Initialement, cette couche de sécurité était restreinte à la plateforme commerciale d'iTunes afin de protéger les achats (jeux, applications, films, livres, musique...). Après les révélations de plusieurs vulnérabilités affectant les comptes iCloud, Apple avait étendu le mécanisme à ses applications Web hébergées sur icloud.com (mail, calendrier, contacts...).
Pour parfaire le mécanisme, le mois suivant, Apple proposait de générer un mot de passe d'application. Ce dernier est utilisé pour les logiciels ne prenant pas en charge l'authentification par deux facteurs. Ainsi, l'internaute peut générer un mot de passe à usage unique, par exemple pour configurer son adresse email de type @icloud.com ou @mac.com sur un client mail tel que Thunderbird.
Cette fois, la couche de sécurité a été appliquée sur iMessage et FaceTime sur iOS et OS X. Si cette option est activée, l'utilisateur devra non seulement saisir le mot de passe de son compte Apple, mais également un code de sécurité supplémentaire.
Sur son site de support, Apple explique :
Lorsque vous configurez la vérification en deux étapes, vous enregistrez un ou plusieurs appareils de confiance. Un appareil de confiance est un appareil que vous contrôlez et sur lequel il est possible de réceptionner des codes de vérification à 4 chiffres, via la fonctionnalité Localiser mon iPhone ou via SMS. Vous devez indiquer au moins un numéro de téléphone vous permettant de recevoir des SMS.
L'activation de cette mesure de sécurité générera en plus une clé de secours de 14 caractères. Celle-ci est à conserver en lieu sûr et permettra d'accéder à nouveau à votre compte si vous oubliez votre mot de passe ou si n'avez plus accès à vos appareils de confiance.
