O zabezpečení přístupových klíčů
Přístupové klíče jsou náhradou za hesla. Jsou jednodušší na používání, mnohem bezpečnější a přihlašování s nimi je rychlejší.
Přístupové klíče jsou náhradou za hesla a umožňují přihlašování do webů a aplikací bez hesla, což je pohodlnější a bezpečnější. Jedná se o standardní technologii, která je na rozdíl od hesel odolná vůči phishingu. Klíče jsou vždy silné a jsou navrženy tak, aby je nebylo možné sdílet. Zjednodušují registraci účtů pro aplikace a webové stránky, snadno se používají a fungují na všech vašich zařízeních Apple a dokonce i na zařízeních jiných výrobců, která jsou ve fyzické blízkosti.
Zabezpečení přihlášení
Přístupové klíče využívají standard WebAuthentication („WebAuthn“), který používá asymetrickou kryptografii. Během registrace účtu vytvoří operační systém jedinečný pár kryptografických klíčů, který se přidruží k účtu pro aplikaci nebo web. Tyto klíče generuje zařízení bezpečně a jsou pro jednotlivé účty jedinečné.
Jeden z těchto klíčů je veřejný a je uložen na serveru. Tento veřejný klíč není tajným kódem. Druhý klíč je soukromý a je potřeba k vlastnímu přihlášení. Server se nikdy nedozví, jaký je soukromý klíč. Na zařízeních Apple s Touch ID nebo Face ID lze tato ID použít k autorizaci použití přístupového klíče, který pak ověří uživatele pro aplikaci nebo web. Není přenášen žádný tajný kód a server nemusí veřejný klíč chránit. Díky tomu jsou přístupové klíče velmi silným a snadnou použitelným způsobem přihlášení, který je vysoce odolný proti phishingu. Dodavatelé platforem společně v rámci aliance FIDO zajistili, že implementace přístupových klíčů jsou kompatibilní napříč platformami a fungují na co největším počtu zařízení.
Zabezpečení synchronizace
Přístupové klíče byly navrženy tak, aby byly pohodlné a dostupné ze všech běžně používaných zařízení. Klíče se synchronizují napříč zařízeními uživatele pomocí Klíčenky na iCloudu.
Klíčenka na iCloudu je chráněna koncovým šifrováním pomocí silných kryptografických klíčů, které Apple nezná, a s omezeným počtem možností přihlášení, aby se zabránilo útokům hrubou silou, a to i z privilegované pozice na cloudovém backendu. Tyto klíče lze obnovit, i když uživatel ztratí všechna svá zařízení.
Společnost Apple navrhla Klíčenku na iCloudu a způsob obnovení klíčenky tak, aby byly přístupové klíče a hesla uživatele stále chráněny i za následujících podmínek:
Účet Apple ID uživatele používaný s iCloudem je ohrožen
iCloud je ohrožen externím útokem nebo zaměstnancem
K uživatelským účtům přistupuje třetí strana
Ochrana při přístupu k účtu Apple ID
Za účelem ochrany před neoprávněným přístupem vyžaduje jakékoli Apple ID používající Klíčenku na iCloudu dvoufaktorové ověření. Pokud se uživatel pokusí zaregistrovat nový přístupový klíč a nemá nastaveno dvoufaktorové ověření, bude automaticky vyzván k jeho nastavení.
Pro prvním přihlášení na novém zařízení jsou vyžadovány dva údaje – heslo Apple ID a šestimístný ověřovací kód, který se zobrazí na důvěryhodných zařízeních uživatele nebo se odešle na důvěryhodné telefonní číslo.
Přečtěte si další informace o dvoufaktorovém ověření
Ochrana při přístupu ke Klíčence na iCloudu
Zavedena je další vrstva ochrany, která brání přístupu ke Klíčence na iCloudu uživatele ze strany neautorizovaných zařízení. Když uživatel poprvé povolí Klíčenku na iCloudu, zařízení vytvoří kruh důvěry a vygeneruje pro sebe synchronizační identitu sestávající z jedinečného páru klíčů uloženého v klíčence zařízení.
Nová zařízení se při přihlašování k iCloudu připojují k synchronizačnímu kruhu Klíčenky na iCloudu jedním ze dvou způsobů:
spárováním se stávajícím zařízením Klíčenky na iCloudu a jeho sponzorováním nebo
pomocí obnovení Klíčenky na iCloudu.
Zabezpečení obnovení
Synchronizace přístupových klíčů zajišťuje pohodlí a redundanci v případě ztráty jednoho zařízení. Je ale také důležité, aby bylo možné přístupové klíče obnovit i v případě ztráty všech přidružených zařízení. Přístupové klíče lze obnovit prostřednictvím úschovy Klíčenky na iCloudu, která je také chráněna před útoky hrubou silou i společností Apple.
Klíčenka na iCloudu uchovává data klíčenky uživatele u společnosti Apple, aniž by společnosti Apple umožňovala číst hesla a další data, která obsahuje. Klíčenka uživatele je zašifrována pomocí silného přístupového kódu a služba úschovy poskytuje kopii klíčenky pouze v případě, že jsou splněny přísné podmínky.
Pokud chce uživatel obnovit klíčenku, musí se ověřit pomocí svého účtu a hesla iCloudu a odpovědět na SMS zaslanou na jeho registrované telefonní číslo. Po ověření a odpovědi musí uživatel zadat přístupový kód zařízení. iOS, iPadOS a macOS umožňují pouze 10 pokusů o ověření. Po několika neúspěšných pokusech je záznam uzamčen a uživatel musí zavolat na podporu Apple, aby získal víc pokusů. Po desátém neúspěšném pokusu je záznam o úschově zničen.
Volitelně si uživatel může nastavit kontakt pro obnovení účtu, a zajistit tak, že ke svému účtu bude mít vždy přístup, i když zapomene heslo Apple ID nebo přístupový kód zařízení.
Přečtěte si, jak nastavit kontakt pro obnovení účtu
