Второй фактор аутентификации в наши дни — основа основ защиты учётных записей. Пароль — это то, что вы знаете; на практике это «то, что можно выманить, подобрать, найти в утечке или использовать извлечённый с другого сервиса». Второй фактор — это то, что у вас есть; несмотря на то, что современные мошенники успешно выманивают и его, без двухфакторной аутентификации ситуация была бы намного хуже.
Сегодня у Apple двухфакторная аутентификация работает хорошо и, скажем так, «правильно», но так было не всегда. Был период, когда двухфакторной аутентификации не было вообще или она защищала только вход в аккаунт, но не сами данные; был период, когда всё перевернулось с ног на голову, и второй фактор аутентификации стал по сути единственным: имея доступ к нему, можно было забыть о существовании пароля в принципе. И только с выходом iOS 26.4 с активной по умолчанию функцией «Защиты украденного устройства» мы можем, наконец, сказать: у Apple полный порядок с двухфакторной аутентификацией. А сегодня мы расскажем об истории двухфакторной аутентификации и немного о том, что именно мы исправили в Elcomsoft Phone Breaker 11.03.
Сервис iCloud был запущен в 2011 году без какой-либо двухфакторной защиты: логин и пароль, и ничего больше. Двухшаговая проверка (two-step verification) появилась только в марте 2013 года, и появилась с двумя существенными оговорками. Во-первых, она была доступна не во всех странах; полный охват занял несколько лет. Во-вторых, и это гораздо важнее, она защищала саму учётную запись, но не данные. Двухшаговая проверка контролировала изменение параметров Apple ID и покупки в iTunes. Резервные копии iCloud она не защищала никак. Владелец логина и пароля мог скачать полную резервную копию iPhone, и включённый второй фактор в этом процессе не участвовал. Казалось бы, что может пойти не так?
В конце лета 2014 года в сеть попала большая подборка частных фотографий, принадлежавших знаменитостям. Событие получило название Celebgate. Apple провела расследование и заявила, что взлома инфраструктуры iCloud не было, и это соответствовало действительности: учётные записи компрометировались фишингом и подбором ответов на контрольные вопросы, которые нетрудно было найти в открытых профилях жертв в социальных сетях. Пароли злоумышленникам передавали сами пользователи.
Дальше пароля оказывалось достаточно, поскольку резервные копии вторым фактором не защищались. Инструментом, позволяющим выгрузить содержимое учётной записи, по сообщениям того времени была наша программа, а точнее нелицензионные копии Elcomsoft Phone Password Breaker. В материалах дела Министерства юстиции США по одному из осуждённых участников фигурирует то же программное обеспечение. Ни один из злоумышленников нашим клиентом не был и быть не мог; использовались пиратские копии нашего ПО.
Двухшаговую проверку Apple распространила на данные iCloud через уже две недели после утечки, в сентябре 2014 года, а полноценная двухфакторная аутентификация появилась в 2015 году с выходом iOS 9. Сегодня при создании новой учётной записи второй фактор включается автоматически, и отключить его штатными средствами практически невозможно.
Примерно к концу десятых годов ситуация встала с ног на голову: второй фактор, задуманный как дополнительный, стал основным, а пароль превратился в формальность. Если доверенное устройство находится у вас и его код блокировки известен, пароль от учётной записи в большинстве случаев можно сменить, не зная старого, и занимает это меньше минуты. Разбор этих взаимосвязей мы публиковали в статье «Четыре с половиной пароля. Аутентификация пользователей в экосистеме Apple», и вывод был однозначным: сам по себе пароль от iCloud практически бесполезен, если в учётной записи включена двухфакторная аутентификация. Обратное неверно: располагая одним лишь паролем, добавить или изменить второй фактор невозможно.
Из этого следовало несколько практических выводов. Утрата второго фактора означала утрату учётной записи даже при известном пароле: официальная процедура восстановления занимала недели и не давала гарантий. Одновременно рос список сервисов, требующих включённой двухфакторной аутентификации: облачная связка ключей, синхронизация сообщений, данных Здоровья и Экранного времени, сама возможность сброса забытого пароля. И, наконец, сложный пароль от учётной записи в значительной мере утратил смысл: защищать паролем то, что сбрасывается с доверенного устройства за минуту, занятие малопродуктивное. Баланс оказался перекошен: чрезмерный вес получили код блокировки экрана и второй фактор, а пароль от iCloud свою роль во многом утратил.
Существует также вариант со сбросом пароля через SIM-карту и доверенный номер, но он сложнее и обставлен большим числом условий. Этим мы и ограничимся. Подробное описание процедур «возврата» доступа к чужой учётной записи мы публиковать не намерены: такими инструкциями воспользуются в первую очередь совсем не криминалисты.
Второй фактор теперь закрывает все категории данных, а старый обходной путь закрыт. Речь идёт о маркерах аутентификации. Раньше извлечение маркера с компьютера пользователя позволяло скачивать облачные данные без пароля и без прохождения двухфакторной аутентификации. Затем Apple привязала маркеры к устройству, на котором они были созданы. Перенесённый на другую машину маркер перестал работать. Вход по маркеру мы из продукта убрали, но продолжаем исследовать вопрос, и если найдётся работоспособный вариант, функция вернётся.
Перекос, о котором шла речь выше, Apple тоже устранила, причём средством, задуманным для другой задачи. «Защита украденного устройства» появилась в iOS 17.3 как ответ на уличные кражи, когда злоумышленник подсматривал код блокировки и за минуту менял пароль от учётной записи. Функция требует биометрию без возможности ввести код блокировки, а для смены пароля Apple Account добавляет часовую системную задержку: биометрия, час ожидания, повторная биометрия. Через браузер на account.apple.com действует то же ограничение. Связка «телефон плюс код блокировки» перестала быть универсальным ключом к учётной записи. До марта 2026 года это оставалось теорией, поскольку включать защиту требовалось вручную, но с выходом iOS 26.4 она активируется автоматически при настройке, восстановлении и обновлении устройства. Подробности в статье «Функция защиты украденного устройства Apple и её значение для криминалистов».
Отметим, что по умолчанию ограничения срабатывают только за пределами «знакомых мест», а на iPad, по данным нашей июньской публикации, защиты нет вовсе.
Полноценный вход в учётную запись обязателен. Не считая ключей доступа (passkey), которые мы не поддерживаем, способов пройти двухфакторную проверку три.
Восстановлен вход с получением кода по SMS. Он не работал довольно давно, оставляя единственным рабочим вариантом подтверждение на доверенном устройстве, и эксперты о нём регулярно спрашивали; мы — исправили. Пользоваться им мы по-прежнему не рекомендуем: попытки входа с кодом из SMS заметно повышают вероятность того, что учётная запись будет помечена как подозрительная или заблокирована, а заблокированная учётная запись бесполезна для всех сторон. При наличии доверенного устройства следует использовать доверенное устройство.
Удалена предварительная проверка наличия 2FA. Раньше существовал способ узнать до входа, включена ли на учётной записи двухфакторная аутентификация. В своё время это имело смысл: учётных записей без второго фактора было много, и проверка позволяла узнать, есть ли на учётной записи двухфакторная проверка, не вызывая появления автоматического уведомления на экране зарегистрированных в учётной записи устройств. Позже смысл исчез, поскольку второй фактор есть практически на всех записях, кроме совсем старых. Оставался единственный аргумент: проверка не вызывала уведомления на устройствах пользователя, что было удобно, если правоохранительным органам требовалось получить облачные данные без ведома владельца. Аргумент был слабым уже тогда и вызывал вопросы, выходящие за пределы технической реализации.
Теперь Apple закрыла этот метод полностью: предварительный проверочный вход стал завершаться ошибкой, Elcomsoft Phone Breaker сообщал о неверном пароле, а уведомление на устройствах пользователя при этом всё равно появлялось. Соответственно, мы убрали промежуточный этап, и аутентификация теперь просто выполняется штатным образом.
Инструмент для криминалистов, извлекающий и расшифровывающий данные из резервных копий устройств iOS и Windows Phone и соответствующих облачных сервисов. Доступ в iCloud по паролю либо маркеру аутентификации, извлечённому из компьютера пользователя. Поддержка двухфакторной аутентификации. Расшифровка Keychain и ускорение перебора паролей на видеокартах AMD и NVIDIA. Словарные атаки для ускоренного восстановления паролей.