Om sikkerheten til passnøkler

Passnøkler er en erstatning for passord. De er raskere å logge på med, enklere å bruke og mye sikrere.

Passnøkler er en passorderstatning som er utviklet for å gi nettsteder og apper en passordløs påloggingsopplevelse som er både mer praktisk og sikrere. Passnøkler er en standardbasert teknologi som, i motsetning til passord, er motstandsdyktig mot phishing, alltid sterk og utformet slik at ingen hemmeligheter deles. De forenkler kontoregistrering for apper og nettsteder, er enkle å bruke og fungerer på alle Apple-enhetene dine, samt på enheter fra andre enn Apple som er fysisk nære.

Legitimasjonssikkerhet

Passnøkler er bygget på WebAuthentication-standarden (også kalt «WebAuthn»), som bruker offentlig nøkkelkryptering. Under kontoregistrering opprettes et unikt kryptografisk nøkkelpar av operativsystemet, og dette kan knyttes til en konto for appen eller nettstedet. Disse unike og sikre nøklene genereres av enheten for hver konto.

Den ene nøkkelen er offentlig og lagres på serveren. Den offentlige nøkkelen er ikke en hemmelighet. Den andre nøkkelen er privat, og kreves for å faktisk logge på. Serveren får aldri vite hva den private nøkkelen er. På Apple-enheter der Touch ID eller Face ID er tilgjengelig, kan de brukes til å autorisere bruk av passnøkkelen, som deretter autentiserer brukeren til appen eller nettstedet. Ingen delt hemmelighet overføres, og serveren trenger ikke å beskytte den offentlige nøkkelen. Dette betyr at passnøkler leverer en veldig sterk og brukervennlig legitimasjon som er godt beskyttet mot phishing. Og plattformleverandører i FIDO-alliansen har jobbet sammen for å sikre at implementeringer av passnøkler er kompatible på tvers av plattformer og kan fungere på så mange enheter som mulig.

Synkroniseringssikkerhet

Passnøkler er designet for å være praktiske og tilgjengelige fra alle enhetene som brukes jevnlig. Passnøklene synkroniseres på tvers av brukernes enheter med iCloud-nøkkelring.

iCloud-nøkkelring har gjennomgående kryptering med sterke kryptografiske nøkler som ikke er kjent for Apple og hyppighetsbegrensninger som forhindrer brute-force-angrep selv fra en privilegert posisjon i nettskyen. I tillegg kan nøklene gjenopprettes selv om brukeren mister alle enhetene sine.

Apple utviklet iCloud-nøkkelring og nøkkelringgjenoppretting for å påse at brukernes passnøkler og passord fortsatt er beskyttet under følgende forhold:

  • En brukers Apple-ID-konto som er brukt med iCloud, blir kompromittert

  • iCloud er kompromittert av et eksternt angrep eller en ansatt

  • En tredjepart får tilgang til brukerkontoer

Beskyttelse ved tilgang til Apple-ID-kontoer

For å beskytte mot uautorisert tilgang er tofaktorautentisering påkrevd for alle Apple-ID-er som bruker iCloud-nøkkelring. Hvis en bruker prøver å registrere en ny passnøkkel og ikke har konfigurert tofaktorautentisering, blir vedkommende automatisk bedt om å konfigurere tofaktorautentisering.

Ved første pålogging på en ny enhet må to opplysninger oppgis – Apple-ID-passordet og en sekssifret bekreftelseskode som vises på brukerens godkjente enheter eller sendes til et godkjent telefonnummer.

Finn ut mer om tofaktorautentisering

Beskyttelse ved tilgang til iCloud-nøkkelring

Et ekstra beskyttelseslag er på plass for å beskytte mot at uønskede enheter får tilgang til brukerens iCloud-nøkkelring. Når en bruker aktiverer iCloud-nøkkelring for første gang, etablerer enheten en tillitskrets og oppretter en synkroniseringsidentitet for seg selv som består av et unikt nøkkelpar lagret i enhetens nøkkelring.

Når brukeren logger på iCloud på nye enheter, legges enhetene til i synkroniseringskretsen i iCloud-nøkkelring på en av to måter:

  • Ved å kobles sammen med og sponses av en eksisterende iCloud nøkkelring-enhet, eller

  • ved å bruke gjenoppretting av iCloud-nøkkelring.

Gjenopprettingssikkerhet

Passnøkkelsynkronisering er hendig og sørger for redundans i tilfelle en enkelt enhet går tapt. Det er imidlertid også viktig at passnøkler kan gjenopprettes selv hvis brukeren mister alle enhetene sine. Passnøkler kan gjenopprettes via iCloud-nøkkelringdeponering, som også er beskyttet mot brute-force-angrep, selv fra Apple.

iCloud-nøkkelring deponerer brukerens nøkkelringdata hos Apple uten å la Apple lese passordene og andre data. Brukerens nøkkelring krypteres med et sterkt passord, og deponeringstjenesten leverer en kopi av nøkkelringen bare når et strengt sett med betingelser er oppfylt.

For å gjenopprette en nøkkelring må brukeren autentisere seg med iCloud-kontoen sin og passordet sitt, samt svare på en SMS sendt til telefonnummeret som er registrert for kontoen. Når de har autentisert og svart, må brukeren skrive inn koden for enheten. På iOS, iPadOS og macOS er det tillatt med 10 forsøk på autentisering. Etter flere mislykkede forsøk låses posten. Brukeren må deretter ringe til Apple-kundestøtte for å få flere forsøk. Etter det tiende mislykkede forsøket blir deponeringsposten slettet.

Eventuelt kan brukeren sette opp en kontakt for kontogjenoppretting for å sikre at de alltid får tilgang til kontoen, selv om de glemmer Apple-ID-passordet eller enhetskoden.

Finn ut hvordan du setter opp en kontakt for kontogjenoppretting

Finn ut mer

Finn ut mer om sikkerhet for Apple-ID og iCloud-nøkkelring i veiledningen for plattformsikkerhet

Publiseringsdato: