Despre securitatea cheilor de logare
Cheile de logare sunt un înlocuitor pentru parole. Acestea permit o autentificare mai rapidă, sunt mai ușor de utilizat și mult mai sigure.
Cheile de logare sunt un înlocuitor pentru parole și sunt concepute pentru a oferi site-urilor web și aplicațiilor o experiență de autentificare fără parolă, care este în același timp mai convenabilă și mai sigură. Cheile de logare reprezintă o tehnologie standardizată care, spre deosebire de parole, sunt rezistente la phishing, sunt întotdeauna puternice și sunt concepute astfel încât să nu existe secrete partajate. Acestea simplifică înregistrarea contului pentru aplicații și site-uri web, sunt ușor de utilizat și funcționează pe toate dispozitivele Apple și chiar pe dispozitive non-Apple aflate în proximitate fizică.
Securitatea acreditărilor
Cheile de logare se bazează pe standardul WebAuthentication (sau „WebAuthn”), care utilizează criptografia cu cheie publică. În timpul înregistrării contului, sistemul de operare creează o pereche unică de chei criptografice care se asociază cu un cont pentru aplicație sau site web. Aceste chei sunt generate de dispozitiv, în siguranță și în mod unic, pentru fiecare cont.
Una dintre aceste chei este publică și este stocată pe server. Această cheie publică nu reprezintă un secret. Cealaltă cheie este privată și este ceea ce este necesar pentru autentificarea efectivă. Serverul nu află niciodată care este cheia privată. Pe dispozitivele Apple cu Touch ID sau Face ID disponibile, acestea pot fi folosite pentru a autoriza utilizarea cheii de logare, care autentifică apoi utilizatorul în aplicație sau pe site-ul web. Nu este transmis niciun secret partajat, iar serverul nu trebuie să protejeze cheia publică. Astfel, cheile de logare sunt acreditări foarte puternice, ușor de utilizat și foarte rezistente la phishing. Iar furnizorii platformelor au lucrat împreună în cadrul FIDO Alliance pentru a se asigura că implementările cu chei de logare sunt compatibile pe mai multe platforme și pot funcționa pe cât mai multe dispozitive.
Securitatea sincronizării
Cheile de logare au fost concepute să fie convenabile și accesibile de pe toate dispozitivele utilizate în mod regulat. Cheile de logare se sincronizează pe dispozitivele unui utilizator cu ajutorul funcției Portchei iCloud.
Funcția Portchei iCloud este criptată integral cu chei criptografice puternice care nu sunt cunoscute de Apple și utilizează limitarea ratei pentru a preveni atacurile de forță brută chiar și dintr-o poziție privilegiată în cloud backend și pot fi recuperate chiar dacă utilizatorul își pierde toate dispozitivele.
Apple a conceput funcția Portchei iCloud și recuperarea portcheiului în așa fel încât cheile de logare și parolele unui utilizator să fie în continuare protejate în următoarele condiții:
Contul asociat cu ID-ul Apple pe care un utilizator îl folosește cu iCloud este compromis
iCloud este compromis de un atac extern sau de un angajat
Un terț accesează conturi de utilizator
Protecții pentru accesarea contului de ID Apple
Pentru a preveni accesul neautorizat, orice ID Apple care utilizează funcția Portchei iCloud necesită autentificare cu doi factori. Dacă un utilizator încearcă să înregistreze o cheie de logare nouă și nu are configurată autentificarea cu doi factori, i se va solicita în mod automat configurarea autentificării cu doi factori.
Pentru a te autentifica pentru prima dată pe orice dispozitiv nou, sunt necesare două rânduri de informații: parola ID-ului Apple și un cod de verificare format din șase cifre afișat pe dispozitivele de încredere ale utilizatorului sau trimise la un număr de telefon de încredere.
Află mai multe despre autentificarea cu doi factori
Protecții pentru accesarea funcției Portchei iCould
Există un nivel suplimentar de protecție pentru a preveni accesul unui dispozitiv neautorizat la funcția Portchei iCloud a unui utilizator. Atunci când un utilizator activează pentru prima dată funcția Portchei iCloud, dispozitivul stabilește un cerc de încredere și creează o identitate de sincronizare, formată dintr-o pereche unică de chei stocată în portcheiul dispozitivului.
Dispozitivele noi, în timp ce se conectează la iCloud, se alătură cercului de sincronizare al funcției Portchei iCloud în unul dintre următoarele două moduri:
prin asocierea cu un dispozitiv Portchei iCloud existent și fiind sponsorizat de acesta; sau
prin utilizarea funcției de recuperare a Portchei iCloud.
Securitatea recuperării
Sincronizarea cheilor de logare oferă comoditate și redundanță în cazul pierderii unui singur dispozitiv. Cu toate acestea, este important ca recuperarea cheilor de logare să fie posibilă chiar și în cazul în care toate dispozitivele asociate sunt pierdute. Cheile de logare pot fi recuperate prin intermediul plasării în custodie a portcheiului iCloud, ceea ce oferă, de asemenea, protecție împotriva atacurilor de forță brută, chiar și de către Apple.
Portchei iCloud plasează în custodia Apple datele unui utilizator, fără a permite Apple să citească parolele și alte date pe care le conține. Portcheiul utilizatorului este criptat folosind un cod de acces puternic, iar serviciul de plasare în custodie oferă o copie a portcheiului numai dacă este îndeplinită o serie strictă de condiții.
Pentru a recupera un portchei, un utilizator trebuie să se autentifice cu contul și parola iCloud și să răspundă la un SMS trimis la numărul său de telefon înregistrat. După ce se autentifică și răspunde, utilizatorul trebuie să introducă codul de acces al dispozitivului. Dispozitivele iOS, iPadOS și macOS permit doar 10 încercări de autentificare. După mai multe încercări eșuate, înregistrarea este blocată, iar utilizatorul trebuie să apeleze asistența Apple pentru a i se acorda mai multe încercări. După prima încercare eșuată, înregistrarea plasării în custodie este distrusă.
Opțional, un utilizator poate configura o persoană de contact pentru recuperarea contului pentru a se asigura că are întotdeauna acces la contul său, chiar dacă își uită parola ID-ului Apple sau codul de acces al dispozitivului.
Află cum să configurezi o persoană de contact pentru recuperarea contului
