这是一个创建于 3101 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的apple ID 被盗了. 手机变砖了...真是够了.
原因很多,可能密码管理不善。因为在多地注册,可能修改密码也就改个首位大小写。盗了就盗了。
但是,刚才重新注册了一个,测试了一下更改邮箱的功能, 发现一个严重的问题。
https://appleid.apple.com/account/home登陆界面,大家可以试试。
下面在帐号部分,点击编辑。下面出现一个编辑电子邮件地址。输进去一个邮箱。过程中,并没有什么其他验证,改个密码还要回答密保答案好吗!!!
在我提交的邮箱中,会收到一个验证码。输入上面那个 注意,是我提交的那个邮箱,也没有验证原邮箱
我真的很好奇,就这么简单的改掉了?
后面,我验证了一下原来那个邮箱。
当然,不负众望。连找回的机会都没了。
我就不知道苹果这么大个公司,这难道不算 bug ?连帐号都改了,告诉我,如何找回密码???
常识告诉我,这里面严重中有问题吧?
总结一下,也就是说,密码没了,你连找回的权利都没有?这合理么,何况,只是知道密码,二次验证何在?
别说用户自己管理不善,丢个密码谁没有? ok 。我都没办法找回了现在。
我的手机一直处 在此 iphone 已丢失并被抹掉,请使用抹掉此 iphone 的 apple ID 登录 的状态。当然, apple ID 邮箱都不是我本人的了。。。什么东西改不了...
=。=请重视下严重性啊。
第 1 条附言 · 2016-05-22 19:15:08 +08:00
由于表述不是那么清楚。再总结一下吧。就是说,撇开二次验证(你说你是技术宅你安全意识高,那没得说)。如果盗号的知道你的密码,那么就可以直接把 apple id(也就是邮箱)修改掉。修改了账号,根本没有办法通过任何办法自行找回。
另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
另外,修改密码都需要密保的验证。修改邮箱则不需要密保。
说安全问题的,我要补充一下。密码总会被盗,就说你命不好,二次验证没有不在少数吧(你确定跟女生讲二次验证都知道?)
丢密码不是问题,跟其他密码相似了,这锅我背呗,谁知道哪个库又爆出个泄露。
另外,比如说,之前密保可以两位的,现在注册,一定要三位了。给客服说的时候,认知里就往三个字的找了,我怎么知道还能选两个字的,我能记得密码就不错了。
 |
101
SlipStupig 2016-05-20 16:33:40 +08:00
首先得知道账号密码了才能换啊!
|
 |
102
nvidiaAMD980X 2016-05-20 17:07:04 +08:00 via Android
只有我一个人觉得限制用户更改帐号是一件很恶心的事吗?
既然是我自己的账号,我就有权对其进行任何处理。自己的账号和密码都泄漏了,然后两步验证也不开,到头来怪 Apple ?这不合理吧? |
 |
103
charlie21 2016-05-20 20:35:26 +08:00
@nvidiaAMD980X 通常的机制是,可以更改帐号,在更改帐号之前,需要输入原密码,输入对了才能改帐号。以防你在电脑上登录了但是人暂时离开电脑了此时有一个人来你的电脑前给你改了帐号
apple 在更改帐号方面的机制上没这么做 |
|
104
charlie21 2016-05-20 20:55:02 +08:00
而且 “要求输入密码” 这个动作,本来就意味着一个新旧密码的时间差:
如果你及时设了新密码,那么(按照机制要求一个人在改帐号之前 输入密码, which apple doesn't require so )要求他人输入密码之后,他人输入的就是一个“旧密码” ,随之就无法完成接下来的操作,这就等于对帐号的保护 ( a protection which apple doesn't offer —— so apple id 严重有问题。这就是 LZ 想说的 ) |
 |
105
Koma 2016-05-20 21:59:59 +08:00
@charlie21 “及时设了新密码”这个情况就很少,人家知道你的密码,登录,改账号。一般人都是出了问题才知道账号被盗了,哪有时间改密码。
|
 |
106
Balthild 2016-05-20 23:32:10 +08:00 via iPhone
@ipconfiger 不同意。我认为应该设计成验证原邮箱+紧急恢复代码,不能为怕原邮箱丢失而直接降低安全性
|
 |
107
ipconfiger 2016-05-20 23:52:50 +08:00
@Balthild 不管紧急恢复代码还是保护邮箱的密码还是保护密码的密码的密码什么的东西, 都和原邮箱无关对吧, 那么我说的更换邮箱需要原邮箱来验证的设计是愚蠢设计的结论你是反对的哪一出?
|
 |
110
donotgo 2016-05-21 05:09:27 +08:00 via iPhone
@taevas 有密码不能改密码的逻辑是什么?你用过 别的互联网帐号么比如 google account 。账户所有人才有密码->有密码能改邮箱,有什么不对的地方?
|
 |
111
binux 2016-05-21 05:14:23 +08:00
@nvidiaAMD980X 就是因为效率低才需要多级啊,难道你整天改登录邮箱的吗?
|
|
113
binux 2016-05-21 05:18:10 +08:00
|
|
114
donotgo 2016-05-21 05:46:12 +08:00 via iPhone
@binux 我前两天刚改过某个马甲 gmail 的找回邮箱,除了原邮箱收到一封通知邮件以外没有输入任何额外信息也没用收到任何额外通知。盗号的人改了你密码,却傻到不改安全问题的答案么……
|
|
115
binux 2016-05-21 05:51:58 +08:00
|
 |
116
Tink 2016-05-21 05:55:21 +08:00
这设计确实很傻逼
|
|
118
nvidiaAMD980X 2016-05-21 08:10:29 +08:00 via Android
@binux 你用 Gmail 不就没事了吗!!非得用锅内的垃圾邮箱 163 和 QQ ,账号和密码泄露怪 Apple ?
还多级验证??一个两步验证都能解决的问题,搞这么复杂干什么!!! Apple 提供了两步 /双重验证,自己不用,怪 Apple ??无语…………… |
|
119
nvidiaAMD980X 2016-05-21 08:12:56 +08:00 via Android
@Tink 安全问题和答案早已泄露的可能不是没有…………
|
|
120
Balthild 2016-05-21 12:34:42 +08:00 via iPhone
@ipconfiger 请你至少看清楚我说的话。「验证原邮箱+紧急恢复代码」
|
 |
124
shengli 2016-05-22 22:51:03 +08:00
|
Select Language