Відомості про безпеку ключів допуску

Ключі допуску — це заміна паролів. Вони забезпечують швидший вхід до системи, а також простіші у використанні та набагато безпечніші.

Ключі допуску служать заміною паролів та забезпечують веб-сайтам і програмам зручніший та безпечніший вхід без пароля. Ключ допуску є стандартною технологією, яка, на відміну від пароля, стійка до фішингу, завжди надійна і розроблена таким чином, щоб були відсутні спільні секретні ключі. Ключі спрощують реєстрацію облікових записів для програм і веб-сайтів, прості у використанні та працюють на всіх ваших пристроях Apple і навіть на пристроях сторонніх виробників (не Apple), які перебувають поруч.

Захист облікових даних

Ключі допуску створено за стандартом веб-автентифікації WebAuthentication (або «WebAuthn»), який використовує криптографічний захист із відкритим ключем. Під час реєстрації облікового запису операційна система створює унікальну пару криптографічних ключів, яку потрібно пов’язати з обліковим записом програми або веб-сайту. Ці ключі надійні й унікальні та створюються пристроєм для кожного облікового запису.

Один із цих ключів є відкритим і зберігається на сервері. Цей відкритий ключ не є секретним. Інший ключ є приватним і потрібен для здійснення фактичного входу. Сервер ніколи не дізнається, що являє собою приватний ключ. На пристроях Apple із Touch ID або Face ID ці технології можна використовувати для авторизації використання ключа допуску, який надалі виконує автентифікацію користувача в програмі або на веб-сайті. Жоден спільний секретний ключ не передається, і серверу не потрібно захищати відкритий ключ. Це робить ключі допуску надійними та простими у використанні обліковими даними, які мають високу стійкість до фішингу. Постачальники платформ спільно працювали в рамках альянсу швидкої онлайн-ідентифікації (FIDO Alliance) та переконалися, що реалізації ключів допуску підтримують кросплатформність та можуть працювати на якомога більшій кількості пристроїв.

Безпека синхронізації

Ключі допуску розроблені так, щоб бути зручними та доступними з усіх пристроїв, які регулярно використовуються. Ключі допуску синхронізуються на пристроях користувача за допомогою служби «В’язка iCloud».

В’язка iCloud шифрується наскрізним кодом за допомогою стійких криптографічних ключів, не відомих Apple, і обмежена швидкість яких допомагає запобігти грубим атакам навіть із привілейованого положення у хмарному сервері. Ці ключі можна відновити, навіть якщо користувач втрачає всі свої пристрої.

Компанія Apple розробила службу «В’язка iCloud» для відновлення в’язки, щоб ключі та паролі користувача були захищені навіть за таких умов:

  • Зламано використовуваний в iCloud обліковий запис Apple користувача

  • iCloud зламано через зовнішню атаку або співробітника

  • Доступ до облікових записів користувача отримала третя сторона

Захист від доступу до облікового запису Apple

Для захисту від несанкціонованого доступу будь-який обліковий запис Apple, який використовує службу «В’язка iCloud», вимагає двофакторної автентифікації. Якщо користувач намагається зареєструвати новий пароль і не налаштував двофакторну автентифікацію, йому буде запропоновано налаштувати її.

Щоб увійти в обліковий запис уперше на будь-якому новому пристрої, потрібно ввести два параметра — пароль облікового запису Apple і шестизначний код підтвердження, який відображається на довірених пристроях користувача або надсилається на довірений номер телефону.

Докладніше про двофакторну автентифікацію

Захист від доступу до служби «В’язка iCloud»

Існує додатковий рівень захисту пристрою від несанкціонованого доступу до користувацької служби «В’язка iCloud». Коли користувач вперше вмикає службу «В’язка iCloud», пристрій встановлює довірче коло та створює ідентифікатор для синхронізації, що складається з унікальної пари ключів, які зберігаються у в’язці ключів пристрою.

Під час входу нових пристроїв у iCloud вони приєднуються до кола синхронізації в’язки iCloud одним із двох способів:

  • шляхом створення пари та за підтримки наявного пристрою з в’язкою iCloud; 

  • за допомогою відновлення в’язки iCloud.

Безпека відновлення

Синхронізація ключа допуску забезпечує зручність і резервування у разі втрати одного пристрою. Однак також важливо, щоб ключі допуску можна було відновити навіть у разі втрати всіх пов’язаних пристроїв. Ключі допуску можна відновити через депонування в’язки iCloud

Служба «В’язка iCloud» здійснює депонування даних в’язки ключів користувача в Apple, не дозволяючи Apple зчитувати паролі та інші дані, що містяться в депозитарії. В’язка ключів користувача шифрується за допомогою надійного коду допуску, а служба депонування надає копію в’язки ключів лише за умови дотримання суворого набору умов.

Щоб відновити в’язку ключів, користувач має пройти автентифікацію за допомогою свого облікового запису iCloud та пароля і відповісти на SMS, надіслане на зареєстрований номер телефону. Після автентифікації та відповіді користувач має ввести код допуску до свого пристрою. iOS, iPadOS і macOS дозволяють виконати лише 10 спроб автентифікації. Після кількох невдалих спроб запис блокується і користувач має зателефонувати до служби підтримки Apple, щоб отримати додаткові спроби. Після десятої невдалої спроби запис даного депозитарію знищується.

За бажанням користувач може створити контакт для відновлення облікового запису, щоб забезпечити постійний доступ до нього, навіть якщо користувач забув свій пароль облікового запису Apple або код допуску до пристрою.

Докладніше про те, як створити контакт для відновлення облікового запису

Додаткова інформація

Дізнайтеся більше про безпеку облікового запису Apple і безпеку служби «В’язка iCloud» у посібнику із безпеки платформи

Дата опублікування: