Рекомендации по безопасности паролей
В списке паролей автозаполнения в iOS, iPadOS и macOS указывается, какой из сохраненных паролей пользователя неоднократно используется на разных веб-сайтах, а также выделяются пароли, которые считаются ненадежными или которые были скомпрометированы или украдены в результате утечки данных.
Обзор
Использование одного и того же пароля в нескольких службах может сделать эти учетные записи уязвимыми для атаки с использованием украденных учетных данных. Если одна из служб будет взломана, а пароли похищены, злоумышленники смогут использовать те же учетные данные в других службах для взлома дополнительных учетных записей.
Пароль помечается как неоднократно использованный, если один и тот же пароль используется в качестве сохраненного пароля в разных доменах.
Пароли помечаются как ненадежные, если они могут быть легко угаданы злоумышленником. iOS, iPadOS и macOS распознают распространенные шаблоны, используемые для создания легко запоминающихся паролей, например, использование слов из словаря, распространенные подстановки символов (например, использование «p4ssw0rd» вместо «password»), расположенные рядом клавиши (например, «q12we34r» на клавиатуре QWERTY) или повторяющиеся последовательности (например, «123123»). Эти шаблоны часто используются для создания паролей, удовлетворяющих минимальные требования служб, однако они также часто используются злоумышленниками, пытающимися получить пароль методом перебора.
Поскольку многие службы требуют использования именно PIN-кода из четырех или шести цифр, эти короткие код-пароли оцениваются по другим правилам. PIN-коды считаются ненадежными, если они совпадают с часто используемыми PIN-кодами, представляют собой возрастающую или убывающую последовательность, например «1234» или «8765», или следуют повторяющемуся шаблону, например «123123» или «123321».
Пароли помечаются как похищенные, если по сведениям функции мониторинга паролей они были найдены в массивах данных, которые были украдены в результате утечки данных. Подробнее см. в разделе Мониторинг паролей.
Ненадежные, повторно использованные и похищенные пароли либо помечаются соответствующим образом в списке паролей (macOS), либо указываются в соответствующем интерфейсе рекомендаций по безопасности (iOS и iPadOS). Если пользователь выполняет вход на веб-сайте в Safari с использованием ранее сохраненного пароля, который является очень ненадежным или был украден в результате утечки данных, отображается предупреждение, в котором настоятельно рекомендуется автоматически создать новый надежный пароль.
Повышение безопасности для аутентификации учетной записи в iOS и iPadOS
Приложения, которые используют расширение для изменения аутентификации учетной записи (в программной среде служб аутентификации), могут быстро повышать уровень защиты учетных записей, защищенных паролем, в одно касание кнопки. Например, они могут предлагать использовать функцию «Вход с Apple» или автоматическое создание надежного пароля. Эта точка расширения доступна в iOS и iPadOS.
Если приложение, в котором реализована точка расширения, установлено на устройстве, для пользователей отображаются варианты повышения уровня безопасности (в настройках в менеджере паролей Связки ключей iCloud, раздел рекомендаций по обеспечению безопасности учетных данных для приложения). Повышение уровня безопасности также предлагается во время входа пользователя в приложение с использованием ненадежных учетных данных. Приложения могут передавать системе информацию о том, что не следует предлагать варианты повышения уровня безопасности после входа в систему. С помощью нового API AuthenticationServices приложения также могут самостоятельно вызывать расширения и повышать уровень безопасности, предпочтительно в настройках учетной записи или на экране управления учетной записью в приложении.
Приложения могут поддерживать создание надежных паролей, функцию «Вход с Apple» либо обе эти функции. При использовании функции создания надежных паролей система генерирует для пользователя надежный пароль. При необходимости в приложении могут содержаться настраиваемые правила создания паролей для генерирования новых паролей. Когда пользователь учетной записи переключается с использования пароля на функцию «Вход с Apple», система предоставляет новые учетные данные «Вход с Apple», которые расширение связывает с этой учетной записью. В учетных данных не указывается адрес электронной почты Apple ID пользователя. После успешного перехода на использование функции «Вход с Apple» система удаляет из связки ключей пользователя использовавшийся ранее пароль, если он был там сохранен.
Расширения для изменения аутентификации учетной записи могут выполнить дополнительную аутентификацию пользователя, прежде чем повышать уровень безопасности. В случае повышения уровня безопасности с помощью менеджера паролей или после входа в приложение расширение предоставляет имя пользователя и пароль для учетной записи, уровень безопасности которой следует повысить. При повышении уровня безопасности в приложении предоставляется только имя пользователя. Если расширению требуется дополнительная аутентификация пользователя, перед повышением уровня безопасности оно может запросить отображение настраиваемого интерфейса пользователя. Это необходимо для того, чтобы пользователь применил второй фактор аутентификации и разрешил повышение уровня безопасности.