V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rv54ntjwfm3ug8
V2EX  ›  信息安全

有可能禁用 iOS 每 3 天左右强制要求输入一次密码的功能吗? (!请!先!看!完!帖!子!内!容!再!回!复!)

  •  
  •   rv54ntjwfm3ug8 · 2022-04-16 23:05:20 +08:00 · 3777 次点击
    这是一个创建于 969 天前的主题,其中的信息可能已经有所发展或是发生改变。

    虽然我能理解这是为了防止用户忘记密码,我手上的三星 OneUI 也有这个设计,但这真的非常不安全,经常在公共场合因为这个功能必须输入 PIN 才能解锁。

    我知道 PIN 只在此设备上有效,其它人必须要接触设备才能使用 PIN 获得控制权限。

    但输入 PIN 的 10 数字键盘(我知道可以用数字字母的)真的很容易被偷窥(或被公共场合的[低清]摄像头有意或无意拍到),6~12 位 PIN 非常容易被人记住。而且能够看到 PIN 的人基本上都是身边的人,因此这是一个很严重的安全隐患,因为一旦你的设备不在身上,他们(通常是同事 / 同学 / 家人)就能通过你的 PIN 解锁你的设备。我相信大部分人应该不希望别人乱翻你的聊天记录或账号密码吧,即使是家人。

    除此之外,iOS 上的密码管理器在 Face ID(或 Touch ID)无法通过的情况下只能通过主密码或管理器的 PIN 解锁,不能通过系统 PIN (即锁屏密码)解锁,但 Windows 上的可以(我测试了 Bitwarden 和 1Password ,他们在开启生物识别解锁的情况下调的都是凭据管理器的 Windows Hello ,无法区分 PIN 和生物识别(物理 Key 貌似可以))。虽然 Windows 没有 x 天必须输入一次锁屏密码的设计,但我相信相当大部分用户(尤其是 PIN 中不含易于获取的个人资料或纯随机 PIN 的)所有个人设备使用的都是系统的 PIN 。而大部分 Windows 设备显然无法随身携带,能够被别有用心的人轻易解锁并导出保存密码,甚至直接安装远控马,而桌面系统排查起来显然非常复杂。

    再说说我认为的好设计。聊天软件 Signal 每隔一段时间会提示你确认 PIN ,你可以自己选择任意时间和场合来确认。我觉得 iOS 也可以这样做,或者至少提供一个选项让希望这样做的,对隐私有一定追求的用户这样做。但我没有注意到一个手机厂商提供这个功能。


    因为我发现 90% V 友都不读帖子内容就回复,没想到更好的方法,只能在标题加一堆并在帖子内容滥用一级标题。我在任何帖子下都不需要和我帖子完全无关的回复,我认为这也和 V 站所宣扬的发表高信息量内容理念不符,看不惯的欢迎 Block(不需要在回复中告诉我,谢谢!)

    21 条回复    2022-05-09 10:58:22 +08:00
    ynyounuo
        1
    ynyounuo  
       2022-04-16 23:19:04 +08:00
    曲线救国,把四位或者六位 PIN 改成 Custom Alphanumeric Code ,然后弄复杂一些;这样即使有人偷窥到也难完整复录
    GeruzoniAnsasu
        2
    GeruzoniAnsasu  
       2022-04-16 23:31:12 +08:00
    /t/834415
    /t/837270

    ----

    大部分人都会看完内容,但他们仅仅想对内容的一小部分发表看法而已

    建议下次 h1 加粗写「仅限对本句观点发表评论」

    ----

    没有 ios 设备,现在 ios 不能用字符组合的复杂密码了?
    yigecaiji
        3
    yigecaiji  
       2022-04-16 23:47:12 +08:00 via Android   ❤️ 1
    每天早上起来按一次就行了。
    lslqtz
        4
    lslqtz  
       2022-04-16 23:52:20 +08:00
    1. iOS 并没有三天强制重新输入密码的设定,除非你不使用设备.
    https://support.apple.com/zh-cn/HT208114
    在以下情况下,您可能需要输入密码或 Apple ID ,而不是使用面容 ID:
    您戴着口罩,并且没有设置“戴口罩使用面容 ID”。
    设备刚刚开机或重新启动。
    设备处于锁定状态已超过 48 小时。
    在过去的六天半内没有使用密码解锁过设备,且在过去的 4 小时内没有通过面容 ID 解锁过设备。
    设备收到了远程锁定命令。
    面部匹配尝试失败五次后。
    在同时按住任一音量按钮和侧边按钮 2 秒钟以关机 /发起 SOS 紧急联络之后。

    2. 密码管理器在 Face ID 失败后 App 可以选择系统密码继续进行认证,也可以选择使用自己的密码认证,App 不支持与系统无关.
    ![17B34B90-F22A-4346-B1D8-FBD09D3B9984.png]( https://s2.loli.net/2022/04/16/dnjC7kDKROleGyY.png)
    lslqtz
        5
    lslqtz  
       2022-04-16 23:55:05 +08:00
    太久没上 V2EX 忘记回复不能用 Markdown 了。
    lslqtz
        6
    lslqtz  
       2022-04-16 23:58:10 +08:00
    以及
    3. 没可能,至少未越狱没可能.
    4. 建议使用生物认证,没有必要专注于解决密码问题.
    shijingshijing
        7
    shijingshijing  
       2022-04-17 00:01:29 +08:00
    我没有 2FA 的 Apple ID 还特么过一段时间让我重新验证一次,不鸟他连 App Store 更新软件都不行。
    rv54ntjwfm3ug8
        8
    rv54ntjwfm3ug8  
    OP
       2022-04-17 00:09:53 +08:00
    @lslqtz #4 #6

    1. 在过去的六天半内没有使用密码解锁过设备,且在过去的 4 小时内没有通过面容 ID 解锁过设备 早上起床没输入密码,出门后用手机才想起来 很容易达成这个触发条件
    2. App 可以选择系统密码继续进行认证 这个就达成了利用偷窥的 PIN 进行解锁的条件。但我测试过 Bitwarden 的 iOS 版在 5 次认证失败后只能使用 Bitwarden 自身的 PIN 来继续认证。
    3. 这个“没可能"不知道您指的是什么
    4. 我就是想通过生物认证来实现 password-less 来防止偷窥问题,但由于 1 Apple 并不允许我这么做。
    gargar
        9
    gargar  
       2022-04-17 00:32:12 +08:00
    已故黑莓手机支持 picture password 解锁。我觉得比输入 PIN 安全得多。
    解锁屏幕上底层是图片,上层是很多数字(整体移动)。当特定数字被移到图片上特定位置即可解锁。
    可惜没见其他手机使用这种解锁方式(不知是否专利原因)。
    https://helpblog.blackberry.com/content/dam/helpblog-blackberry-com/images/blogs/2014/02/bbh-picturepassword02-350x350.png
    timpaik
        10
    timpaik  
       2022-04-17 01:51:16 +08:00 via Android
    小米手机也有这个功能,我因为加了应用锁所以不太在意旁人知道手机密码就是了。
    不想让别人看的加上应用锁就行。
    baobao1270
        11
    baobao1270  
       2022-04-17 07:01:16 +08:00   ❤️ 2
    1 、个人认为楼主属于“矫枉过正”的过度追求安全;日常使用还是需要选择适当的安全级别,达成安全性和便利性的妥协。
    2 、可以尝试定期更换 PIN 的解决办法——个人认为这个方法挺麻烦的,但是第一条已经说了——安全性和便利性其实是矛盾的。对于公共摄像头,可以尝试银行 ATM 机的做法——用手遮挡屏幕输入密码(需要一定的肌肉记忆)。
    3 、但是不管怎么样,希望 iPhone 加一个应用锁功能吧。给敏感应用加一道密码。
    4 、对于“Windows 设备能够被别有用心的人轻易解锁并导出保存密码”,如果开了全盘加密只有知道密码才能解锁、不知道密码只能清空磁盘。至于远程安装木马,还是需要养成良好的习惯。真的害怕 0day 攻击,那只能物理机不上网、全程使用虚拟机上网(依然有虚拟机逃逸的风险),或者使用无痕系统(比如 Tails/Qubes )。
    5 、Signal 的设计有方便的一方面,但是同时也会带来问题——如果用户看都不看直接确认取消确认怎么办?我认为这个是产品路线的选择,Signal 的用户多是注重隐私有一定信息技术基础的人,但是 iPhone 还是一个面向大众的产品。
    6 、不管怎么说,我觉得楼主的问题苹果应该不会去修。
    7 、最简单的解决办法——应该是每天出门前打开“天气” App 看一下天气吧。
    yfugibr
        12
    yfugibr  
       2022-04-17 07:29:48 +08:00 via Android
    我刷的类原生这边可以随机键盘布局,但是官方系统好像普遍很少见到这个功能
    cmdOptionKana
        13
    cmdOptionKana  
       2022-04-17 08:50:17 +08:00
    怕被偷窥很好解决,不管在家还是在公司,遇到需要输入 PIN 时顺便去接杯水喝或上个厕所就行了。

    (定期更换 PIN 不行,记忆力负担太大了)
    laoyur
        14
    laoyur  
       2022-04-17 09:54:39 +08:00
    没可能
    要不你换个习惯,用另一只手遮挡下?没人会特别留意你这个举动的
    xiangyuecn
        15
    xiangyuecn  
       2022-04-17 11:23:53 +08:00
    关于密码被偷窥这件事,数字软键盘 乱序显示一下 即可防止绝大部分因偷窥导致的密码泄露问题。

    记得有些银行软件自带这种安全键盘,瞄了一下我的小米 是有这种功能,不过我没这些安全要求,裸奔要什么安全不安全的。

    ------

    “但这真的非常不安全” - 无非就是想别人一致认同而已,很正常的心里
    “不需要在回复中告诉我,谢谢!” - 玻璃心

    这个帖子事情本身没毛病,和事情无关的内容给人不舒服 怪怪的
    xiangyuecn
        16
    xiangyuecn  
       2022-04-17 11:25:45 +08:00
    HankAviator
        17
    HankAviator  
       2022-04-17 13:56:50 +08:00 via Android
    解锁 Win 的 PIN 那里反复读也不太懂为什么?是简单偷窥密码就可以用别人电脑吗?
    微软至少已经意识到好说好商量是没用的,很多用户只要给他们关掉自动更新的开关他们就关掉,不强制下来用户不会当回事。像是新买的手机三天忘了新设的密码是家常便饭吧。另外 72 小时是上次 pin 成功后再计算的

    目前手机系统普遍认可的强认证都是用户提供不可篡改输入,且是系统运行必备基础输入方式的:密码,PIN ,图案。其他方案解锁时会计算置信度,怀疑不可信时还是回落到强认证上。

    实际用物理 key 解锁就没有 OP 的顾虑拉,完美。不放心再加个企业政策强制 2FA 。
    MengiNo
        18
    MengiNo  
       2022-04-17 17:27:06 +08:00 via Android
    iOS 作为搭配手机这种移动设备,密码就算被人看到又如何呢,这年头手机作为强认证设备,极少有人会好意思向你借离视线使用吧。个人觉得只要不设置的和电脑密码、家门锁密码 等固定设备一样导致被人猜到即可。

    我在外使用 POS 机时基本都不怎么遮挡,因为我觉得银行卡这种东西,我告诉你密码你拿不到卡本身就完全没有意义。不会有人会用 “因为无意中看到了密码所以想偷卡” 作为偷窃动机吧?(突然觉得某外资银行没有密码的信用卡按楼主这个逻辑反而最安全,因为我每次都是乱按的 2333 )

    顺便 iOS 的家长控制也可以给限定应用或者功能再加一道锁,就算出借手机也可以精准的控到对方甚至只能看到这一张照片且不能左右滑动。
    cskeleton
        19
    cskeleton  
       2022-04-17 20:53:46 +08:00
    用复杂密码可以大幅度缓解吧,我的 iPhone 一直用的 22 位字母数字符号混合的密码
    MyouiSouth
        20
    MyouiSouth  
       2022-04-18 10:34:22 +08:00
    我的锁屏密码:
    sqgwlszjdlytslzskysdm
    有人破译吗
    cosette
        21
    cosette  
       2022-05-09 10:58:22 +08:00
    使用复杂密码,只要超过 15 位以上就很难记住,哪怕是数字,至于会不会被拍照录像等等问题,这是另外的问题,认证凭证还是重点在不可篡改性上,至于能不能保密,面临的情况太多太复杂,iOS 很难在这方面做出什么改进。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 09:01 · PVG 17:01 · LAX 01:01 · JFK 04:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.