A jelkulcsok biztonsági funkcióiról
A jelkulcsok a jelszavak helyébe lépnek. Felgyorsítják a bejelentkezést, egyszerűbben használhatók, és sokkal biztonságosabbak.
A jelkulcsokat a jelszavak kiváltására hozták létre: a megoldás célja, hogy praktikusabb, biztonságosabb, jelszót nem igénylő bejelentkezési módszert kínáljunk a webhelyekhez és az alkalmazásokhoz. A jelkulcsok szabványon alapuló technológiára épülnek, és a jelszavakkal ellentétben ellenállnak az adathalászatnak, mindig erősek, kialakításuk pedig elkerüli a titkos kódok megosztását. A felhasználók így egyszerűbben regisztrálhatnak a különböző alkalmazásokba és webhelyekre, ráadásul a jelkulcsok nemcsak egyszerűen használhatók, hanem az összes Apple-készülékén, sőt még más gyártók közelben lévő eszközein is működnek.
A hitelesítő adatok biztonsága
A jelkulcsok a WebAuthentication (vagy „WebAuthn”) nevű nyílt kulcsú titkosítási szabványra épülnek. Amikor a felhasználó regisztrál valahová, az operációs rendszer létrehoz egy egyedi kriptográfiai kulcspárt, amelyet társít az alkalmazásban vagy a webhelyen létrehozott fiókkal. A készülék minden fiókhoz biztonságos, egyedi kulcsokat generál.
Ezek közül az egyik kulcs nyilvános, ezt a szerver tárolja. Ez a nyilvános kulcs nem számít titkos kulcsnak. A másik kulcs privát, és valójában erre van szükség a bejelentkezéshez. A szerver azonban soha nem ismeri meg a titkos kulcsot. A Touch ID-t vagy a Face ID-t támogató Apple-készülékek esetében ezekkel a funkciókkal engedélyezheti a jelkulcs használatát, amely aztán hitelesíti a felhasználót az alkalmazásban vagy a webhelyen. Így nem kell titkos kulcsot továbbítani, a szervernek pedig nem kell a nyilvános kulcs védelmével foglalkoznia. A jelkulcsok ezért rendkívül erős, mégis könnyen használható hitelesítő adatokként funkcionálnak, amelyek kiválóan ellenállnak az adathalászatnak. A platformfejlesztők összefogtak, és a FIDO Alliance keretében együtt dolgoznak rajta, hogy a jelkulcsok különböző platformokon való implementációi kompatibilisek legyenek egymással, és minél több eszközön működjenek.
A szinkronizálás biztonsága
A jelkulcsokat úgy alkottuk meg, hogy minden rendszeresen használt készülékről praktikusan használhatóak és könnyen elérhetőek legyenek. A jelkulcsokat az iCloud-kulcskarika segítségével szinkronizáljuk a felhasználók készülékei között.
Az iCloud-kulcskarikát az Apple által sem ismert, erős kriptográfiai kulcsokkal végpontok közötti titkosítással védjük, és ezeket a kulcsokat tovább korlátozzuk – így még a felhőbeli háttérrendszerből, emelt jogosultsági szintű pozícióból sem lehetséges találgatásos jelszófeltöréses támadást indítani ellenük. A kulcskarika akkor is helyreállítható, ha a felhasználó az összes készülékét elveszíti.
Az Apple úgy alakította ki az iCloud-kulcskarikát és a kulcskarika-helyreállítási funkciókat, hogy a felhasználói jelszavai és jelkulcsai még a következő esetekben is biztonságban legyenek:
Feltörik a felhasználó által az iCloudhoz használt Apple ID-fiókot
Egy külső támadó vagy egy alkalmazott feltöri az iCloudot
Egy harmadik fél hozzáfér a felhasználói fiókokhoz
Az Apple ID-fiókhoz való hozzáférés védelme
A jogosulatlan hozzáférés elleni védelem érdekében az iCloud-kulcskarikát használó Apple ID azonosítókhoz minden esetben be kell kapcsolni a kétlépéses hitelesítést. Ha a felhasználó új jelkulcsot szeretne regisztrálni, de nincs nála beállítva a kétlépéses hitelesítés, a rendszer automatikusan felszólítja, hogy aktiválja a kétlépéses hitelesítést.
Az új készülékre való első bejelentkezéshez két információra van szükség: az Apple ID azonosító jelszavára és egy hat számjegyű ellenőrző kódra, amelyet a felhasználó megbízható készülékein jelenítünk meg, vagy elküldünk egy megbízható telefonszámra.
Tudjon meg többet a kétlépéses hitelesítésről!
Az iCloud-kulcskarikához való hozzáférés védelme
Annak érdekében, hogy a feltört készülékek ne tudjanak hozzáférni a felhasználó iCloud-kulcskarikájához, egy további védelmi réteget is bevezettünk. Amikor a felhasználó első alkalommal engedélyezi az iCloud-kulcskarikát, a készülék létrehoz egy megbízhatósági kört, valamint egy szinkronizálási identitást, amely a készülék kulcskarikáján tárolt egyedi kulcspárból áll.
Az iCloudba bejelentkező új készülékek kétféle módon csatlakozhatnak az iCloud-kulcskarika szinkronizálási köréhez:
Ha párosítva vannak egy meglévő készülékkel, amely már az iCloud-kulcskarikát használja, és ez a készülék megbízhatónak ítéli őket; és
Az iCloud-kulcskarika helyreállítási funkciójával.
A helyreállítás biztonsága
A jelkulcsok szinkronizálása praktikus megoldást és redundanciát biztosít arra az esetre, ha elveszítené az egyik készülékét. Fontosnak tartottuk azonban, hogy a jelkulcsokat akkor is helyre lehessen állítani, ha az összes kapcsolódó készülék elveszik. A jelkulcsok helyreállítását az iCloud-kulcskarika letéti tára teszi lehetővé, amely szintén védelmet élvez a találgatásos jelszófeltöréses támadásoktól, még akkor is, ha az Apple-től érkezik a támadó.
Az iCloud-kulcskarika letétbe helyezi a felhasználó kulcskarikájára vonatkozó adatokat az Apple-nél, de úgy, hogy az Apple nem tudja elolvasni a kulcskarikán tárolt jelszavakat és más adatokat. A felhasználó kulcskarikáját erős jelkód védi, és a letéti szolgáltatás csak akkor adja ki a kulcskarika másolatát, ha a kérelmező megfelel a szigorú feltételeknek.
A kulcskarika helyreállításához a felhasználónak hitelesítenie kell magát az iCloud-fiókjával és a jelszavával, és válaszolnia kell a regisztrált telefonszámára küldött SMS-re. A hitelesítést és a választ követően a felhasználónak meg kell adnia a készülék jelkódját. Az iOS, az iPadOS és a macOS mindössze 10 hitelesítési kísérletet tesz lehetővé. Több sikertelen kísérlet esetén a rendszer zárolja a rekordot, és a felhasználónak fel kell hívnia az Apple-támogatást, ha tovább szeretne próbálkozni. A tizedik sikertelen kísérlet után a letéti rekord megsemmisül.
A felhasználó emellett meghatározhat egy fiók-helyreállítási kontaktot, így biztosan visszaszerezheti a hozzáférést a fiókjához, akkor is, ha elfelejti az Apple ID jelszavát vagy a készülék jelkódját.
Ismerje meg, hogyan állíthat be fiók-helyreállítási kontaktot!
