Salasanojen turvallisuutta koskevat suositukset
Salasanan automaattista täyttöä varten tallennettujen salasanojen luettelo iOS:ssä, iPadOS:ssä ja macOS:ssä näyttää varoituksen, jos käyttäjän salasanaa on käytetty uudelleen muilla verkkosivustoilla, sitä pidetään heikkona tai se on nähty tietovuodossa.
Yleiskatsaus
Saman salasanan käyttäminen useammalle kuin yhdelle palvelulle voi altistaa kyseiset tilit hyökkäyksille, joissa käytetään toisesta järjestelmästä haltuun saatuja käyttäjätunnuksia ja salasanoja (stuffing). Jos johonkin palveluun murtaudutaan ja sen salasanat vuotavat, hyökkääjät voivat kokeilla samoja käyttäjätunnuksia ja salasanoja muissa palveluissa päästäkseen muille tileille.
Salasanat merkitään uudelleenkäytetyiksi, jos samaa salasanaa havaitaan käytettävän tallennettuna salasanana eri domaineille.
Salasanat merkitään heikoiksi, jos hyökkääjä voi helposti arvata ne. iOS, iPadOS ja macOS tunnistavat helposti muistettavien salasanojen luomisessa yleisesti käytettyjä kaavoja, kuten sanakirjasta löytyvien sanojen käyttäminen, tavalliset merkkien korvaukset (esimerkiksi ”s4l4s4n4” sanan ”salasana” sijasta), näppäimistöstä löytyvät kaavat (esimerkiksi ”q12we34r” QWERTY-näppäimistössä) tai toistuvat sarjat (esimerkiksi ”123123”). Näillä kaavoilla muodostetaan usein salasanoja, jotka täyttävät palvelun vähimmäisvaatimukset, mutta niitä käyttävät usein myös hyökkääjät, jotka yrittävät murtaa salasanan väsytyshyökkäysmenetelmällä.
Koska monet palvelut nimenomaan vaativat 4 tai 6 numeroa sisältävää PIN-koodia, nämä lyhyet pääsykoodit arvioidaan eri säännöillä. PIN-koodia pidetään heikkona, jos se on jokin tavallisimmista PIN-koodeista, jos se on nouseva tai laskeva numerosarja kuten ”1234” tai ”8765” tai jos siinä on toistuva kaava kuten ”123123” tai ”123321”.
Salasanat merkitään vuotaneiksi, jos salasanojen valvontaominaisuus voi kertoa niiden olleen mukana tietovuodossa. Jos haluat lisätietoja, katso Salasanojen valvonta.
Heikot, uudelleenkäytetyt tai vuotaneet salasanat joko merkitään salasanaluettelossa (macOS) tai näytetään erityisessä Suojaussuositukset-liitännässä. Jos käyttäjä kirjautuu Safarissa sisään verkkosivustolle käyttäen aikaisemmin tallennettua salasanaa, joka on hyvin heikko tai joka on vaarantunut tietovuodossa, hänelle näytetään varoitus, jossa suositellaan painokkaasti päivittämistä automaattiseen vahvaan salasanaan.
Tilin todennuksen turvallisuuden päivittäminen iOS:ssä ja iPadOS:ssä
Apit, jotka käyttävät tilin todennuksen muokkauksen laajennusta (todentamispalveluiden sovelluskehyksessä), voivat tarjota salasanapohjaisille tileille mahdollisuuden päivittää turvallisuutensa helposti painiketta napauttamalla. Ne voivat siirtyä käyttämään Kirjaudu sisään Applella ‑palvelua tai automaattista vahvaa salasanaa. Tämä laajennuspiste on saatavilla iOS:lle ja iPadOS:lle.
Jos laajennuspiste on otettu käyttöön apissa ja se on asennettu laitteeseen, käyttäjät näkevät laajennuksen päivitysvaihtoehdot katsoessaan suojaussuosituksia kyseiseen appiin liittyville tunnistetiedoille Asetuksissa iCloud-avainnipun salasanojen hallinnassa. Päivityksiä tarjotaan myös, kun käyttäjä kirjautuu appiin riskialttiilla tunnistetiedolla. Apit voivat kieltää järjestelmää tarjoamasta käyttäjille päivitysvaihtoehtoja sisäänkirjautumisen yhteydessä. Uutta AuthenticationServices-API:a käyttäen apit voivat myös käyttää laajennusta ja hoitaa päivitykset itse, mieluiten joko apin tiliasetus- tai tilinhallintanäytöstä.
Apit voivat kehittäjän valinnan mukaan tukea päivitystä vahvoihin salasanoihin, Kirjaudu sisään Applella ‑toimintoon tai molempiin. Vahvaan salasanaan päivitettäessä järjestelmä luo käyttäjälle automaattisen vahvan salasanan. Tarvittaessa appi voi antaa muokatut salasanasäännöt, joita noudatetaan uutta salasanaa luotaessa. Kun käyttäjä vaihtaa tilin salasanaa käyttävästä Kirjaudu sisään Applella ‑toimintoa käyttäväksi, järjestelmä antaa laajennukselle uuden Kirjaudu sisään Applella ‑tunnistetiedon tiliin liitettäväksi. Käyttäjän Apple ID ‑sähköpostiosoitetta ei anneta osana tunnistetietoa. Kun päivittäminen Kirjaudu sisään Applella ‑toimintoon on tehty onnistuneesti, järjestelmä poistaa aikaisemmin käytetyn salasanatunnistetiedon käyttäjän avainnipusta, jos se on tallennettu sinne.
Tilin todennuksen muokkauksen laajennusten on mahdollista suorittaa käyttäjälle lisätodennus ennen päivitystä. Jos päivitys on aloitettu salasanojen hallinnassa tai sen jälkeen, kun appiin on kirjauduttu sisään, laajennus antaa päivitettävän tilin käyttäjätunnuksen ja salasanan. Apissa tehtävissä päivityksissä annetaan vain käyttäjätunnus. Jos laajennus vaatii käyttäjän lisätodennusta, se voi pyytää näyttämään muokatun käyttöliittymänäkymän ennen päivityksen etenemistä. Tämä käyttöliittymänäkymän näyttäminen on suunniteltu käyttötapauksille, joissa käyttäjä valtuuttaa päivityksen kaksiosaisen todennuksen toisella osalla.