Nếu được, mod Duy Luân có thể viết bài chia sẻ về sự khác nhau giữa 2 loại hình bảo mật mà apple đang sử dụng đó là bảo mật 2 bước (two-step vertification) và bảo mật 2 yếu tố xác thực (two-factor authentication). Theo mình biết thì 2 loại hình bảo mật này hoàn toàn khác nhau, muốn xài cái này thì phải tắt cái kia.
1) Đối với two-step vertification thì có thể bạn không cần idevice, để truy cập vào apple id thì bạn cần 2 trong 3 yếu tố.
Password
Trust Numbers hoặc Trust devices
Recovery key
2) Còn đối với two-factor authentication thì bạn cần password và idevice, nếu muốn thay đổi pass thì hình như chỉ được thực hiện trên idevice đó. Do đó cần phải giữ idevice an toàn. (cái này mình không chắc lắm).
Khi nào nó xảy ra thì mới có cơ sở để nói chuyện. Phân tích rõ tình huống. Xong là lại có vở diễn của thằng apple thì mới có cái nhìn đa chiều để thành câu chuyện hài được. Rồi các thánh lại có dịp vung dao thớt giữa 2 phe 😁
Khả năng hack được tài khoản từ máy chủ iCloud không phải là k có khả năng xảy ra; Sony là một ví dụ. Ngay cty bảo mật hàng đầu như Symantec còn bị hack vào.
Tuy nhiên, ở trường hợp này, mình nghĩ Apple k bị hack. Đợt rồi, Yahoo bị rò rỉ nhiều tk. Khi hacker có mail, pass thì họ sẽ dùng thông tin đó để scan vào các site để thử xem tk nào login được. Việc này, nó cũng chả đụng gì Apple cả, căn bản là do user họ dùng chung mail/pass cho nhiều site mà thôi.
Để bảo đảm cho khách hàng thì Apple cần có động thái gì đó để user an tâm, và hacker mong muốn Apple sẽ trả tiền để user k bị quậy.
2 steps: nôm na là sau khi qua bước password (b1) thì sẽ có 1 thứ, chẳng hạn như OTP; mà OTP này do ông kiểm bước 1 tạo ra. Ví dụ: vài iBanking VCB, nhập pass (b1); xong VCB sẽ gửi OTP qua đường SMS đến chủ acc (bước 2). Cả 2 đều do VCB xử lý.
2 factors: bước 1 như trên; tuy nhiên, bước 2, OTP k phải do ông verify pass bước 1 tạo ra nữa mà phải kết hợp qua 1 dịch vụ khác, ví dụ: Google Authen, hoặc smartcard, phổ biến là Yubikey. Rõ ràng, ví dụ bạn dùng Google để authen bước 2 thì k đơn giản: bạn phải có account google; log được account google (có khi phải cần sms) lên 1 thiết bị như phone, và GG Authen phải pair key/code/cấu hình với account nói ở bước 1. Rõ ràng là phức tạp hơn nhiêù so với 2 steps đúng k?