这是一个创建于 3111 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的apple ID 被盗了. 手机变砖了...真是够了.
原因很多,可能密码管理不善。因为在多地注册,可能修改密码也就改个首位大小写。盗了就盗了。
但是,刚才重新注册了一个,测试了一下更改邮箱的功能, 发现一个严重的问题。
https://appleid.apple.com/account/home登陆界面,大家可以试试。
下面在帐号部分,点击编辑。下面出现一个编辑电子邮件地址。输进去一个邮箱。过程中,并没有什么其他验证,改个密码还要回答密保答案好吗!!!
在我提交的邮箱中,会收到一个验证码。输入上面那个 注意,是我提交的那个邮箱,也没有验证原邮箱
我真的很好奇,就这么简单的改掉了?
后面,我验证了一下原来那个邮箱。
当然,不负众望。连找回的机会都没了。
我就不知道苹果这么大个公司,这难道不算 bug ?连帐号都改了,告诉我,如何找回密码???
常识告诉我,这里面严重中有问题吧?
总结一下,也就是说,密码没了,你连找回的权利都没有?这合理么,何况,只是知道密码,二次验证何在?
别说用户自己管理不善,丢个密码谁没有? ok 。我都没办法找回了现在。
我的手机一直处 在此 iphone 已丢失并被抹掉,请使用抹掉此 iphone 的 apple ID 登录 的状态。当然, apple ID 邮箱都不是我本人的了。。。什么东西改不了...
=。=请重视下严重性啊。
第 1 条附言 · 2016-05-22 19:15:08 +08:00
由于表述不是那么清楚。再总结一下吧。就是说,撇开二次验证(你说你是技术宅你安全意识高,那没得说)。如果盗号的知道你的密码,那么就可以直接把 apple id(也就是邮箱)修改掉。修改了账号,根本没有办法通过任何办法自行找回。
另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
 |
1
jay_chiu 2016-05-19 21:20:42 +08:00 via Android
apple 的云服务能用??
|
 |
2
taevas OP @jay_chiu 我连账号都没了啊。哪个云服务。我不知道。我的 iclould 在 17 号早上被登录了。我当时没在意。还是在 IE 上。我草=。=今天发现手机不行。找回?看完上面的,找回无望了。
|
|
3
taevas OP @jay_chiu 我其他没测试,我相信大多数人没什么事,不会去登录 apple id 吧。那界面挺难找的。跟简单的购买界面比起来,没法看清楚到底想要什么售后,怎么服务(下午登录在官网找 apple id 那些找回什么的界面的时候的第一感觉)。而且方法也很单一,就是打电话。
|
 |
4
debiann 2016-05-19 21:28:02 +08:00 via iPhone
开了二步验证也可以改邮箱?他们是怎么想的
|
 |
5
em70 2016-05-19 21:28:36 +08:00
上次网易邮箱被脱裤,我的 apple id 被盗,多台设备被锁,主账号被改,苹果客服一点办法都没有,给骗子交了 300 拿回了账号
有密码,账号主邮箱就可以随便改,这个设计太弱智了 |
|
6
taevas OP @debiann 我没测试这个,我好像看到有个二步验证的。但是,重点是我在注册的时候,肯定需要输入密保问题,并且,在改密码的时候,也是需要输入密保问题的。这个都试过。修改帐号这么严重的问题,不通知原帐号,不需要密保问题。这严重性看不见么?
|
 |
7
imn1 2016-05-19 21:35:54 +08:00
注意一个隐藏条件:是在注册的机器上执行修改的
应该换一台机器登录修改试试 |
|
8
taevas OP @em70 不是自己去试真不知道那么坑。谁还天天进那种售后界面啊。手机就这样被锁了。好烦啊。丢个密码都能那么严重。内容没了就算了。
|
 |
9
zander 2016-05-19 21:37:28 +08:00
修改邮箱要原邮箱验证,修改手机要原手机验证,还有比这两种更蠢的么。
|
 |
10
Dvel 2016-05-19 21:37:59 +08:00
我原来有个 [email protected] 的 Apple ID 。
后来我更改邮箱,整个账户都变成 [email protected] 了。 后来的后来,我又用曾佳的 [email protected] 重新注册了一个。。。 |
|
11
taevas OP @imn1 很高兴你提的这个问题。刚测试了。 ok 。**网络都不同的**。我在学校寝室,另一台没用过的电脑更改了我的帐号。跟上没一样。
|
 |
14
laoyur 2016-05-19 21:59:20 +08:00
如果开了两步验证,就算盗了密码他也登录不进去啊,更谈何改掉你的邮箱呢
|
 |
16
VersusClyne 2016-05-19 22:00:00 +08:00
所以为啥你邮箱和 Apple ID 的两个密码都泄露了呢?
|
|
17
taevas OP @VersusClyne 是我没讲清楚么。这是测试。**根本不需要我的原来邮箱密码啊!** 那个验证码是我将要设置的那个邮箱!也就是盗号的随便一个邮箱啊 。
|
|
18
taevas OP @laoyur 当初注册,反正也没有强制开启二步验证。但是,我有密码,然后需要更改密码,那么我需要有密保问题的答案,我才能改密码。改邮箱不需要,合理么?
|
 |
19
Jackiepie 2016-05-19 22:13:29 +08:00
1.对于很有信心密码不会泄漏的人,改邮箱?改密码?根本什么都不用担心。
2.对于认为密码泄漏很正常的人,如楼主,苹果提供了两步验证或双重认证。开了两步验证,你说的那些问题都是云烟。 |
 |
21
ipconfiger 2016-05-19 22:16:00 +08:00  1
@taevas **根本不需要我的原来邮箱密码啊!** 那么你原来邮箱不能用的话, 你的帐号也等于废了.
凡是切换邮箱或者手机号都需要原邮箱或者原手机来验证的都是 2b 设计. 你不过是对自己密码掉了帐号被锁说的赌气的话而已, 所有解决方案并不是怎么更好而是能让你自己找回密码恢复帐号锁产生的假设而已. 就别假装产品经理了, 人人都是产品经理不过是一句笑话而已 |
 |
22
wogong 2016-05-19 22:17:31 +08:00 6
只有我一个人没看懂么?
|
|
23
taevas OP |
 |
24
EchoWhale 2016-05-19 22:23:10 +08:00 via Android
你可以点找回密码,那里原邮箱可以作为 appleid ,然后 apple 会验证你的手机号码
|
 |
25
cxbig 2016-05-19 22:23:19 +08:00
Gmail 邮箱, 1Password 生成密码, 50 位大小写字母+数字+标点符号,每月一换。从未被盗过。
|
|
26
taevas OP @wogong 盗号的,只要知道我密码,就把我邮箱改了。(当然前提是,我没有开启二次验证)
但是,对于修改密码,还需要密保问题,修改邮箱,则不需要。 |
|
27
EchoWhale 2016-05-19 22:24:48 +08:00 via Android
所以改是可以改,但还是找得回来。
当然,偷了别人密码就能改掉别人帐号的主邮箱,这点不科学 |
 |
28
Perry 2016-05-19 22:25:38 +08:00
你登录的时候已经用了两步验证了,为什么不能直接改邮箱呢?
|
 |
29
243205964 2016-05-19 22:25:59 +08:00 via Android
这应该是苹果的漏洞吧,如何提交给苹果?
|
|
32
taevas OP @Perry 并没有开启两步验证,当然是我的疏忽。我感觉如果一般的人,也不会去注册的时候,添加两步验证。(当然有安全意识的人会。)在注册时候,不是只有帐号,密码,密保么。
|
 |
34
sephinh 2016-05-19 22:31:31 +08:00 via Android
@em70 改备用邮箱就得各种验证才行,然后主帐号随便改,所有重要通知验证什么的都发备用邮箱,也没搞懂这逻辑,我主帐号 gmail ,备用是 163 ,结果各种安全验证都发 163 去了,我用 gmail 当主号就没啥意义了么……
|
|
35
EchoWhale 2016-05-19 22:32:07 +08:00
 ) ) |
 |
36
helloSwift 2016-05-19 22:32:37 +08:00 via iPhone 3
话说从小到大,我所有的帐号都没有被盗过。
你可以跟 Apple 反馈一下 →_→ 另外,分享一下我的密码方式, 固定的外壳,加不同的内容。 y=f(@Ab.C); 其中 AbC 是根据不同的网站变动的, 且 A 是字母字符串,首字母大写, b 为数字 C 为字母字符串 这样一来,还是比较容易记,且大小写字母,数字,符号都齐了,长度也不错 举个例子, Apple ID y=f(@Apple40.Swift); |
|
39
EchoWhale 2016-05-19 22:35:29 +08:00
@helloSwift 我也有一个小技巧分享:
random 一个包含字母、数字、符号的长度 8 位以上的密码,然后用 1password 存 |
|
40
taevas OP @EchoWhale ……我原来的账号只有注册部分。。。注册部分好像没有填写备用邮箱的功能吧。只有邮箱,密码,密保。。。但是盗号不需要密保改了我的邮箱。导致我没办法找回了。我只是希望苹果能够解决这问题吧。增加注册的验证也好。还是什么的。=。=
|
|
41
taevas OP @helloSwift 学习了
|
|
42
Jackiepie 2016-05-19 22:47:31 +08:00
@taevas 我开了两步验证,这些都不是问题。反而觉得这样挺方便我更改邮箱。如果你支付宝密码漏了,钱被转了,找回密码钱没了又有何用?要不就一点都不要漏,增加多几层保护,想漏都难。
说这些你也听不进的,有人找客服改回了原邮箱: https://www.v2ex.com/t/279424 |
 |
43
sneezry 2016-05-19 22:48:20 +08:00
|
 |
45
lightening 2016-05-19 23:30:24 +08:00
@helloSwift 然后再 hash 一下
|
|
46
helloSwift 2016-05-19 23:41:33 +08:00 via iPhone
|
|
47
taevas OP @Jackiepie ……不是听不进。我是根本没注意这方面的事=。= 1password 那些都有。方便的我还是在用。不方便的。我都得另外记忆。我带钱的基本有二次验证。。。 apple id 真的没在意啊。只是注册了。很久了。最近买了 iphone 在用。然后密码,以前注册,密码都差不多。要加大写。就首位大写并没有在乎这么多。好吧。反正我问了同学, apple ID 的二次验证是什么都不知道阿。我相信更多的用户是这样吧。当然发在这个技术论坛里。。。好像不该。只是觉得想说像不像个问题吧。我明天跟客服交涉好了.今天来不及了。
|
 |
48
chztv 2016-05-20 00:13:47 +08:00
最近我也泄露过密码,还好开了双重验证(不是两步),所以对方没能登录成功,最终好好改了个密码。
修改主 ID ,我觉得 Apple 确实在这方面有点 Bug ,但可能也是历史原因吧,因为用 Apple 自家邮箱做 ID 的,都是不能改这个 ID 的。 话说回来,丢了 ID ,好像还是可以通过人工技术支持找回来的,先例也不少。当然需要你提供不少的资源证据。 希望 LZ 再找 Apple 客服沟通下,能妥善解决! |
 |
49
charlie21 2016-05-20 00:20:30 +08:00 via iPhone
所以 LZ 的意思是, Apple ID 一旦登入,就可以直接做包括改账号在内的任何修改。
|
 |
50
nvidiaAMD980X 2016-05-20 00:33:51 +08:00 via Android
@taevas 买了 iPhone 却不知道 Apple ID 的安全性的重要程度…………就如同买了 Nexus 却不知道 Gmail 一样不可思议…………
|
 |
51
SNOOPY963 2016-05-20 00:35:57 +08:00
感觉出现这种纰漏是因为之前是不能改 ID 的,即修改功能并不在原有设计下。改 ID 在时间点上貌似是今年年初出现的功能,感觉在功能设计上确实存在很大的疏忽(修改 ID 这种需要高身份认证度的操作居然不用再次验证身份)。
|
|
52
nvidiaAMD980X 2016-05-20 00:37:58 +08:00 via Android
@charlie21 只有我一个人觉得 Apple 做得没错吗?既然我是 Apple ID 的所有者,为什么不能做包括账号在内的任何修改?如果不行,这还是不是我的 ID 了??
|
|
53
nvidiaAMD980X 2016-05-20 00:39:44 +08:00 via Android
@SNOOPY963 2015 年本人就更改过 Apple ID ……………
|
 |
54
LeoDev 2016-05-20 01:08:06 +08:00 via iPhone
吓得我赶紧去找二步验证。。。
|
 |
55
DravenJohnson 2016-05-20 03:45:00 +08:00
25 位随机密码+两部验证,从没出现过问题
|
 |
56
binux 2016-05-20 06:10:29 +08:00
@nvidiaAMD980X 那为什么还要密保答案?
|
|
57
binux 2016-05-20 06:20:39 +08:00
1 、帐号+密码并不能确定你就是 Apple ID 的所有者,如果可以,还要密保答案干嘛?既然有更高一级的验证干嘛不用?
2 、密码被改了可以找回,帐号被改了可以吗? |
 |
58
donotgo 2016-05-20 06:56:52 +08:00
@binux 密保不是忘记密码的时候用来重设密码用的么?按你的说法账号+密码并不能确定你就是 Apple ID 的所有者的话,那登陆的时候为什么不要你输入密保答案?不然“非所有者”也能登录你的帐号了啊。
|
 |
59
mhtt 2016-05-20 06:59:47 +08:00 via iPhone
@helloSwift 我设密码的方式和你的方式一样啊
|
|
63
nvidiaAMD980X 2016-05-20 07:53:19 +08:00 via Android
@binux 多级认证很麻烦而且效率低,两步验证可以很好地解决上述问题,而且每次验证码都不相同,不比你去记住那几个密保问题安全有效??
|
 |
64
nnxs 2016-05-20 08:15:47 +08:00 via iPhone
我觉得买了苹果就老老实实的把 Find my phone 功能关掉,难道还指望在景德镇真能靠这破功能找回自己的手机?...
|
 |
65
yws112358 2016-05-20 08:25:37 +08:00
@ipconfiger 一般账户说修改邮箱 只是个联系邮箱,而这说的修改邮箱是 作为 id 的邮箱。 id 和密码同等重要吧。验证原邮箱不算 2B 设计了吧?
|
 |
67
JimGreen 2016-05-20 09:01:26 +08:00
这个确实是一个问题,早发现了。不过你知道你的 apple ID 别名是什么意思嘛?
举个例子: 我的 apple id 是: [email protected] 我的 apple 密码: password 设置我的 apple id 别名是: AAA@iCloud -----------被盗号之后--------------------------- -----------apple id 主油箱被改成 [email protected] ----------------------------------------------------- 那么现在的实际情况就变成了: 1 [email protected] 登录失败----------->>>找回秘密提示 id 不存在,可以寻求技术支持找回 2 [email protected] 登录正常-------------------->>>如果改密码会提示需要回答问题 3 [email protected] 登录成功---------------------->>>see ? 结论: 首先:密码安全,两步验证或者双重验证什么的,这是最重要也是最安心的 其次: Apple ID 信息完整,救援邮箱什么 |
 |
68
imbahom 2016-05-20 09:48:13 +08:00
买几个色子,自己做随机密码,然后那个小本子记下来,藏好-。-
|
|
69
EchoWhale 2016-05-20 09:50:56 +08:00 via Android
楼主丢了密码当然有他自己的责任,但是仅凭密码就能修改唯一邮箱,这也是还不科学的。
果粉好脆弱 |
 |
70
wclebb 2016-05-20 10:10:06 +08:00
@nvidiaAMD980X 我觉得你说的非常对,也认同你。但脑子浮出了反差比较强烈的——我有个顾客,大概 60 岁以上,反正很老的,有个(外)孙女,要给她拍照,因为卡住了照相机,我来帮忙,发现她用的正是 Nexus S ……系统么?号称 Nexus 可以随便刷各种各样的 ROM 的它,用的还是原生的系统,我都有点惊呆了!更惊呆的是, Nexus S 本身是有各种硬件问题的,它竟然还能活到现在!
|
 |
72
ichanne 2016-05-20 10:20:57 +08:00
这只是改了邮箱,密码还是旧的,你再登录进去把邮箱改掉~
改密码是需要密保问题的。 |
|
73
taevas OP @milugt 我更希望在注册的时候,就可以绑定各种验证啊。而不是我只需要账号密码。二次验证这种,你技术你懂,大多数人懂?我连界面都没进去过啊。你安全意识是高,但是为什么不能理解互联网白痴呢?
|
 |
75
kingcos 2016-05-20 10:28:18 +08:00
开双重认证吧,我刚才试了,登录必须输入信任的设备上的码,只要盗你号的人不是你身边的人就应该没事。
我的 AppleID 是绑定的单独的 QQ 邮箱。。。 不过手机上安装了 QQ 安全卫士,密码也和那个不同 |
 |
76
SuperMild 2016-05-20 10:33:20 +08:00
我觉得苹果这种制度非常好,密码的权限应该凌驾于邮箱,有密码基本上就等于证明了我是该账号的主人,应该可以方便地进行(除了修改密码之外的)一切操作。
而同时,对密码进行了二重保护,即使密码被盗,我也有最后一道防线可以重新夺回主权。 并且仅当密码被盗这种极端情况才需要动用更加麻烦的第二道防线,这样是安全与便利平衡的一种优秀方案。 密码本来的作用就是修改账户设定的,能修改邮箱本来就应该是密码的权限范围内,更高级的安全手段只应该用来保护密码而不是越权限制密码的作用! |
 |
78
cxshun 2016-05-20 10:36:12 +08:00 1
@nvidiaAMD980X 两步验证是可以很好解决问题,但要清楚 Apple 的两步验证也是去年(还是前年,记不大清了)才开的,那如果在这段时间内,用户还没有开两步验证,这种不是应该双重验证么?
所以就是两种情况: 1 、用户开了两步验证,这种就由它自己来了,毕竟两步验证已经基本保重了安全了。 2 、如果用户没开,那修改 ID 啥的就应该加个密保问题做验证。 这种技术上解决是完全 OK 的,只是愿不愿意做而已。 |
 |
80
louisw128 2016-05-20 10:47:10 +08:00
然而 Apple 其实并没有错
|
|
82
taevas OP @louisw128 标题可能写的不好,我承认。给出你的设计理由,说服我也就可以了。你别就表个态,什么内容都没有。讨论一下也行。丢密码没所谓啊。我也是想知道算不算个问题。而且看下来,也是有人能认同这种设定的问题性,难道听不得质疑吗?
|
|
84
sneezry 2016-05-20 11:12:09 +08:00
@amustart 真的是真随机,调用的 https://www.random.org/ 的 API
|
 |
86
seki 2016-05-20 11:32:07 +08:00
我想顺便说说密码验证问题,答案非得填三个汉字以上是不是有病?什么第一次坐飞机去的地方,第一个上司这种问题,都是可能只有两个汉字的啊
|
|
87
chztv 2016-05-20 12:08:14 +08:00
再说一点,可能这个逻辑是有一点问题,但严重绝对算不上。
Apple 已经提供了足够安全的双重、两步验证功能,你不用,就只用密码,所以问题才产生。 相当于你有个房子,但装了个很简单的门,没装锁,你说是门的问题,还是? |
 |
88
xenme 2016-05-20 12:16:21 +08:00 via iPhone
@chztv 应该是这样,你有个房子,但是门是靠在墙上的,用户装了锁。现在小偷来了换了扇门。你会说是人家锁不好,没保管好钥匙的问题么。
|
 |
89
cYcoco 2016-05-20 12:17:41 +08:00
我没看懂 我只想问 我看了双重验证会有这种风险不
|
|
90
xenme 2016-05-20 12:22:06 +08:00 1
@xenme 更新下:应该是你买了个房子,用户换了锁,要是丢了,小偷来了拿着要是找到开发商把门给换了。
你说应该是开发商没验证一下你的房产证,身份证啥的问题,还是? |
|
91
charlie21 2016-05-20 12:48:57 +08:00
apple id 的确有问题。高身份验证的操作,应该对应 高身份验证 —— 这就是 高身份验证存在的意义
修改 “极敏感信息”(包括帐号、密码、密保问题) 之前,应该再次验证用户信息(输入密码或密保问题答案或发手机验证码) |
|
92
chztv 2016-05-20 12:58:42 +08:00
@xenme 后面这个不错
Apple 其实应该让原 Email 验证下是不是要换……有这步就安全了,当然如果邮箱也被盗了,那也是…… |
 |
93
db520 2016-05-20 13:16:47 +08:00 via Android
还是联系人工客服吧,可以改回来的。这里一堆给苹果洗地的。。。
|
 |
94
macrohard 2016-05-20 13:35:44 +08:00
给你们说个秘密。
我之前在零售店看到天才手上 iPad 关于我帐号的信息还是我最早的时候注册 Apple ID 的邮箱,但是我现在能看到的完全和那个邮箱没有关联了。 |
 |
95
momosky 2016-05-20 13:38:47 +08:00
• 在独立密码的保护下,许多操作受到限制,以保证历史邮件及帐号的安全。
• 成功登录进完整界面后,我们认定您就是此邮箱的真实主人,即可以完全操作邮箱,不受限制。 • 记住登录状态后,一个星期内可以从 QQ 直接进入邮箱。 • 如果您觉得您所在网络环境足够安全,不需要额外的密码保护,可以在登录后进入"设置"清除独立密码。 可能苹果也是跟 QQ 类似,按照第二条逻辑干的。 |
 |
96
CHN 2016-05-20 14:04:44 +08:00
我的苹果账户从没被盗过
|
 |
97
hester 2016-05-20 14:11:03 +08:00
如果开了两步验证,进入账户需要如下的条件:
- email 和 password - iphone or 两步验证的手机号 so ,如果黑客获取了 你的 email 和 password ,恰好 他 /她 也获取了你的手机;恰好 你的 iphone 手机号正好是 受信任电话号码;恰你设定的手机密码与 password 一致... 结论: 开启两步验证,并且设置指纹,密码不能与 apple id 的密码一样,受信任电话号码 最好是另一台手机。如果这样都能被盗,那么恭喜你了,你肯定是个重要人物,黑客需要花大代价来盗取... PS : 我也测试了一下,只要能登陆到 apple 后台, email 地址 和 密码 修改都不需要再次验证,这点很狗血... 或许 Apple 认为 黑客能搞定 两步验证,那么,就算是给 他 /她 的 surprise ! //(っ °Д °;)っ |
|
98
EchoWhale 2016-05-20 14:19:31 +08:00
|
 |
99
dxfree 2016-05-20 14:33:46 +08:00
你有责任保护好自己的密码
你有责任了解并使用更高级的安全手段 因为是你自己的 Apple 设备 是你自己的 Apple ID 你可以赖苹果设计脑残 但只有你来承担自己疏忽的后果 你改变不了的事情 要么改变自己 要么接受现实 |
|
100
SuperMild 2016-05-20 14:46:10 +08:00
lz 你要不 append 一下说个重点吧:由于邮箱本身是“用户名”,改了邮箱相当于改了用户名,对找回密码(帐号)有严重影响。
QQ 即使能改邮箱,但数字帐号不会变,还能方便找回。 不是门锁和门被换的问题,而是整个房子被移到了另一个地址,原主人的钥匙还能开门,但问题是房子都被小偷移到不知道什么地方去了呀。 |
Select Language