การกู้คืนพวงกุญแจ iCloud ที่ปลอดภัย
พวงกุญแจ iCloud จะฝากข้อมูลพวงกุญแจของผู้ใช้ไว้กับ Apple โดยจะไม่อนุญาตให้ Apple อ่านรหัสผ่านและข้อมูลอื่นๆ ที่อยู่ในพวงกุญแจ ถึงแม้ว่าผู้ใช้จะมีอุปกรณ์เพียงแค่เครื่องเดียว การกู้คืนพวงกุญแจก็จะเป็นมาตรการขั้นสุดท้ายในการป้องกันข้อมูลสูญหาย ซึ่งเป็นเรื่องสำคัญอย่างยิ่งเมื่อใช้ Safari สร้างรหัสผ่านแบบสุ่มที่มีความปลอดภัยสูงสำหรับบัญชีบนเว็บ เนื่องจากรหัสผ่านเหล่านั้นจะบันทึกอยู่ในพวงกุญแจเพียงที่เดียวเท่านั้น
หลักสำคัญของการกู้คืนพวงกุญแจคือการตรวจสอบสิทธิ์ครั้งที่สองและบริการรับฝากที่ปลอดภัย ซึ่งสร้างขึ้นโดย Apple เพื่อรองรับคุณสมบัตินี้โดยเฉพาะ พวงกุญแจของผู้ใช้จะเข้ารหัสด้วยรหัสที่มีความปลอดภัยสูง และบริการรับฝากจะมอบสำเนาของพวงกุญแจให้เมื่อเกิดเหตุการณ์ที่ตรงตามเงื่อนไขอันเข้มงวดเท่านั้น
การใช้การตรวจสอบสิทธิ์ครั้งที่สอง
การสร้างรหัสที่มีความปลอดภัยสูงมีหลายวิธี:
ถ้าการตรวจสอบสิทธิ์สองปัจจัยเปิดใช้งานอยู่สำหรับบัญชีของผู้ใช้ รหัสอุปกรณ์จะถูกใช้เพื่อกู้คืนพวงกุญแจที่ฝากไว้
ถ้าไม่ได้ตั้งค่าการตรวจสอบสิทธิ์สองปัจจัยไว้ ระบบจะขอให้ผู้ใช้สร้างรหัสความปลอดภัย iCloud โดยมีรหัสหกหลัก นอกจากนี้ ผู้ใช้สามารถกำหนดรหัสของตัวเองให้ยาวขึ้น หรือพวกเขาสามารถให้อุปกรณ์สร้างรหัสลับแบบสุ่มซึ่งพวกเขาสามารถบันทึกและเก็บไว้เองได้โดยไม่ต้องใช้การตรวจสอบสิทธิ์สองปัจจัย
กระบวนการฝากพวงกุญแจ
หลังจากสร้างรหัสแล้ว พวงกุญแจจะถูกฝากไว้กับ Apple อันดับแรก อุปกรณ์ iOS, iPadOS หรือ macOS จะส่งออกสำเนาพวงกุญแจของผู้ใช้หนึ่งชุด จากนั้นจะเข้ารหัสห่อด้วยกุญแจในกระเป๋ากุญแจ (Keybag) แบบไม่สมมาตร และวางไว้ในพื้นที่จัดเก็บข้อมูลค่ากุญแจ iCloud ของผู้ใช้ กระเป๋ากุญแจ (Keybag) จะถูกห่อด้วยรหัสรักษาความปลอดภัย iCloud ของผู้ใช้และด้วยกุญแจสาธารณะของคลัสเตอร์โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่จะจัดเก็บข้อมูลที่ฝากไว้ สิ่งนี้จะกลายเป็นบันทึกการโอน iCloud ของผู้ใช้ สำหรับบัญชีการตรวจสอบสิทธิ์สองปัจจัย พวงกุญแจยังถูกจัดเก็บไว้ใน CloudKit และรวมเข้ากับกุญแจระดับกลางที่สามารถกู้คืนได้ด้วยเนื้อหาของบันทึกการโอน iCloud เท่านั้น จึงให้การป้องกันในระดับเดียวกัน
เนื้อหาของบันทึกการโอนยังอนุญาตให้อุปกรณ์ที่มีการกู้คืนสามารถเข้าร่วมพวงกุญแจ iCloud ได้อีกครั้ง ซึ่งเป็นการพิสูจน์กับอุปกรณ์ที่มีอยู่ว่าอุปกรณ์ที่มีการกู้คืนได้ดำเนินการตามขั้นตอนการโอนสำเร็จแล้ว และด้วยเหตุนี้จึงได้รับการยืนยันตัวตนจากเจ้าของบัญชีแล้ว
หมายเหตุ: ถ้าผู้ใช้ตัดสินใจใช้รหัสรักษาความปลอดภัยที่เข้ารหัสแบบสุ่มแทนที่จะกำหนดรหัสของตัวเองหรือใช้ค่าสี่หลัก ข้อมูลที่ฝากไว้ก็ไม่จำเป็นต้องใช้ แต่รหัสรักษาความปลอดภัย iCloud จะถูกใช้เพื่อห่อกุญแจแบบสุ่มโดยตรงแทน
นอกเหนือจากการสร้างโค้ดความปลอดภัยแล้ว ผู้ใช้จะต้องลงทะเบียนเบอร์โทรศัพท์อีกด้วย การทำเช่นนี้จะให้การตรวจสอบสิทธิ์ระดับรองในระหว่างการกู้คืนพวงกุญแจ ผู้ใช้จะได้รับข้อความ SMS ที่ต้องตอบกลับเพื่อดำเนินการกู้คืนต่อไป