В последние годы одного лишь пароля для защиты важных учетных записей от неавторизованного доступа стало недостаточно. Большинство крупных компаний (Google, Apple, Amazon, Microsoft, Dropbox, Facebook и многие другие) ввели сначала опциональную, а потом — усиленно рекомендуемую защиту вторым фактором аутентификации. До тех пор пока второй фактор находится на руках у пользователя, всё работает хорошо. Но что будет, если пользователь знает пароль, но доступа ко второму фактору нет?
Попробуем разобраться, что случится с аккаунтами Apple и Google, если доступ ко второму фактору утрачен, и рассмотрим механизмы восстановления доступа к учётным записям в случае утраты как пароля, так и дополнительного фактора аутентификации.
В экосистемах как Apple, так и Google предусмотрена возможность восстановления доступа к учетным записям. При использовании двухфакторной аутентификации механизмы восстановления доступа будут сильно отличаться для ситуации, когда пользователь забыл пароль (но имеет доступ ко второму фактору аутентификации), и ситуации, когда пароль пользователю известен, но доступа ко второму фактору аутентификации нет.
Как происходит утрата второго фактора аутентификации? Ситуаций бывает множество; самая распространённая - в поездке. Чаще всего - во время поездки(особенно заграничной) у пользователя украли (забыл, потерял — не суть важно) телефон, а в украденном (забытом, потерянном) телефоне была установлена SIM-карта с доверенным номером. Заблокировать украденное устройство можно и без SIM-карты, а вот зайти в учетную запись, чтобы активировать купленный на замену утраченному смартфон, уже не получится: «домашнюю» SIM-карту за границей не восстановят.
В случае с Apple дела обстоят еще интереснее. Помимо доверенных телефонных номеров, вторым фактором аутентификации у Apple могут выступать только и исключительно устройства Apple. Ни запасных кодов, ни приложения, которое генерировало бы одноразовые ключи, не предусмотрено. Так что, если пользователь захочет продать или обменять единственное из имеющихся у него или у ребенка устройств Apple, нужно будет убедиться, что в настройках аккаунта указан актуальный телефонный номер. В противном случае пользователю не поможет никто: зайти в свою учетную запись на свежекупленном устройстве не получится без длительной процедуры восстановления доступа, результат которой – отнюдь не гарантирован.
Самое же интересное происходит тогда, когда доступ ко второму фактору аутентификации теряет ребенок до тринадцати лет, устройство которого включено в «Семейный доступ» и управляется с помощью функции «Экранного времени». Казалось бы, родитель с активной функцией родительского контроля должен иметь возможность зайти в свою учетную запись и сбросить или поменять настройки аккаунта ребёнка. Так оно и было бы, если бы ребенок просто забыл пароль; однако, по мнению Apple, пароль ребёнок забыть может, а вот потерять или сломать второй фактор аутентификации — никогда. Решать возникшую проблему придется вполне по-взрослому. Забегая вперед, скажу: в некоторых случаях решения у нее не будет вообще.
