Bezpieczeństwo kluczy
Klucze zastępują hasła. Umożliwiają szybsze logowanie, są łatwiejsze w użyciu i znacznie bezpieczniejsze.
Klucze, które zastępują hasła, pozwalają logować się do witryn i aplikacji bez podawania hasła, co jest zarówno wygodniejsze, jak i bezpieczniejsze. Klucze to technologia oparta na standardach, która w przeciwieństwie do haseł jest odporna na phishing. Została zaprojektowana tak, że uniemożliwia udostępnianie prywatnych danych. Klucze upraszczają rejestrację kont w aplikacjach i witrynach internetowych, są łatwe w użyciu i działają na wszystkich urządzeniach Apple, a nawet na znajdujących się w pobliżu urządzeniach innych firm.
Bezpieczne uwierzytelnianie
Klucze są oparte na standardzie WebAuthentication (lub „WebAuthn”), który wykorzystuje kryptografię klucza publicznego. Podczas rejestracji konta system operacyjny tworzy unikalną parę kluczy kryptograficznych do powiązania z kontem w aplikacji lub witrynie. Klucze te są generowane w bezpieczny sposób przez urządzenie i są niepowtarzalne dla każdego konta.
Jeden z tych kluczy jest publiczny i jest przechowywany na serwerze. Klucz publiczny nie jest tajemnicą. Drugi klucz jest prywatny i jest potrzebny, aby się zalogować. Klucz prywatny nigdy nie jest udostępniany serwerowi. Na urządzeniach Apple z Touch ID lub Face ID można użyć tych funkcji do autoryzacji przy wykorzystaniu klucza, który następnie uwierzytelnia użytkownika w aplikacji lub witrynie. Żadne prywatne informacje nie są przesyłane, a serwer nie musi chronić klucza publicznego. Dzięki temu klucze są bardzo mocne, łatwe w użyciu i wysoce odporne na phishing. Dostawcy różnych platform współpracowali ze sobą w ramach stowarzyszenia FIDO Alliance, aby upewnić się, że implementacje klucza będą kompatybilne ze wszystkimi platformami i będą działać na jak największej liczbie urządzeń.
Bezpieczeństwo synchronizacji
Klucze zostały zaprojektowane tak, aby były wygodne i dostępne ze wszystkich regularnie używanych urządzeń. Klucze synchronizują się na urządzeniach użytkownika, używając pęku kluczy iCloud.
Pęk kluczy iCloud jest szyfrowany kompleksowo za pomocą nieudostępnianych Apple mocnych kluczy kryptograficznych z ograniczeniem transferu, aby zapobiec atakom typu Brute Force nawet z uprzywilejowanej pozycji w części back-end chmury. Klucze można odzyskać, nawet jeśli użytkownik straci wszystkie swoje urządzenia.
Firma Apple zaprojektowała pęk kluczy iCloud i odzyskiwanie pęku kluczy tak, aby klucze i hasła użytkownika były nadal chronione w następujących sytuacjach:
Ktoś włamał się na konto Apple ID używane z iCloud.
Doszło do włamania na iCloud w wyniku ataku zewnętrznego lub działań pracownika.
Strona trzecia uzyskała dostęp do kont użytkowników.
Zabezpieczenia dostępu do konta Apple ID
Aby zabezpieczyć konto przed nieautoryzowanym dostępem, każdy identyfikator Apple ID korzystający z pęku kluczy iCloud wymaga uwierzytelniania dwupoziomowego. Jeśli użytkownik spróbuje zarejestrować nowy klucz i nie ma skonfigurowanego uwierzytelniania dwupoziomowego, zostanie automatycznie poproszony o skonfigurowanie uwierzytelniania dwupoziomowego.
Aby zalogować się po raz pierwszy na dowolnym nowym urządzeniu, wymagane są dwie informacje — hasło Apple ID i sześciocyfrowy kod weryfikacyjny, który zostanie wyświetlony na zaufanych urządzeniach użytkownika lub wysyłany na zaufany numer telefonu.
Więcej informacji o uwierzytelnianiu dwupoziomowym
Zabezpieczenia dostępu do pęku kluczy iCloud
Dodatkowa warstwa ochrony ma na celu zabezpieczenie przed uzyskaniem dostępu do pęku kluczy iCloud użytkownika przez nieautoryzowane urządzenie. Gdy użytkownik po raz pierwszy włącza pęk kluczy iCloud, urządzenie tworzy listę zaufanych urządzeń oraz tożsamość na potrzeby synchronizacji składającą się z unikalnej pary kluczy przechowywanej w pęku kluczy urządzenia.
Nowe urządzenia, które logują się do iCloud, dołączają do listy synchronizacji pęku kluczy iCloud na jeden z dwóch sposobów:
przez sparowanie z istniejącym urządzeniem w pęku kluczy iCloud i uzyskanie rekomendacji takiego urządzenia lub
przez odzyskiwanie pęku kluczy iCloud.
Bezpieczeństwo odzyskiwania
Synchronizacja kluczy zapewnia wygodę i nadmiarowość w przypadku utraty jednego z urządzeń. Jednak ważne jest również, aby klucze można było odzyskać nawet w przypadku utraty wszystkich powiązanych urządzeń. Klucze można odzyskać, korzystając z depozyt pęku kluczy iCloud, co zapewnia ochronę również przez atakami typu Brute Force — nawet ze strony Apple.
Pęk kluczy iCloud przechowuje dane pęku kluczy użytkownika urządzeń Apple, nie zezwalając firmie Apple na odczytywanie haseł ani żadnych innych danych. Pęk kluczy użytkownika jest szyfrowany przy użyciu mocnego hasła, a usługa depozytowa udostępnia kopię pęku kluczy tylko wtedy, gdy spełnione są ściśle określone warunki.
Aby odzyskać pęk kluczy, użytkownik musi uwierzytelnić się za pomocą swojego konta i hasła iCloud oraz odpowiedzieć na wiadomość SMS wysłaną na zarejestrowany numer telefonu. Po uwierzytelnieniu i przesłaniu odpowiedzi użytkownik musi wprowadzić swoje hasło do urządzenia. Systemy iOS, iPadOS i macOS umożliwiają tylko 10 prób uwierzytelnienia. Po kilku nieudanych próbach rekord jest blokowany, a użytkownik musi zadzwonić do Wsparcia Apple, aby móc spróbować ponownie. Po dziesiątej nieudanej próbie rekord depozytu zostaje zniszczony.
Opcjonalnie użytkownik może skonfigurować na koncie kontakt odzyskiwania, aby mieć pewność, że zawsze będzie miał dostęp do swojego konta, nawet jeśli zapomni hasła Apple ID lub kodu dostępu do urządzenia.
Więcej informacji o konfigurowaniu kontaktu odzyskiwania
