5 votes

peter.rando avatar

La nouvelle exigence 2FA d'Apple pour les Apple ID des développeurs

Demandé el 24 de Février, 2019
Quand la question a-t-elle été
1761 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

D'après divers rapports, Apple va prochainement force d'utiliser le système 2FA avec leurs identifiants Apple, mais il n'est pas facile de comprendre exactement comment la mise en œuvre d'Apple fonctionnera.

Ne perdez pas de temps à critiquer les exigences de mon cas d'utilisation ci-dessous. Je travaille dans et sur des outils de sécurité des données et je sais que mes exigences sont inhabituelles. Je vous prie de m'excuser par avance pour la longueur du texte, mais je veux tout expliquer et voir si d'autres personnes peuvent m'aider à comprendre ce qui est possible, ou potentiellement ce qui est impossible. Je préfère donner le plus d'informations possible dès le début. Si vous avez besoin de plus d'informations, n'hésitez pas à me les demander.

Je possède plusieurs appareils iOS, dont aucun n'a de "données". Imaginez qu'ils soient tous des iPad ou des iPod Touch. Ils accèdent à l'internet via le Wi-Fi sur VPN. Le document d'assistance d'Apple semble dire que vous pouvez gérer leur 2FA sans données, mais ils semblent supposer que vous disposez de SMS ou au moins d'un numéro de téléphone actif - et que vous êtes d'accord pour le leur donner.

  1. Je n'utilise pas de SMS. Pas du tout. Oui, vraiment. Ce n'est pas sécurisé de quelque manière que ce soit, et ça ne devrait certainement pas faire partie d'un système de sécurité. En fait, je ne possède pas de téléphone portable à l'heure actuelle et je n'ai plus d'accès régulier à une ligne fixe, du moins pas lorsque je travaille. Donc, quand Apple parle d'un "téléphone de confiance", cela ne s'applique pas à moi pendant la plupart de mes heures de développement.

    S'il s'agissait d'un envoi unique de vérification par SMS, il suffirait d'acheter une carte SIM d'occasion, ou même de demander à un ami (mauvaise idée), mais si un numéro de téléphone est entré dans le système 2FA d'Apple, je pense que l'on peut supposer que ce numéro sera nécessaire en permanence, même si c'est rarement. Je ne vais pas me mettre dans un coin irrécupérable.

  2. Je n'utilise pas (n'utiliserai pas) iCloud. Je ne stocke pas tout les données dans le nuage sur des serveurs appartenant à d'autres, pas même à Apple. Si cette nouvelle exigence de 2FA signifie que personne ne peut développer des applications iOS et les installer sur ses propres iDevices sans avoir un compte iCloud, c'est très inquiétant. Espérons que quelqu'un pourra confirmer ou infirmer cela avec certitude.

    L'article : Obtenez un code de vérification et connectez-vous avec l'authentification à deux facteurs. semble impliquer que l'on n'a pas besoin d'iCloud, et que l'on peut obtenir un code de vérification hors ligne, ce que j'ai fait sur mon iDevice, mais je n'ai aucun moyen de le tester, car je ne sais pas comment il s'intègre dans Xcode.

  3. Il ne semble pas que les options 2FA qui sont en fait relativement sûres, comme Yubikey, soient disponibles. Des informations à ce sujet ?

  4. Cette nouvelle exigence 2FA concerne-t-elle uniquement les développeurs dont les applications sont publiées ? Ou cela affectera-t-il la capacité de ceux d'entre nous qui écrivent des applications internes (non destinées aux entreprises) à installer sur leurs propres appareils ? L'identifiant Apple associé à ce compte de développeur n'a pas reçu d'e-mail à ce sujet. Je ne le sais que parce qu'il en est question sur divers forums.

  5. Quand est-ce qu'une demande de 2FA entre en jeu ? Si elle est déclenchée sur la base d'une nouvelle adresse IP, c'est un problème. Lorsque mes appareils iOS se connectent à Internet (rarement), c'est toujours par le biais d'un VPN, ce qui implique des adresses IP publiques différentes en permanence. Mon ordinateur portable de développement est généralement totalement déconnecté de l'Internet public, mais lorsqu'il est connecté, il possède également différentes adresses IP, mais pas nécessairement via un VPN. Si le système 2FA est déclenché sur la base d'un attribut de chaque appareil, comment cet attribut est-il stocké ou déterminé ? Je n'autorise jamais mes navigateurs à utiliser le stockage de données locales, je n'autorise pas les cookies, sauf momentanément pour me connecter à l'un des quelques sites suivants https://appleid.apple.com/ puis ils sont supprimés immédiatement.

  6. Xcode sur mon ordinateur portable de développement peut communiquer avec l'Internet, mais seulement avec quelques serveurs de développement d'Apple, et seulement lorsque je dois mettre à jour le certificat d'approvisionnement. S'il y a un court laps de temps, je peux généralement m'en accommoder grâce au simulateur iOS. Donc moins d'une fois par semaine en moyenne.

  7. Comme beaucoup de développeurs, j'utilise un identifiant Apple personnel pour mes appareils/applications/musique personnels, mais un identifiant Apple différent pour le développement. D'après ce que j'ai lu, cette exigence de 2FA va être un énorme PITA pour de nombreux développeurs. Existe-t-il un moyen simple de résoudre ce problème ? Je viens de mettre à jour l'un de nos anciens appareils vers iOS 12 (je ne voulais pas le faire, mais cette exigence de 2FA m'a en quelque sorte forcé à le faire), je l'ai lié à mon AppleID de développeur. Alors que cet appareil est totalement hors ligne, je peux aller dans Réglages Mot de passe et sécurité AppleID pour générer un "code de vérification". Si c'est tout ce dont j'ai besoin pour ce processus, tout va généralement bien, car je peux essayer de garder cet appareil avec moi à tout moment, même si ce n'est pas particulièrement pratique.

Il y a donc plusieurs questions ci-dessus auxquelles je cherche des réponses, mais une question plus autonome est la suivante : Avec les contraintes ci-dessus, pourrai-je continuer à utiliser Xcode sur mon ordinateur portable et pousser des applications sur nos propres appareils ? Si Xcode s'arrête simplement lorsque je demande une mise à jour du certificat d'approvisionnement et que je peux générer un code de vérification associé sur mon ordinateur portable, je ne pourrai pas continuer à utiliser Xcode. hors ligne appareil mobile, ce n'est pas un problème. Mais je ne vois pas comment je peux activer leur terrible notion de 2FA sur l'ordinateur portable. Ce n'est pas que je le veuille de toute façon, mes propres systèmes de sécurité sont meilleurs en ce moment, donc ce ne sera qu'un inconvénient au mieux, et si le SMS est une exigence stricte, alors ce serait un déclassement. Pour moi en tout cas.

Un aparté ; vous pourriez vous demander comment on peut travailler avec ma configuration, mais ce n'est pas si mal, je n'ai besoin de connecter mon ordinateur portable de développement à l'Internet qu'une fois par semaine environ pour recharger les certificats de provisionnement. Les iDevices n'ont besoin de se connecter à l'internet ouvert (via VPN) que lorsque Xcode leur envoie les applications.

Une autre référence, ce post :

Possibilité d'ajouter une authentification à deux facteurs non-SMS à un identifiant Apple ?

renvoie à une page du support technique d'Apple qui indique que le SMS est nécessaire, mais c'est pour la vérification en deux étapes, pas pour l'authentification à deux facteurs.

Il y a tellement de questions et d'articles différents sur le sujet, mais ils semblent tous incomplets et/ou en conflit les uns avec les autres.

Demandé el 24 de Février, 2019 par peter.rando

Réponse

Trop de publicités?

5voto

Jose Chavez avatar
Jose Chavez Points 645

La nouvelle exigence 2FA ne concerne pas un nouveau système 2FA - il s'agit du même système 2FA dont les utilisateurs d'Apple ID disposent depuis très longtemps maintenant. Vous pouvez trouver des tonnes de guides et d'informations à ce sujet sur le net.

Vous semblez poser de nombreuses questions différentes qui tournent toutes autour du même thème. Par conséquent, je vais vous donner une réponse générale, mais si vous voulez des détails sur chaque sous-question, posez-la en tant que question distincte.

Oui, vous pouvez utiliser 2FA sans utiliser iCloud Drive, sans synchroniser avec iCloud Photos, sans utiliser iCloud mail, etc. Vous n'avez besoin de rien d'autre que de l'Apple ID que vous possédez déjà.

Oui, vous avez besoin d'un numéro de téléphone en état de marche. Il n'est pas nécessaire d'envoyer un SMS, car vous pouvez demander un message vocal à la place.

Non, vous n'aurez pas besoin d'utiliser cette méthode régulièrement. Elle est prévue uniquement lorsque vous avez oublié votre mot de passe ou que vous souhaitez récupérer votre compte.

Oui, les dispositifs 2FA fonctionnent parfaitement bien hors ligne. Vous n'êtes pas soudainement obligé d'être en ligne en permanence. Si vous voulez interagir avec les serveurs d'Apple pour télécharger les profils de provisionnement, vous devrez être en ligne, mais cela a toujours été le cas.

Non, vous n'allez pas générer et saisir des codes 2FA en permanence. Vous le faites une fois par "système" et un jeton est stocké, ce qui signifie que vous n'aurez plus à le faire sur ce système jusqu'à ce que vous changiez votre mot de passe ou révoquiez le jeton. Un système peut être un navigateur, Xcode ou tout ce que vous utilisez pour communiquer avec les systèmes d'Apple.

Non, vous ne pouvez pas utiliser les Yubikeys ou autres. Vous pouvez utiliser des appareils Apple comme par exemple un téléphone avec une Secure Enclave. Il s'agit des mêmes principes que pour le Yubikey en utilisant TOTP avec un secret stocké dans la Secure Enclave.

La demande 2FA n'est pas initiée lorsque vous vous connectez à Internet. Elle ne l'est que lorsque vous tentez spécifiquement d'accéder à quelque chose sur le système d'Apple sans disposer d'un jeton pré-enregistré. Oui, vous pouvez utiliser 2FA même si vous vous connectez par VPN.

Non, cela n'a pas d'importance si vous avez publié des applications ou non. Il s'agit d'une exigence générique pour les membres du programme de développement. Vous saurez si vous êtes concerné car Apple vous enverra un e-mail direct à ce sujet.

Oui, vous pouvez utiliser votre compte 2FA de développeur sur un appareil "privé" sans avoir à supprimer votre compte 2FA privé de l'appareil.

Répondu el 24 de Février, 2019 par Jose Chavez (645 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X