Безопасность ключей доступа
Ключи входа являются заменой паролей. Они обеспечивают более быстрый вход в систему, проще в использовании и гораздо надежнее.
Ключи доступа являются заменой паролей и предназначены для беспарольного входа на веб-сайты и в приложения. Это более удобный и безопасный способ входа. Ключи доступа — это стандартная технология, которая, в отличие от паролей, устойчива к фишингу, надежна и не предполагает использование общих ключей. Они упрощают процедуру регистрации учетных записей для приложений и веб-сайтов, просты в использовании и работают на всех устройствах Apple, принадлежащих пользователю, и даже на устройствах сторонних производителей, находящихся поблизости.
Безопасность учетных данных
Ключи доступа построены на стандарте WebAuthentication (или WebAuthn), который основан на использовании шифрования с открытым ключом. В ходе регистрации учетной записи операционная система создает уникальную пару криптографических ключей, связанных с учетной записью для приложения или веб-сайта. Для каждой учетной записи эти уникальные ключи в безопасном режиме генерирует само устройство.
Один из этих ключей является открытым и хранится на сервере. Этот открытый ключ не относится к секретным сведениям. Другой ключ является закрытым, и именно он необходим для входа в систему. Серверу закрытый ключ неизвестен. На устройствах Apple с функцией Touch ID или Face ID эта функция может использоваться для авторизации использования ключа доступа, который затем выполняет аутентификацию пользователя в приложении или на веб-сайте. Совместно используемые секретные данные не передаются, а открытый ключ серверу защищать не нужно. Поэтому ключи доступа считаются устойчивыми к фишингу, а также весьма надежными и простыми в использовании учетными данными. Благодаря совместной работе поставщиков платформенных решений и FIDO Alliance были обеспечены кроссплатформенная совместимость ключей доступа и максимально широкий диапазон устройств, на которых они могут работать.
Безопасная синхронизация
Ключи доступа были разработаны для удобства применения и доступности на всех устройствах, используемых регулярно. Синхронизация ключей доступа между устройствами пользователя осуществляется посредством службы «Связка ключей iCloud».
Связка ключей iCloud полностью зашифрована с помощью надежных криптографических ключей, которые неизвестны Apple, а скорость передачи данных для нее ограничена, что позволяет предотвратить атаки методом «грубой силы» даже с привилегированной позиции в облачном сервере. Кроме того, эти ключи могут быть восстановлены даже в случае утери пользователем всех своих устройств.
Компания Apple разработала технологию «Связка ключей iCloud» и функцию восстановления связки ключей так, чтобы обеспечить защиту ключей и паролей пользователя в следующих ситуациях:
Аккаунт Apple пользователя, применяемый в iCloud, скомпрометирован
Служба iCloud скомпрометирована посредством атаки извне или действий сотрудника
Третья сторона получила доступ к учетным записям пользователя
Защита доступа к Аккаунту Apple
В целях защиты от несанкционированного доступа любой Аккаунт Apple, в котором используется Связка ключей iCloud, требует двухфакторной аутентификации. Если пользователь пытается зарегистрировать новый ключ доступа, а двухфакторная аутентификация у него не настроена, ему автоматически будет предложено настроить ее.
Для первого входа в систему на любом новом устройстве требуются две вещи: пароль Аккаунта Apple и шестизначный код проверки, который отображается на доверенных устройствах пользователя или отправляется на доверенный номер телефона.
Узнайте больше о двухфакторной аутентификации
Защита доступа к Связке ключей iCloud
Существует еще один уровень защиты от вредоносных устройств, получающих доступ к Связке ключей iCloud пользователя. Когда пользователь впервые включает Связку ключей iCloud, устройство устанавливает круг доверия и создает для себя синхронизирующий идентификатор, состоящий из уникальной пары ключей, которая хранится в связке ключей устройства.
Новые устройства при входе в iCloud присоединяются к кругу синхронизации Связки ключей iCloud одним из двух способов:
путем сопряжения с устройством, использующим Связку ключей iCloud, и получения от него поддержки; или
путем восстановления Связки ключей iCloud.
Безопасность при восстановлении
Синхронизация ключей входа обеспечивает удобство и резервируемость в случае утери одного из устройств. Однако не менее важно, чтобы восстановление ключей доступа было возможным даже в случае утери всех связанных устройств. Ключи доступа можно восстановить с помощью технологии безопасного депонирования Связки ключей iCloud, которая также защищена от атак методом «грубой силы», даже если они осуществляются со стороны Apple.
Связка ключей iCloud передает данные связки ключей пользователя в депозитарий Apple, не позволяя Apple считывать пароли и другие содержащиеся в ней данные. Связка ключей пользователя шифруется с использованием надежного пароля, а служба депонирования предоставляет копию связки ключей только при соблюдении строгого набора условий.
Чтобы восстановить связку ключей, пользователь должен пройти аутентификацию с помощью своей учетной записи iCloud и пароля и ответить на SMS-сообщение, отправленное на его зарегистрированный номер телефона. После запроса об аутентификации и ответа пользователь должен ввести пароль своего устройства. Операционные системы iOS, iPadOS и macOS допускают только 10 попыток аутентификации. После нескольких неудачных попыток запись блокируется, и тогда пользователю необходимо позвонить в службу поддержки Apple, чтобы получить больше попыток. После десятой неудачной попытки запись депонирования уничтожается.
По желанию пользователь может указать поверенного для восстановления Аккаунта Apple, чтобы обеспечить себе доступ, даже если не удастся вспомнить пароль Аккаунта или код-пароль устройства.
Узнайте, как настроить поверенного для восстановления Аккаунта
