Почему Apple предлагает мне сменить пароль после получения электронного письма о сбросе пароля?

Я получил электронное письмо, в котором говорилось, что кто-то запросил сброс пароля для моего Apple ID.

Дорогой ___,

Недавно вы сделали запрос на сброс пароля или разблокировку Apple ID. Пожалуйста, нажмите на ссылку ниже, чтобы продолжить.

Сбросить пароль или разблокировать Apple ID >

Если вы не вносили это изменение или считаете, что постороннее лицо получило доступ к вашей учетной записи, перейдите на сайт iforgot.apple.com, чтобы незамедлительно сбросить пароль . После этого войдите на страницу своей учетной записи Apple ID по адресу https://appleid.apple.com/gb , чтобы просмотреть и обновить настройки безопасности.

Искренне,

Поддержка Apple

Часть, выделенная жирным шрифтом, кажется, говорит, что я должен сбросить свой пароль. Почему?

Вот мое общее понимание процедур сброса пароля:

  1. Кто-то запрашивает сброс пароля (любой человек может сделать это для любой учетной записи)

  2. Электронное письмо, содержащее следующие шаги, отправляется на адрес электронной почты владельца учетной записи.

  3. Электронное письмо с шага 2 требуется для фактического сброса пароля.

Таким образом, если моя электронная почта не скомпрометирована (во что у меня нет оснований полагать), нет оснований полагать, что мой Apple ID находится под угрозой, основываясь на предоставленной информации. Верно?

Я также спросил @AppleSupport об этом в Твиттере:

И поэтому они сказали:

Если вы не запрашивали это изменение, из соображений безопасности обновите свой пароль.

Учитывая, что любой в Интернете может запросить сброс пароля для любой учетной записи, и учитывая, что сделать это бесполезно без доступа к электронной почте владельца учетной записи, о каких соображениях безопасности может говорить Apple?

Пример того, почему я думаю, что это может быть глупым предложением, давайте предположим, что кто-то хочет досадить кому-то другому: все, что ему нужно сделать, это отправить повторные запросы на сброс пароля. Должен ли получатель чувствовать себя обязанным каждый раз менять свой пароль «из соображений безопасности»?

Итак, почему Apple говорит, что я должен изменить свой пароль? И если ответ «соображения безопасности», то какие примеры?

Ответы (2)

Я не уверен, что этот вопрос действительно актуален здесь, потому что вы фактически спрашиваете, почему Apple что-то делает? Тем не менее, я предлагаю этот ответ в том случае, если он остается открытым, и потому что я работал в области ИТ-безопасности.

Прежде всего, я предполагаю, что полученное вами электронное письмо было подлинным письмом от Apple, а не попыткой фишинга .

Реальность такова, что если кто-то, кроме вас, запросил сброс пароля, вы должны предположить, что они не замышляют ничего хорошего. И если это так , то к скольким другим вашим онлайн-сервисам они также пытаются получить доступ/сбросить?

К сожалению, многие онлайн-пользователи используют один и тот же пароль для многих учетных записей. И эта уязвимость является основным способом взлома учетных записей хакерами (и т. д.). Например, вы наверняка слышали об утечке фотографий знаменитостей из iCloud (известной как The Fappening ), которая произошла в августе 2014 года. Хотя сначала казалось, что ошибка каким-то образом связана с сервисами Apple iCloud, после расследования Apple заявила:

Просочившиеся изображения были результатом взлома учетных записей с использованием «очень целенаправленной атаки на имена пользователей, пароли и контрольные вопросы, практика, которая стала слишком распространенной в Интернете». Ни один из расследованных нами случаев не был связан со взломом какой-либо из систем Apple, включая iCloud® или Find my iPhone.

Источник: Apple Media Advisory

Это подчеркивает, почему Apple хотела бы, чтобы вы изменили свой пароль. Скажем, вы стали целью кого-то, получив ваш пароль от одного сайта, они знают, что есть большая вероятность, что вы использовали тот же пароль на другом. И если кто-то преднамеренно пытался сбросить ваш пароль Apple ID, то с точки зрения управления рисками вы должны предположить, что он также пытался получить доступ к некоторым другим вашим онлайн-сервисам.

Таким образом, когда Apple сообщает вам сбросить пароль в своем сервисе, они пытаются помочь вам справиться с этим риском.

К сожалению, часто люди используют не один и тот же пароль в своих учетных записях, а одни и те же вопросы безопасности, одни и те же электронные письма для восстановления и т. д. Таким образом, сброс пароля является отличной мерой предосторожности.

Наконец, Apple заявляет в своем электронном письме о немедленном сбросе вашего пароля , они выполняют свою обязанность соблюдать осторожность, и это будет очень важно в случае нарушения и / или последующего судебного иска.

О, хорошие моменты. Я никогда не думал о том, что злоумышленник попытается использовать скомпрометированные ответы на восстановление из «службы A» в «службе B». Я полагаю, что это могло бы быть эффективным, если бы процесс восстановления не ограничивался электронной почтой.

Мысль заключается в том, что, скорее всего, это не розыгрыш, а означает, что кто-то пытается получить доступ к вашей учетной записи. Хотя я согласен с тем, что маловероятно, что кто-то войдет в вашу учетную запись, я понимаю, почему Apple рекомендует это для масс.

Я предполагаю, что это происходит в основном из-за опечаток (особенно если у вас обычное имя), таких как использование @gmail вместо @hotmail и т. д., но в наши дни нельзя быть слишком осторожным.

Это также могут быть хакеры, пытающиеся подтвердить активные учетные записи.

Предполагая, что у вас есть надежный пароль и включена двухэтапная проверка, все должно быть в порядке. В любом случае рекомендуется периодически менять пароль, поэтому, если вы не сделали этого за последние несколько месяцев, я бы это сделал.

Это личное решение, но для масс (у которых в основном слабые пароли) я бы порекомендовал сменить пароль (как это сделала Apple).

Почему Apple предлагает мне сменить пароль после получения электронного письма о сбросе пароля?
СпросиСетьПолитика конфиденциальности1y, 0v