Om sikkerheten til tilgangsnøkler
Tilgangsnøkler er en erstatning for passord. De er raskere å logge på med, enklere å bruke og mye sikrere.
Tilgangsnøkler er en passorderstatning som er utviklet for å gi nettsteder og apper en passordløs påloggingsopplevelse som er både mer praktisk og sikrere. Tilgangsnøkler er en standardbasert teknologi som, i motsetning til passord, er motstandsdyktig mot phishing, alltid sterk og utformet slik at ingen hemmeligheter deles. De forenkler kontoregistrering for apper og nettsteder, er enkle å bruke og fungerer på alle Apple-enhetene dine, samt på enheter fra andre enn Apple som er fysisk nære.
Legitimasjonssikkerhet
Tilgangsnøkler er bygget på WebAuthentication-standarden (også kalt «WebAuthn»), som bruker offentlig nøkkelkryptering. Under kontoregistrering opprettes et unikt kryptografisk nøkkelpar av operativsystemet, og dette kan knyttes til en konto for appen eller nettstedet. Disse unike og sikre nøklene genereres av enheten for hver konto.
Den ene nøkkelen er offentlig og lagres på serveren. Den offentlige nøkkelen er ikke en hemmelighet. Den andre nøkkelen er privat, og kreves for å faktisk logge på. Serveren får aldri vite hva den private nøkkelen er. På Apple-enheter der Touch ID eller Face ID er tilgjengelig, kan de brukes til å autorisere bruk av tilgangsnøkkelen, som deretter autentiserer brukeren til appen eller nettstedet. Ingen delt hemmelighet overføres, og serveren trenger ikke å beskytte den offentlige nøkkelen. Dette betyr at tilgangsnøkler leverer en veldig sterk og brukervennlig legitimasjon som er godt beskyttet mot phishing. Og plattformleverandører i FIDO-alliansen har jobbet sammen for å sikre at implementeringer av tilgangsnøkler er kompatible på tvers av plattformer og kan fungere på så mange enheter som mulig.
Synkroniseringssikkerhet
Tilgangsnøkler er designet for å være praktiske og tilgjengelige fra alle enhetene som brukes jevnlig. Tilgangsnøklene synkroniseres på tvers av brukernes enheter med iCloud-nøkkelring.
iCloud-nøkkelring har gjennomgående kryptering med sterke kryptografiske nøkler som ikke er kjent for Apple og hyppighetsbegrensninger som forhindrer brute-force-angrep selv fra en privilegert posisjon i nettskyen. I tillegg kan nøklene gjenopprettes selv om brukeren mister alle enhetene sine.
Apple utviklet iCloud-nøkkelring og nøkkelringgjenoppretting for å påse at brukernes tilgangsnøkler og passord fortsatt er beskyttet under følgende forhold:
En brukers Apple-konto som brukes med iCloud, er kompromittert
iCloud er kompromittert av et eksternt angrep eller en ansatt
En tredjepart får tilgang til brukerkontoer
Beskyttelse for tilgang til Apple-kontoer
For å beskytte mot uautorisert tilgang er tofaktorautentisering påkrevd for alle Apple-kontoer som bruker iCloud-nøkkelring. Hvis en bruker prøver å registrere en ny tilgangsnøkkel og ikke har konfigurert tofaktorautentisering, blir vedkommende automatisk bedt om å konfigurere tofaktorautentisering.
Ved første pålogging på en ny enhet må to opplysninger oppgis – Apple-kontopassordet og en sekssifret bekreftelseskode som vises på brukerens godkjente enheter eller sendes til et godkjent telefonnummer.
Finn ut mer om tofaktorautentisering
Beskyttelse ved tilgang til iCloud-nøkkelring
Et ekstra beskyttelseslag er på plass for å beskytte mot at uønskede enheter får tilgang til brukerens iCloud-nøkkelring. Når en bruker aktiverer iCloud-nøkkelring for første gang, etablerer enheten en tillitskrets og oppretter en synkroniseringsidentitet for seg selv som består av et unikt nøkkelpar lagret i enhetens nøkkelring.
Når brukeren logger på iCloud på nye enheter, legges enhetene til i synkroniseringskretsen i iCloud-nøkkelring på en av to måter:
Ved å kobles sammen med og sponses av en eksisterende iCloud nøkkelring-enhet, eller
ved å bruke gjenoppretting av iCloud-nøkkelring.
Gjenopprettingssikkerhet
Tilgangsnøkkelsynkronisering er hendig og sørger for redundans i tilfelle en enkelt enhet går tapt. Det er imidlertid også viktig at tilgangsnøkler kan gjenopprettes selv hvis brukeren mister alle enhetene sine. Tilgangsnøkler kan gjenopprettes via deponering for iCloud-nøkkelring, som også er beskyttet mot brute-force-angrep, selv fra Apple.
iCloud-nøkkelring deponerer brukerens nøkkelringdata hos Apple uten å la Apple lese passordene og andre data. Brukerens nøkkelring krypteres med et sterkt passord, og deponeringstjenesten leverer en kopi av nøkkelringen bare når et strengt sett med betingelser er oppfylt.
For å gjenopprette en nøkkelring må brukeren autentisere seg med iCloud-kontoen sin og passordet sitt, samt svare på en SMS sendt til telefonnummeret som er registrert for kontoen. Når de har autentisert og svart, må brukeren skrive inn koden for enheten. På iOS, iPadOS og macOS er det tillatt med 10 forsøk på autentisering. Etter flere mislykkede forsøk låses posten. Brukeren må deretter ringe til Apple-kundestøtte for å få flere forsøk. Etter det tiende mislykkede forsøket blir deponeringsposten slettet.
Eventuelt kan brukere sette opp en kontakt for kontogjenoppretting for å sikre at de alltid kan få tilgang til kontoen, selv om de glemmer Apple-kontopassordet eller enhetskoden.
Finn ut hvordan du setter opp en kontakt for kontogjenoppretting
