  
    OP
       2016-05-20 10:34:52 +08:00
    @ichanne 可以通过邮箱改密码。所以改了邮箱,也就可以把密码也改了。就是说整个账号没了
    cxshun
        78
    cxshun  
       2016-05-20 10:36:12 +08:00   ❤️ 1
    @nvidiaAMD980X 两步验证是可以很好解决问题,但要清楚 Apple 的两步验证也是去年(还是前年,记不大清了)才开的,那如果在这段时间内,用户还没有开两步验证,这种不是应该双重验证么?

    所以就是两种情况:
    1 、用户开了两步验证,这种就由它自己来了,毕竟两步验证已经基本保重了安全了。
    2 、如果用户没开,那修改 ID 啥的就应该加个密保问题做验证。

    这种技术上解决是完全 OK 的,只是愿不愿意做而已。
    taevas
        79
    taevas  
    OP
       2016-05-20 10:40:11 +08:00
    @SuperMild 但是现在的问题是,邮箱即账号。密码的权限应该凌驾于账号吗。改了账号,还有找回功能吗
    louisw128
        80
    louisw128  
       2016-05-20 10:47:10 +08:00
    然而 Apple 其实并没有错
    amustart
        81
    amustart  
       2016-05-20 10:49:27 +08:00
    @sneezry 我不信这是真随机
    taevas
        82
    taevas  
    OP
       2016-05-20 10:54:16 +08:00
    @louisw128 标题可能写的不好,我承认。给出你的设计理由,说服我也就可以了。你别就表个态,什么内容都没有。讨论一下也行。丢密码没所谓啊。我也是想知道算不算个问题。而且看下来,也是有人能认同这种设定的问题性,难道听不得质疑吗?
    breeswish
        83
    breeswish  
       2016-05-20 10:54:41 +08:00
    @sneezry openssl rand 64 | base64
    sneezry
        84
    sneezry  
       2016-05-20 11:12:09 +08:00
    @amustart 真的是真随机,调用的 https://www.random.org/ 的 API
    SuperMild
        85
    SuperMild  
       2016-05-20 11:21:49 +08:00
    @taevas 竟是这样,刚才 tl,nr ,这样看来是有点坑。
    seki
        86
    seki  
       2016-05-20 11:32:07 +08:00
    我想顺便说说密码验证问题,答案非得填三个汉字以上是不是有病?什么第一次坐飞机去的地方,第一个上司这种问题,都是可能只有两个汉字的啊
    chztv
        87
    chztv  
       2016-05-20 12:08:14 +08:00
    再说一点,可能这个逻辑是有一点问题,但严重绝对算不上。
    Apple 已经提供了足够安全的双重、两步验证功能,你不用,就只用密码,所以问题才产生。
    相当于你有个房子,但装了个很简单的门,没装锁,你说是门的问题,还是?
    xenme
        88
    xenme  
       2016-05-20 12:16:21 +08:00 via iPhone
    @chztv 应该是这样,你有个房子,但是门是靠在墙上的,用户装了锁。现在小偷来了换了扇门。你会说是人家锁不好,没保管好钥匙的问题么。
    cYcoco
        89
    cYcoco  
       2016-05-20 12:17:41 +08:00
    我没看懂 我只想问 我看了双重验证会有这种风险不
    xenme
        90
    xenme  
       2016-05-20 12:22:06 +08:00   ❤️ 1
    @xenme 更新下:应该是你买了个房子,用户换了锁,要是丢了,小偷来了拿着要是找到开发商把门给换了。
    你说应该是开发商没验证一下你的房产证,身份证啥的问题,还是?
    charlie21
        91
    charlie21  
       2016-05-20 12:48:57 +08:00
    apple id 的确有问题。高身份验证的操作,应该对应 高身份验证 —— 这就是 高身份验证存在的意义

    修改 “极敏感信息”(包括帐号、密码、密保问题) 之前,应该再次验证用户信息(输入密码或密保问题答案或发手机验证码)
    chztv
        92
    chztv  
       2016-05-20 12:58:42 +08:00
    @xenme 后面这个不错
    Apple 其实应该让原 Email 验证下是不是要换……有这步就安全了,当然如果邮箱也被盗了,那也是……
    db520
        93
    db520  
       2016-05-20 13:16:47 +08:00 via Android
    还是联系人工客服吧,可以改回来的。这里一堆给苹果洗地的。。。
    macrohard
        94
    macrohard  
       2016-05-20 13:35:44 +08:00
    给你们说个秘密。

    我之前在零售店看到天才手上 iPad 关于我帐号的信息还是我最早的时候注册 Apple ID 的邮箱,但是我现在能看到的完全和那个邮箱没有关联了。
    momosky
        95
    momosky  
       2016-05-20 13:38:47 +08:00
    • 在独立密码的保护下,许多操作受到限制,以保证历史邮件及帐号的安全。
    • 成功登录进完整界面后,我们认定您就是此邮箱的真实主人,即可以完全操作邮箱,不受限制。
    • 记住登录状态后,一个星期内可以从 QQ 直接进入邮箱。
    • 如果您觉得您所在网络环境足够安全,不需要额外的密码保护,可以在登录后进入"设置"清除独立密码。

    可能苹果也是跟 QQ 类似,按照第二条逻辑干的。
    CHN
        96
    CHN  
       2016-05-20 14:04:44 +08:00
    我的苹果账户从没被盗过
    hester
        97
    hester  
       2016-05-20 14:11:03 +08:00
    如果开了两步验证,进入账户需要如下的条件:
    - email 和 password
    - iphone or 两步验证的手机号

    so ,如果黑客获取了 你的 email 和 password ,恰好 他 /她 也获取了你的手机;恰好 你的 iphone 手机号正好是 受信任电话号码;恰你设定的手机密码与 password 一致...

    结论:
    开启两步验证,并且设置指纹,密码不能与 apple id 的密码一样,受信任电话号码 最好是另一台手机。如果这样都能被盗,那么恭喜你了,你肯定是个重要人物,黑客需要花大代价来盗取...

    PS :
    我也测试了一下,只要能登陆到 apple 后台, email 地址 和 密码 修改都不需要再次验证,这点很狗血... 或许 Apple 认为 黑客能搞定 两步验证,那么,就算是给 他 /她 的 surprise ! //(っ °Д °;)っ
    EchoWhale
        98
    EchoWhale  
       2016-05-20 14:19:31 +08:00
    @xenme 你的这例子简直棒极了!
    "应该是你买了个房子,用户换了锁,要是丢了,小偷来了拿着要是找到开发商把门给换了。
    你说应该是开发商没验证一下你的房产证,身份证啥的问题,还是?"
    dxfree
        99
    dxfree  
       2016-05-20 14:33:46 +08:00
    你有责任保护好自己的密码
    你有责任了解并使用更高级的安全手段
    因为是你自己的 Apple 设备 是你自己的 Apple ID

    你可以赖苹果设计脑残
    但只有你来承担自己疏忽的后果
    你改变不了的事情 要么改变自己 要么接受现实
    SuperMild
        100
    SuperMild  
       2016-05-20 14:46:10 +08:00
    lz 你要不 append 一下说个重点吧:由于邮箱本身是“用户名”,改了邮箱相当于改了用户名,对找回密码(帐号)有严重影响。

    QQ 即使能改邮箱,但数字帐号不会变,还能方便找回。

    不是门锁和门被换的问题,而是整个房子被移到了另一个地址,原主人的钥匙还能开门,但问题是房子都被小偷移到不知道什么地方去了呀。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5739 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 56ms · UTC 02:32 · PVG 10:32 · LAX 18:32 · JFK 21:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.