密碼安全性建議

概覽

將相同的密碼用於多個服務可能會導致那些帳號容易受到憑證填充攻擊。如果服務遭入侵且密碼洩漏，攻擊者可能會嘗試對其他服務使用相同的憑證，藉此入侵其他帳號。

• 如果看到同一個密碼用於不同網域中的多個已儲存密碼，則會將密碼標記為重複使用。

• 攻擊者可輕易猜到的密碼會被標記為強度弱。iOS、iPadOS、macOS 和 visionOS 會偵測用來建立好記密碼的常見模式，例如使用字典中可找到的單字、常用替代字元（例如使用「p4ssw0rd」而非「password」）、鍵盤上可找出的模式（例如 QWERTY 鍵盤上的「q12we34r），或是重複序列（例如「123123」）。這些模式通常用於建立滿足服務最低密碼要求的密碼，但是也常被攻擊者用來嘗試以暴力取得密碼。

  由於許多服務指定使用四或六位數的 PIN 碼，系統會以不同的規則評估這些短密碼。PIN 碼若為最常見的 PIN 碼、遞增或遞減數列（例如「1234」或「8765」）或依循重複模式（例如「123123」或「123321」），就會視為強度弱。

• 如果「密碼監視」功能可以證明密碼已存在於資料洩漏中，則會將密碼標記為洩漏。如需更多資訊，請參閱：密碼監視。

強度偏弱、重複使用和洩漏的密碼會在密碼列表（macOS）中指出，或顯示於專用的「安全建議介面」（iOS、iPadOS 和 visionOS）中。如果使用者在 Safari 中使用先前儲存且強度極弱、或已因資料洩漏而遭洩的密碼登入網站，系統會顯示提示，強烈建議其升級為自動使用高強度密碼。

升級 iOS、iPadOS 和 visionOS 中的帳號認證安全性

導入了「帳號認證修改擴充」（位於「認證服務」架構中）的 App 可為採用密碼的帳號提供輕鬆的一鍵式升級，也就是可以切換為使用「使用 Apple 登入」或自動高強度密碼。這個延伸點可用於 iOS、iPadOS 和 visionOS。

如果 App 已導入延伸點並安裝在裝置上，則使用者在「設定」的「iCloud 鑰匙圈」密碼管理程式中檢視與該 App 關聯的憑證「安全建議」時，便會看到擴充升級的選項。當使用者使用有風險的憑證登入到 App 時，也會提供升級。App 能告訴系統在登入後不要提示使用者升級選項。使用新的 AuthenticationServices API，App 也可以呼叫其擴充功能並自行執行升級，理想情況是從 App 中的帳號設定或帳號管理畫面進行。

App 可以選擇支援高強度密碼升級、「使用 Apple 登入」或同時支援這兩者。在高強度密碼升級中，系統將會為使用者產生自動使用高強度密碼。如有需要，App 可在產生新密碼時，提供要遵循的自訂密碼規則。當使用者將帳號從使用密碼切換為使用「使用 Apple 登入」時，系統會向該擴充程序提供新的「使用 Apple 登入」憑證，以將該帳號與其相關聯。使用者的「Apple 帳號」電子郵件不會作為憑證的一部分提供。成功進行「使用 Apple 登入」升級後，系統將從使用者的鑰匙圈中刪除以前使用的密碼憑證（如果已儲存在其中）。

「帳號認證修改擴充」有機會在執行升級之前執行其他使用者認證。對於在密碼管理程式中啟動的升級或登入到 App 後啟動的升級，擴充程序將會為要升級的帳號提供使用者名稱和密碼。若為 App 內升級，則只會提供使用者名稱。如果擴充程序需要進一步的使用者認證，則可在繼續升級之前要求顯示自訂使用者介面。顯示此使用者介面的預期用途是讓使用者輸入第二個認證因子來授權升級。