В блoгe спeциaлизирующeйся нa компьютерной безопасности российской компании Elcomsoft появился пост, критикующий двух-шаговую систему аутентификации пользователя, которую недавно начала развертывать Apple.  

Не вдаваясь в технические подробности, скажем, что основные претензии заключаются в следующем:

• Зная логин и взломав пароль, можно получить доступ к бэкап-версиям iOS и загрузить их на компьютер, при этом так и не встретившись с двух-шаговой аутентификацией.

• Обладая ровно теми же данными о чужом аккаунте, можно загрузить предыдущие версии его iOS на другой девайс Apple, опять-таки, не встретившись с двух-шаговой аутентификацией.

• Наконец, даже когда двух-шаговая аутентификация введена в действие, проблема заключается в том, что одноразовый код от Apple (который и является «вторым шагом» после логина/пароля) приходит в виде оповещения на закрытый экран iOS-устройства. То есть, если ваш iPhone похищен, то злоумышленник не должен даже вводить пин-код, который вы установили (вы же установили?), чтобы открыть смартфон: он просто увидит то, что ему прислала система верификации Apple.

К такого рода критике необходимо относиться осторожно, учитывая, что   такие компании, как Elcomsoft, трудно назвать незаинтересованными наблюдателями — с помощью блога она рекламирует свои продукты. Однако поднятые проблемы действительно имеют место и заслуживают внимания.

Впрочем, сам же автор поста в корпоративном блоге дает понять, что поводов для беспокойства именно у нас насчет двух-шаговой системы аутентификации быть не должно: «На момент написания [поста], данная функция по факту все еще не доступна, по крайней мере, в России». Ну и правильно, как говорилось в известной русской сказке про человека-паука, несколько лет назад ставшей хитом на Youtube: «У нас и так все хорошо».