Безопасность ключей входа
Ключи входа являются заменой паролей. Они обеспечивают более быстрый вход в систему, проще в использовании и гораздо надежнее.
Ключи входа являются заменой паролей и предназначены для беспарольного входа на веб-сайты и в приложения. Это более удобный и безопасный способ входа. Ключи входа — это стандартная технология, которая, в отличие от паролей, устойчива к фишингу, надежна и исключает возможность совместного использования секретных данных. Они упрощают процедуру регистрации учетных записей для приложений и веб-сайтов, просты в использовании и работают на всех устройствах Apple, принадлежащих пользователю, и даже на устройствах сторонних производителей, находящихся поблизости.
Безопасность учетных данных
Ключи входа построены на стандарте WebAuthentication (или WebAuthn), который основан на использовании шифрования с открытым ключом. В ходе регистрации учетной записи операционная система создает уникальную пару криптографических ключей, связанных с учетной записью для приложения или веб-сайта. Для каждой учетной записи эти уникальные ключи в безопасном режиме генерирует само устройство.
Один из этих ключей является общедоступным и хранится на сервере. Этот открытый ключ не относится к секретным сведениям. Другой ключ является закрытым, и именно он необходим для входа в систему. Серверу закрытый ключ неизвестен. На устройствах Apple с функцией Touch ID или Face ID эта функция может использоваться для авторизации использования ключа входа, который затем выполняет аутентификацию пользователя в приложении или на веб-сайте. Совместно используемые секретные данные не передаются, а открытый ключ серверу защищать не нужно. Поэтому ключи входа считаются устойчивым к фишингу и весьма надежным и простым в использовании средством защиты учетных данных. В рамках FIDO Alliance работали и производители платформ, которые обеспечили кроссплатформенную совместимость ключей входа и максимально широкий диапазон устройств, на которых они могут работать.
Безопасная синхронизация
Ключи входа были разработаны для удобства применения и доступности на всех устройствах, используемых регулярно. Синхронизация ключей входа между устройствами пользователя осуществляется посредством службы «Связка ключей iCloud».
Связка ключей iCloud полностью зашифрована с помощью надежных криптографических ключей, которые неизвестны Apple, а скорость передачи данных для нее ограничена, что позволяет предотвратить атаки методом грубой силы даже с привилегированной позиции в облачном сервере. Кроме того, эти ключи могут быть восстановлены даже в случае утери пользователем всех своих устройств.
Компания Apple разработала технологию «Связка ключей iCloud» и функцию восстановления связки ключей так, чтобы обеспечить защиту ключей и паролей пользователя в следующих ситуациях:
Учетная запись Apple ID пользователя, применяемая в iCloud, скомпрометирована
Служба iCloud скомпрометирована посредством атаки извне или действий сотрудника
Третья сторона получила доступ к учетным записям пользователя
Защита доступа к учетной записи Apple ID
Для защиты от несанкционированного доступа любой идентификатор Apple ID, использующий функцию «Связка ключей iCloud», требует двухфакторной аутентификации. Если пользователь пытается зарегистрировать новый ключ входа, а двухфакторная аутентификация у него не настроена, ему автоматически будет предложено настроить ее.
Для первого входа в систему на любом новом устройстве необходима информация двух видов: пароль Apple ID и шестизначный код подтверждения, который отображается на доверенных устройствах пользователя или отправляется на доверенный номер телефона.
Узнайте больше о двухфакторной аутентификации
Защита доступа к Связке ключей iCloud
Существует еще один уровень защиты от вредоносных устройств, получающих доступ к Связке ключей iCloud пользователя. Когда пользователь впервые включает Связку ключей iCloud, устройство устанавливает круг доверия и создает для себя синхронизирующий идентификатор, состоящий из уникальной пары ключей, которая хранится в связке ключей устройства.
Новые устройства при входе в iCloud присоединяются к кругу синхронизации Связки ключей iCloud одним из двух способов:
путем сопряжения с устройством, использующим Связку ключей iCloud, и получения от него поддержки; или
путем восстановления Связки ключей iCloud.
Безопасность при восстановлении
Синхронизация ключей входа обеспечивает удобство и резервируемость в случае утери одного из устройств. Однако не менее важно, чтобы восстановление ключей входа было возможным даже в случае утери всех связанных устройств. Ключи входа можно восстановить с помощью технологии Депонирования для Связки ключей iCloud, которая также защищена от атак методом грубой силы, даже если они осуществляются со стороны Apple.
Связка ключей iCloud с помощью Apple депонирует данные связки ключей пользователя, не позволяя Apple считывать пароли и другие содержащиеся в ней данные. Связка ключей пользователя шифруется с использованием надежного пароля, а служба депонирования предоставляет копию связки ключей только при соблюдении строгого набора условий.
Чтобы восстановить связку ключей, пользователь должен пройти аутентификацию с помощью своей учетной записи iCloud и пароля и ответить на SMS-сообщение, отправленное на его зарегистрированный номер телефона. После запроса об аутентификации и ответа пользователь должен ввести пароль своего устройства. Операционные системы iOS, iPadOS и macOS допускают только 10 попыток аутентификации. После нескольких неудачных попыток запись блокируется, и тогда пользователю необходимо позвонить в службу поддержки Apple, чтобы получить больше попыток. После десятой неудачной попытки запись депонирования уничтожается.
По желанию, пользователь может указать контакт для восстановления своей учетной записи, чтобы обеспечить себе доступ к учетной записи, даже если он забыл пароль Apple ID или пароль устройства.
Сведения о настройке контакта для восстановления учетной записи
