如何在启用高级数据保护的情况下恢复 Apple ID 帐户

随着 iOS 16.2、PadOS 16.2 和macOS Ventura 13.1的发布，Apple 为用户添加了一个新选项：为存储在 iCloud 上的资料增加了一层安全保护，称为高级数据保护 (ADP)。它进一步对用户同步或存储在 iCloud 上的部分数据进行 E2EE 加密，更重要的是让用户和他们信任的设备——而不是 Apple——负责处理解密。

我们已经写过如何选择这个选项，以及与之相关的一些注意事项。ADP 旨在作为一项可选功能，供那些认为自己将数据存储在 iCloud 上或将数据备份到 iCloud 上的人使用，从而使他们成为监视或黑客攻击的目标。

如果你确实打开了 ADP，你的 iCloud 备份以及其他类别的存储数据现在都是端到端加密的——但并不是所有的东西都有只有你能控制的解密密钥。由于需要与其他系统普遍互操作，iCloud 邮件、您的通讯录和日历不属于高级数据保护的一部分。

这些项目在通过互联网“传输中”以及在 iCloud 服务器上“静止”时仍然是加密的，但出于兼容性目的，Apple 保留了这些解密密钥。

2020 年， iCloud 数据恢复服务引入了高级数据保护背后的一些关键概念。它首次提出了设置恢复联系人的想法——除你之外的一个可信任的人，可以帮助你恢复你的 Apple ID——并且还提供了设置 Apple 无法访问的恢复密钥的选项。

从 iOS 16.3 开始，Apple 现在还增加了对第三方物理安全密钥的支持，类似于 USB 拇指驱动器，允许用户验证自己，跳过通常的“验证码”阶段。对于 ADP 恢复，Apple 要求用户拥有两个安全密钥——一个可能存储在安全的地方——以防止在密钥丢失或出现故障时被永久锁定。

还值得注意的是，打开 ADP 会使许多 Apple 应用程序中的协作功能变得更加困难或出现问题。默认情况下，当 ADP 打开时，通过 Web 浏览器访问 iCloud.com 将被禁用。用户可以授权一个小时的窗口从受信任的设备访问 iCloud.com，这暂时使该网站的访问权限仅供受信任的设备使用。

据 Apple 称，如果你打开了 ADP，共享笔记、iCloud 共享照片库或共享提醒等区域中的协作功能将无法使用，除非你的所有协作者也都打开了 ADP。照片中的共享相册不符合 ADP 保护条件，而是使用标准数据保护。

同样，Pages、Numbers 和 Keynote 等iWork应用程序中的协作功能也不支持高级数据保护。当用户在这些应用程序中或从 iCloud 共享文件夹打开共享文档时，该文档的加密密钥将发送到 Apple 的服务器，以协调参与者之间的文档更改。

还有一个警告：开启 ADP 意味着承诺让您的所有 Apple 设备——iPhone、iPad、Apple TV、Mac 和Apple Watch——保持最新状态。如果您的设备无法升级到 16.2 或更高版本，则在您被锁定时无法使用这些设备为您提供帮助。

更高的保护，但也更高的风险

如果您认为您现在或有朝一日将面临丢失/忘记您作为 Apple 设备用户的两个最重要密码的风险——您的密码和/或您的 Apple ID 密码——您可能希望避免打开高级数据保护。最大的风险是，如果您无法使用后备验证方法，Apple 无法帮助您重新进入：您的帐户可能会被永久锁定。

当然，Apple 不希望这种情况发生——但 ADP 背后的基本思想是，作为这种额外加密的交换，Apple 将不再具有解密受保护数据的能力，即使有授权令也是如此。在设置 ADP 时，Apple 可以生成唯一的 28 个字符的 Recovery Key 供用户存储，同时还鼓励用户指定可信任的其他人作为帐户恢复联系人。

但是，这两种方法都可能随着时间的推移而失败——例如，恢复联系人更改了他们的联系信息，或者您找不到恢复密钥的记录。如果 ADP 处于活动状态，则尝试以上述通常方式更改您的 Apple ID 密码将不起作用。

正因如此，Apple 要求使用 ADP 的用户至少设置一种备选恢复方式，并鼓励用户列出多个恢复联系人。用户还应将至少一份“恢复密钥”的打印副本存放在防灾安全的地方，例如银行保管箱。

经过一些测试后，我们建议您在选择同时获取恢复密钥之前至少设置一个恢复联系人。正如在整个过程中发生的那样，Apple 会反复警告您保持恢复联系信息最新且不要丢失恢复密钥的重要性。

在设置恢复密钥时，系统会向您显示生成的密钥，并提供打印出来的选项，然后系统会要求您通过粘贴或输入来验证密钥。一旦恢复密钥方法处于活动状态，您可以返回并根据需要添加其他恢复联系人。

根据 ADP 恢复您的 Apple ID

在 ADP 设置并激活后，您的设备应继续像往常一样工作，用户在其受信任的设备上使用密码（iPhone、iPad）或密码（Mac）登录。定期地，或者在登录App Store进行购买时——即使该项目是免费的——你将需要像过去一样确认你的 Apple ID 密码，这一切都应该按预期进行。

但是，如果您反复输错或忘记您的 Apple ID 密码，救援操作将与那些没有打开 ADP 的人有很大不同，如上所述。Apple 尚未详细说明完整的 ADP 恢复程序，但它与 iCloud 数据恢复服务使用的程序类似。

如果您的 Apple ID 密码解锁失败且帐户被锁定，恢复网页将首先询问您是否要通过输入之前创建的恢复密钥来恢复您的帐户。这就是 Apple 鼓励用户打印并安全存储恢复密钥的原因。

如果您选择这条路线，请务必非常小心地输入 28 位密钥。目前还不知道您将尝试多少次才能成功输入密钥，但次数不会很多——可能只有一次尝试。

如果此方法失败，将提供您之前存储的任何恢复联系人供您选择。先前指定的人将收到来自 Apple 的短信或电子邮件，其中包含他们必须在短时间内向您报告的验证码。

然后你将输入中继验证码，然后你将被带到通常的 Apple ID 密码重置页面，你将在其中创建并确认一个新的、强大的 Apple ID 密码。与往常一样，您的所有其他设备都需要使用新密码再次登录 Apple ID。

完成后，存储在 iCloud 上的 E2EE 信息将再次可以像以前一样从您的设备按需访问和解密。请记住定期重新访问和更新您的恢复联系人信息，以确保 Apple 可以在需要时联系到他们。