Безопасное хранение паролей и их синхронизация между устройствами - задача непростая. Около года назад Apple представила миру iCloud Keychain, свое централизованного хранилище паролей в OS X и iOS. Давай попробуем разобраться, где и как хранятся пароли пользователей, какие потенциальные риски это несет и имеет ли Apple техническую возможность получить доступ к расшифрованным данным, хранящимся на ее серверах. Компания утверждает, что такой доступ невозможен, но, чтобы это подтвердить или опровергнуть, необходимо разобраться, как работает iCloud Keychain.
На самом деле iCloud - это не один сервис, это общее маркетинговое название для целого ряда облачных сервисов от Apple. Это и синхронизация настроек, документов и фотографий, и Find My Phone для поиска потерянных или похищенных устройств, и iCloud Backup для резервного копирования в облако, и теперь вот iCloud Keychain для безопасной синхронизации паролей и номеров кредитных карт между устройствами на базе iOS и OS X.
Каждая служба iCloud расположена на собственном домене третьего уровня, таком как pXX-keyvalueservice.icloud.com, где XX - номер группы серверов, отвечающих за обработку запросов текущего пользователя; для различных Apple ID этот номер может быть разным; более новые учетные записи обычно имеют большее значение этого счетчика.
Прежде чем погружаться в анализ iCloud Keychain, обратим внимание на то, каким образом эта служба конфигурируется. При включении iCloud Keychain пользователю предлагается придумать и ввести код безопасности iCloud (iCloud Security Code, далее - iCSC). По умолчанию форма ввода позволяет использовать четырехзначный цифровой код, но, перейдя по ссылке «Дополнительные параметры», все же можно использовать более сложный код или вовсе позволить устройству сгенерировать стойкий случайный код.
Теперь мы знаем, что данные в iCloud Keychain защищены с помощью iCSC. Ну что же, попробуем разобраться, как именно эта защита реализована!
Первым шагом при анализе сетевых сервисов зачастую является получение доступа к сетевому трафику между клиентом и сервером. В случае с iCloud для нас есть две новости: плохая и хорошая. Плохая состоит в том, что весь (ну или по крайней мере подавляющая его часть) трафик защищен TLS/SSL, то есть он зашифрован и обычной пассивной атакой «прочитать» его не удастся. Хорошая же новость заключается в том, что Apple сделала всем желающим поисследовать iCloud подарок и не использует фиксацию сертификата (certificate pinning), что позволяет достаточно просто организовать атаку «человек посередине» (man-in-the-middle) и расшифровывать перехваченный трафик. Для этого достаточно:
Если все сделано правильно, то весь трафик между устройством и iCloud’ом будет как на ладони. И из перехвата этого трафика будет отчетливо видно, что iCloud Keychain построен на базе двух сервисов iCloud: com.apple.Dataclass.KeyValue и com.apple.Dataclass.KeychainSync - и при первоначальном, и при повторном включениях на других устройствах iOS обменивается данными с этими сервисами.
Первый сервис не нов и был в числе первых возможностей iCloud; он широко используется приложениями для синхронизации настроек. Второй же является новым и разработан, очевидно, специально для iCloud Keychain (хотя его функционал теоретически позволяет использовать его и для других целей). Рассмотрим эти сервисы подробнее.
Как было отмечено выше, это один из сервисов, используемых iCloud Keychain. Многие существующие приложения используют его для синхронизации небольших объемов данных (настройки, закладки и тому подобное). Каждая сохраняемая этой службой запись ассоциируется с идентификатором приложения (Bundle ID) и именем хранилища (store). Соответственно, для получения сохраненных данных от сервиса также необходимо предоставить эти идентификаторы. В рамках iCloud Keychain данный сервис используется для синхронизации записей Keychain в зашифрованном виде. Достаточно подробно этот процесс описан в документе iOS Security в разделах Keychain syncing и How keychain syncing works.
Когда пользователь впервые включает iCloud Keychain, устройство создает «круг доверия» (circle of trust) и ключи синхронизации (syncing identity, состоит из открытого и закрытого ключей) для текущего устройства. Открытый ключ этой пары помещается в «круг доверия», и этот «круг» дважды подписывается: сперва закрытым ключом синхронизации устройства, а затем асимметричным ключом (основанным на эллиптической криптографии), полученным из пароля пользователя на iCloud. Также в «круге» сохраняются параметры для вычисления ключа из пароля, такие как соль и количество итераций.
Подписанный «круг» сохраняется в Key/Value-хранилище. Он не может быть прочитан без знания пользовательского пароля iCloud и не может быть изменен без знания закрытого ключа одного из устройств, добавленных в «круг».
Когда пользователь включает iCloud Keychain на другом устройстве, это устройство обращается к Key/Value-хранилищу в iCloud и замечает, что у пользователя уже есть «круг доверия» и что новое устройство в него не входит. Устройство генерирует ключи синхронизации и квитанцию для запроса членства в «круге». Квитанция содержит открытый ключ синхронизации устройства и подписана ключом, полученным из пользовательского пароля iCloud с использованием параметров генерации ключа, полученных из Key/Value-хранилища. Подписанная квитанция затем помещается в Key/Value-хранилище.
Первое устройство видит новую квитанцию и показывает пользователю сообщение о том, что новое устройство запрашивает добавление в «круг доверия». Пользователь вводит пароль iCloud, и подпись квитанции проверяется на корректность. Это доказывает, что пользователь, генерировавший запрос на добавление устройства, ввел верный пароль при создании квитанции.
После того как пользователь подтвердит добавление устройства к «кругу», первое устройство добавляет открытый ключ синхронизации нового устройства в «круг» и вновь дважды подписывает его при помощи своего закрытого ключа синхронизации и при помощи ключа, полученного из пароля iCloud-пользователя. Новый «круг» сохраняется в iCloud, и новое устройство аналогичным образом подписывает его.
Теперь в «круге доверия» два устройства, и каждое из них знает открытые ключи синхронизации других устройств. Они начинают обмениваться записями Keychain через Key/Value-хранилище iCloud. В случае если одна и та же запись присутствует на обоих устройствах, то приоритет будет отдан имеющей более позднее время модификации. Если время модификации записи в iCloud и на устройстве совпадают, то запись не синхронизируется. Каждая синхронизируемая запись зашифровывается специально для целевого устройства; она не может быть расшифрована другими устройствами или Apple. Кроме того, запись не хранится в iCloud постоянно - она перезаписывается новыми синхронизируемыми записями.
Этот процесс повторяется для каждого нового устройства, добавляемого в «круг доверия». Например, если к «кругу» добавляется третье устройство, то запрос подтверждения будет показан на двух других устройствах. Пользователь может подтвердить добавление на любом из них. По мере добавления новых устройств каждое устройство из «круга» синхронизируется с новыми, чтобы убедиться, что набор записей на всех устройствах одинаков.
Необходимо заметить, что синхронизируется не весь Keychain. Некоторые записи привязаны к устройству (например, учетные записи VPN) и не должны покидать устройство. Синхронизируются только записи, имеющие атрибут kSecAttrSynchronizable. Apple установила этот атрибут для пользовательских данных Safari (включая имена пользователей, пароли и номера кредитных карт) и для паролей Wi-Fi.
Кроме того, по умолчанию записи сторонних приложений также не синхронизируются. Для их синхронизации разработчики должны явным образом установить атрибут kSecAttrSynchronizable при добавлении записи в Keychain.
iCloud Keychain оперирует двумя хранилищами:
Первое хранилище предположительно используется для поддержания списка доверенных устройств (устройств в «круге доверия», между которыми разрешена синхронизация паролей), для добавления новых устройств в этот список и для синхронизации записей между устройствами (в соответствии с механизмом, описанным выше).
Второе же хранилище предназначено для резервного копирования и восстановления записей Keychain на новые устройства (например, когда в «круге доверия» нет других устройств) и содержит зашифрованные записи Keychain и сопутствующую информацию.
Таким образом, записи Keychain хранятся в обычном Key/Value-хранилище (com.apple.securebackup.record). Эти записи зашифрованы с помощью набора ключей, хранящегося там же (BackupKeybag). Но этот набор ключей защищен паролем. Откуда берется этот пароль? Что это за служба депонирования паролей Apple? Далее постараемся разобраться.
Это новый сервис, возник он относительно недавно: впервые его поддержка появилась в бета-версиях iOS 7, затем она отсутствовала в iOS 7.0–7.0.2 и была вновь добавлена в iOS 7.0.3, вышедшей одновременно с релизом OS X Mavericks. Это и есть упомянутая выше служба депонирования паролей (адрес службы - pXX-escrowproxy.icloud.com).
Служба предназначена для безопасного хранения пользовательских секретов и позволяет пользователю после успешной аутентификации восстановить эти секреты. Для успешной аутентификации необходимо следующее:
В теории все выглядит хорошо, но, чтобы определить, совпадает ли теория с практикой, нам потребуется провести аудит программы-клиента службы депонирования. В ОС iOS и OS X эта программа носит название com.apple.lakitu . Описание процесса ее реверсинга и аудита выходит за рамки статьи, поэтому сразу переходим к результатам.
Аудит com.apple.lakitu позволяет определить список команд, реализуемых службой депонирования. На соответствующем скриншоте представлены команды и их описание. Особо хотелось бы остановиться на последней команде - с ее помощью возможно изменить номер телефона, ассоциированный с текущей учетной записью. Наличие этой команды делает многофакторную аутентификацию, используемую при восстановлении iCloud Keychain (пароль Apple ID + iCSC + устройство), заметно менее надежной, так как позволяет исключить один из факторов. Интересно и то, что пользовательский интерфейс iOS не позволяет выполнить эту команду - в нем просто нет такой опции (по крайней мере я ее не нашел).
Особенность данной команды, отличающая ее от всех прочих, в том, что она требует аутентификации с паролем Apple ID и не будет работать, если для аутентификации используется токен iCloud (прочие команды работают при аутентификации по токену). Это служит дополнительной защитой данной команды и показывает, что проектировщики системы предприняли шаги для повышения ее безопасности. Тем не менее не до конца ясно, зачем эта команда вообще присутствует в системе.
Для получения депонированных данных выполняется следующий протокол:
Важно отметить, что номер телефона, полученный на шаге 2, используется исключительно для нужд пользовательского интерфейса, то есть чтобы показать пользователю номер, на который будет отправлен код подтверждения, и на шаге 3 клиент не передает серверу номер, на который следует отправлять код подтверждения.
На шаге 4 клиент начинает выполнение протокола SRP-6a. Протокол SRP (Secure Remote Password) - это протокол парольной аутентификации, защищенный от прослушивания и man-in-the-middle атак. Таким образом, например, при использовании этого протокола невозможно перехватить хеш пароля и затем пытаться восстановить его, просто потому, что никакой хеш не передается.
Apple использует наиболее совершенный вариант протокола, SRP-6a. Этот вариант предписывает разрывать соединение при неудачной аутентификации. Кроме того, Apple позволяет лишь десять неудачных попыток аутентификации для данного сервиса, после чего все последующие попытки блокируются.
Подробное описание протокола SRP и его математических основ выходит за рамки статьи, но для полноты изложения ниже представлен частный вариант, используемый службой com.apple.Dataclass.KeychainSync .
В качестве хеш-функции H используется SHA-256 , а в качестве группы (N , g) - 2048-битная группа из RFC 5054 «Using the Secure Remote Password (SRP) Protocol for TLS Authentication». Протокол выполняется следующим образом:
Использование SRP для дополнительной защиты пользовательских данных, на мой взгляд, существенно улучшает безопасность системы от внешних атак хотя бы потому, что позволяет эффективно противостоять попыткам перебора iCSC: за одно подключение к сервису можно попробовать только один пароль. После нескольких неудачных попыток учетная запись (в рамках работы со службой депонирования) переводится в состояние soft lock и временно блокируется, а после десяти неудачных попыток учетная запись блокируется окончательно и дальнейшая работа со службой депонирования возможна только после сброса iCSC для учетной записи.
В то же время использование SRP никак не защищает от внутренних угроз. Депонированный пароль хранится на серверах Apple, соответственно, можно предположить, что Apple может при необходимости получить к нему доступ. В таком случае, если пароль не был защищен (например, зашифрован) до депонирования, это может привести к полной компрометации записей Keychain, сохраненных в iCloud, так как депонированный пароль позволит расшифровать ключи шифрования, а они - записи Keychain (обрати внимание на com.apple.Dataclass.KeyValue).
Однако в документе «iOS Security» Apple утверждает, что для хранения депонированных записей используются специализированные аппаратные модули безопасности (Hardware Security Module, HSM) и что доступ к депонированным данным невозможен.
iCloud предоставляет защищенную инфраструктуру для депонирования Keychain, обеспечивающую восстановление Keychain только авторизованными пользователями и устройствами. Кластеры HSM защищают депонированные записи. Каждый кластер имеет собственный ключ шифрования, использующийся для защиты записей.
Для восстановления Keychain пользователь должен аутентифицироваться, используя имя пользователя и пароль iCloud, и ответить на присланное SMS. Когда это выполнено, пользователь должен ввести код безопасности iCloud (iCSC). Кластер HSM проверяет корректность iCSC, используя протокол SRP; при этом iCSC не передается на серверы Apple. Каждый узел кластера, независимо от других, проверяет, не превысил ли пользователь максимально допустимое количество попыток получения данных. Если на большей части узлов проверка завершается успешно, то кластер расшифровывает депонированную запись и возвращает ее пользователю.
Далее устройство использует iCSC, чтобы расшифровать депонированную запись и получить пароль, использованный для шифрования записей Keychain. При помощи этого пароля Keychain, полученная из Key/Value-хранилища, расшифровывается и восстанавливается на устройство. Допускается лишь десять попыток аутентификации и получения депонированных данных. После нескольких неудачных попыток запись блокируется, и пользователь должен обратиться в службу поддержки для разблокировки. После десятой неудачной попытки кластер HSM уничтожает депонированную запись. Это обеспечивает защиту от брутфорс-атак, направленных на получение записи.
К сожалению, проверить, используются ли HSM на самом деле, не представляется возможным. Если все действительно так и HSM не позволяют прочитать хранящиеся в них данные, то можно утверждать, что данные iCloud Keychain защищены и от внутренних угроз. Но, повторюсь, к сожалению, доказать или опровергнуть использование HSM и невозможность чтения данных из них нельзя.
Остается еще один способ защиты данных от внутренней угрозы - защита депонируемых данных на устройстве перед передачей на серверы Apple. Из описания Apple следует (и реверсинг это подтверждает), что такая защита применяется - депонируемый пароль предварительно зашифровывается при помощи iCSC. Очевидно, что в этом случае уровень безопасности (от внутренней угрозы) напрямую зависит от сложности iCSC и четырехсимвольный iCSC, используемый по умолчанию, не обеспечивает достаточной защиты.
Итак, мы выяснили, как работают отдельные элементы системы, и теперь самое время посмотреть на систему целиком.
На схеме представлена работа iCloud Keychain в части депонирования и восстановления записей Keychain. Система работает следующим образом:
При настройке iCloud Keychain пользователь может применять сложный или случайный iCSC вместо предлагаемого по умолчанию четырехзначного кода. В случае использования сложного кода механизм работы системы депонирования не меняется; отличие лишь в том, что ключ для шифрования случайного пароля будет вычислен не из четырехзначного iCSC, а из более сложного, введенного пользователем.
При случайном коде подсистема депонирования пароля не используется вообще. При этом случайный пароль, сгенерированный системой, и является iCSC, и задача пользователя его запомнить и безопасно хранить. Записи Keychain все так же зашифровываются и сохраняются в Key/Value-хранилище com.apple.sbd3 , но служба com.apple.Dataclass.KeychainSync не используется.
Можно смело утверждать, что с технической точки зрения (то есть social engineering не рассматриваем) и по отношению к внешним угрозам (то есть не Apple) безопасность службы депонирования iCloud Keychain находится на достаточном уровне: благодаря использованию протокола SRP даже при компрометации пароля iCloud злоумышленник не сможет получить доступ к записям Keychain, так как для этого дополнительно необходим код безопасности iCloud, а перебор этого кода существенно затруднен.
В то же время, используя другой механизм iCloud Keychain - синхронизацию паролей, злоумышленник, скомпрометировавший пароль iCloud и имеющий непродолжительный физический доступ к одному из устройств пользователя, может полностью скомпрометировать и iCloud Keychain: для этого достаточно добавить устройство злоумышленника в «круг доверия» устройств пользователя, а для этого достаточно знать пароль iCloud и иметь кратковременный доступ к устройству пользователя, чтобы подтвердить запрос на добавление нового устройства к «кругу».
Если же рассматривать защиту от внутренних угроз (то есть Apple или кто-либо с доступом к серверам Apple), то в этом случае безопасность службы депонирования выглядит не так радужно. Утверждения Apple об использовании HSM и невозможности чтения данных из них не имеют неопровержимых доказательств, а криптографическая защита депонируемых данных завязана на код безопасности iCloud, при настройках по умолчанию является крайне слабой и позволяет любому, кто в состоянии извлечь с серверов (или из HSM) Apple депонированные записи, практически моментально восстановить четырехзначный код безопасности iCloud.
В случае использования сложного алфавитно-цифрового кода эта атака становится сложнее, так как возрастает количество возможных паролей. Если же iCloud Keychain сконфигурирован использовать случайный код, то служба депонирования вообще не привлекается, что фактически делает этот вектор атаки невозможным.
Максимальный уровень безопасности (не считая полного отключения iCloud Keychain, конечно) обеспечивается при использовании случайного кода - и не столько потому, что такой код сложнее подобрать, сколько потому, что при этом не задействована подсистема депонирования паролей, а следовательно, уменьшается и attack surface. Но удобство этого варианта, конечно, оставляет желать лучшего.
Сегодня для входа на многие сайты требуется авторизация, поэтому довольно трудно запомнить разнообразные логины и пароли. С выходом обновления компания Apple предложила использовать для этого облачный сервис iCloud, который может сохранять имена учётных записей, пароли и номера кредитных карт.
Функция iCloud Keychain (Связка ключей) может хранить ваши имена и пароли для веб-сайтов на iPhone, iPod touch, iPad и Mac, защищая их с помощью надёжного 256-разрядного шифрования AES. При этом данные прозрачно синхронизируются между всеми гаджетами, так что необходимости запоминать их теперь нет.
Шаг 1 : По умолчанию функция iCloud Keychain выключена, поэтому перед тем, как настроить синхронизацию паролей, необходимо активировать ее в настройках iOS 7. Зайдите в меню Настройки –> iCloud и пролистайте вниз до раздела Связка ключей.
Шаг 2 : Переведите выключатель «Связка ключей iCloud» в положение Вкл. Ваш iPhone или iPad предложит использовать пароль iOS в качестве кода безопасности. В этом случае вы можете настраивать iCloud Keychain на всех своих устройствах при помощи секретного кода с главного гаджета. Нажмите Использовать пароль или Создать другой код.
Шаг 3 : Введите код безопасности для iCloud.
Шаг 4 : На этом шаге вам нужно зарегистрировать резервный номер телефона. Вы можете использовать свой номер или любой другой, которому доверяете, чтобы получать SMS-сообщения при восстановлении доступа к iCloud Keychain.
Шаг 5 : Укажите пароль вашей учетной записи для завершения настройки iCloud Keychain.
Шаг 6 : Теперь при указании учетной записи на сайтах Safari будет предлагать вам сохранить пароль в памяти iДевайса и в связке ключей iCloud. При этом облачный сервис будет поддерживать актуальность информации на каждом из устройств. В нужный момент пароли будут вводиться автоматически.
Двухфакторная аутентификация - это дополнительный уровень безопасности Apple ID, который гарантирует, что доступ к вашей учетной записи сможете получить только вы, даже если пароль известен кому-либо еще.
При использовании двухфакторной аутентификации доступ к учетной записи возможен только с доверенных устройств iPhone, iPad или Mac. При первом входе на новом устройстве вам потребуется предоставить два вида информации: ваш пароль и шестизначный цифровой проверочный код, который автоматически отображается на доверенных устройствах. После ввода кода новое устройство включается в число доверенных устройств. Например, если у вас есть устройство iPhone, то при первом входе в учетную запись на недавно приобретенном компьютере Mac вам будет предложено ввести пароль и проверочный код, который автоматически отобразится на экране вашего iPhone.
Поскольку для доступа к учетной записи при двухфакторной идентификации недостаточно только знания пароля, безопасность вашего Apple ID и хранимых на серверах Apple данных существенно возрастает.
После выполнения входа код подтверждения больше не будет запрашиваться на этом устройстве, пока не будет полностью выполнен выход, не будут стерты все данные на устройстве или пока не потребуется сменить пароль из соображений безопасности. При выполнении входа через Интернет можно указать, что браузер является доверенным, и в следующий раз при выполнении входа с этого компьютера код подтверждения не будет запрашиваться.
Проверенным устройством может быть iPhone, iPad или iPod touch с ОС iOS 9 или более поздней версии либо компьютер Mac с ОС OS X El Capitan или более поздней версией, в систему которого был выполнен вход с использованием двухфакторной аутентификации. Это устройство, для которого нам известна его принадлежность вам, и которое можно использовать для проверки личности путем отображения кода подтверждения Apple при выполнении входа с другого устройства или браузера.
Проверенный номер телефона - это номер, который можно использовать для получения кодов подтверждения посредством текстовых сообщений или автоматических телефонных звонков. Необходимо подтвердить не менее одного доверенного номера телефона, чтобы иметь доступ к двухфакторной аутентификации.
Также следует рассмотреть вариант подтверждения других доверенных номеров, к которым вы можете получить доступ, например домашний телефон или номер, используемый членом семьи или близким другом. Можно использовать эти номера, если временно отсутствует доступ к собственным устройствам.
Код подтверждения отличается от, вводимого для разблокирования iPhone, iPad и iPod touch.
В настоящее время двухфакторная аутентификация доступна пользователям iCloud, у которых по крайней мере на одном устройстве используется ОС iOS 9 либо OS X El Capitan или более поздней версии. .
Чтобы включить двухфакторную аутентификацию, можно выполнить следующие действия на устройстве iPhone , iPad или iPod touch.
Если на устройстве установлена ОС iOS 10.3 или более поздней версии, выполните следующие действия.
Если на устройстве установлена ОС iOS 10.2 или более ранней версии, выполните следующие действия.
Возможно, потребуется ответить на контрольные вопросы Apple ID.
Укажите номер телефона, на который необходимо получать проверочные коды при входе в систему. Можно выбрать получение кодов в виде текстовых сообщений или автоматических телефонных звонков.
Введите проверочный код, чтобы подтвердить номер телефона и включить двухфакторную аутентификацию.
На компьютере Mac с ОС OS X El Capitan или более поздних версий выполните следующие действия.
Некоторые идентификаторы Apple ID, созданные в ОС iOS 10.3 или macOS 10.12.4 и более поздних версий, защищены двухфакторной аутентификацией по умолчанию. В этом случае двухфакторная аутентификация будет уже включена.
Если вы применяете двухэтапную проверку и хотите повысить уровень безопасности, .
Если для вашей учетной записи нельзя включить двухфакторную аутентификацию, вы все же можете защитить свою информацию.
Двухфакторная аутентификация значительно усиливает защиту Apple ID. После включения этой функции для выполнения входа в учетную запись потребуется пароль и доступ к проверенным устройствам или проверенному номеру телефона. Чтобы обеспечить максимальную защиту своей учетной записи и постоянный доступ, существует несколько простых рекомендаций, которым необходимо следовать:
Можно управлять своими проверенными номерами телефонов, проверенными устройствами и другой информацией об учетной записи на.
Для использования двухфакторной аутентификации потребуется наличие в базе данных хотя бы одного проверенного номера телефона, на который можно получать коды подтверждения. Чтобы обновить проверенные номера телефонов, выполните следующие действия.
Если необходимо добавить номер телефона, щелкните «Добавить проверенный номер телефона» и введите номер телефона. Выберите способ подтверждения номера (текстовым сообщением или автоматическим телефонным звонком) и нажмите «Продолжить». Чтобы удалить проверенный номер телефона, щелкните рядом с номером телефона, который необходимо удалить.
Можно просматривать список проверенных устройств и управлять им в разделе «Устройства» страницы учетной записи Apple ID .
При использовании двухфакторной аутентификации для выполнения входа в учетную запись из сторонних программ и служб, например из программ для работы с электронной почтой, контактами или календарями, которые разработаны не компанией Apple, потребуются. Чтобы создать пароль для программы, выполните следующие действия.
После создания пароля для программы введите или вставьте его в поле ввода пароля в программе обычным способом.
Нужна помощь? Возможно, вы найдете ответы на свои вопросы ниже.
Да. Двухфакторная аутентификация встроена непосредственно в iOS, macOS, tvOS, watchOS и веб-сайты компании Apple. В ней используются другие методы подтверждения проверенных устройств и предоставления кодов подтверждения и оптимизируется работа в целом. Двухфакторная аутентификация обязательна для использования определенных функций, требующих повышенной безопасности.
При выполнении входа, когда под рукой нет доверенного устройства, на котором отображается код подтверждения, код отправляется на проверенный номер телефона посредством текстового сообщения или автоматического телефонного звонка. Щелкните «Код не получен» на экране входа и выберите отправку кода на проверенный номер телефона. Также код можно получить непосредственно на проверенном устройстве в меню «Настройки». .
Если не удается выполнить вход, сброс пароля или получить коды подтверждения, можно. Восстановление учетной записи - это автоматический процесс, который поможет вам как можно быстрее получить доступ к учетной записи и предотвратить возможный доступ других пользователями якобы от вашего имени. Это может занять несколько дней - или больше - в зависимости от того, насколько точную информацию об учетной записи вы можете предоставить для подтверждения своей личности.
Нет. При использовании двухфакторной аутентификации вам не понадобится выбирать контрольные вопросы и запоминать ответы на них. Ваша личность устанавливается исключительно с помощью пароля и проверочных кодов, присылаемых на ваши устройства и доверенные номера телефонов. Когда вы начинаете использовать двухфакторную аутентификацию, мы храним ваши контрольные вопросы в течение двух недель на случай, если вам необходимо будет вернуть старые настройки безопасности для своей учетной записи. После этого вопросы будут удалены.
Служба поддержки Apple может ответить на ваши вопросы о процессе восстановления учетной записи, но не может подтвердить вашу личность или ускорить процесс каким-либо образом.
Для оптимальной работы необходимо, чтобы все устройства, которые используются с идентификатором Apple ID, удовлетворяли этим системными требованиям:
При выполнении входа на новом устройстве вы получаете на других проверенных устройствах уведомление, в котором отображается карта с приблизительным местоположением нового устройства. Это приблизительное местоположение, основанное на IP-адресе используемого в настоящий момент устройства, а не точное местоположение устройства. Показанное местоположение может отражать информацию о сети, к которой вы подключены, а не о физическом местоположении.
Если вы знаете, что являетесь тем самым пользователем, который пытается выполнить вход, но не узнаете показанное местоположение, вы можете нажать «Разрешить» и продолжить регистрацию.
Однако, если вы получите уведомление о том, что ваш идентификатор Apple ID используется для выполнения входа на новом устройстве, а вы не пытались выполнить вход, нажмите «Не разрешать», чтобы заблокировать попытку выполнения входа.
При использовании двухфакторной аутентификации на устройствах под управлением более ранних версий ОС может понадобиться добавить код подтверждения из шести цифр в конце своего пароля при выполнении входа. на проверенном устройстве под управлением ОС iOS 9 или OS X El Capitan или их более поздних версий либо получите его на свой проверенный номер телефона. Затем введите пароль, добавив к нему код подтверждения из шести цифр непосредственно в поле пароля.
Двухфакторную аутентификацию нельзя отключить для некоторых учетных записей, созданных в ОС iOS 10.3 или macOS Sierra 10.12.4 и более поздних версий. Если идентификатор Apple ID создан в более ранних версиях ОС iOS или macOS, двухфакторную аутентификацию отключить можно.
Помните, что после выключения двухфакторной аутентификации ваша учетная запись будет защищена только паролем и секретными вопросами.
Для выключения двухфакторной аутентификации выполните вход на странице своей учетной записи Apple ID и щелкните «Правка» в разделе «Безопасность». Затем щелкните «Выключить двухфакторную аутентификацию». После создания новых секретных вопросов и подтверждения даты рождения двухфакторная аутентификация будет отключена. Если на странице учетной записи Apple ID отсутствует пункт для отключения двухфакторной аутентификации, значит, ее нельзя отключить.
Если кто-то включит двухфакторную аутентификацию для Apple ID без вашего разрешения, ее также можно отключить из сообщения электронной почты с подтверждением регистрации, отправленного на ваш Apple ID или резервный адрес электронной почты. Щелкните «Выключить двухфакторную аутентификацию» в нижней части сообщения электронной почты для восстановления предыдущих настроек безопасности Apple ID и контроля над своей учетной записью. Ссылка является активной в течение двух недель после регистрации.
Дата публикации: 19.09.2017
Apple ID - ключ ко всей экосистеме Apple. И со временем его важность только возрастает. iCloud, iCloud Drive, фотографии, контакты, покупки, iMessage - все это завязано на Apple ID и, в случае проблем с авторизацией, может быть безвозвратно утеряно.
Мало того, ваш iPhone, iPad и Mac тоже сильно зависят от Apple ID и без него превратятся в «кирпичи». Этим часто пользуются мошенники - подбирают пароль, заходят в iCloud, удаленно блокируют все устройства и вымогают за разблокировку деньги.
В этой статье я расскажу, как обезопасить себя от мошенников, ревнивых подружек и любопытных детей, которые могут превратить вашу жизнь в кошмар.
Первое с чего нужно начать - создать сложный пароль к Apple ID. Тут конечно не надо впадать в паранойю. Достаточно сделать что-то бессмысленное для посторонних длинною в 10–12 символов. У нас давно уже есть сенсор отпечатков Touch ID, поэтому часто вводить такой пароль руками не придется.
Чтобы изменить пароль :
Киллерфича, о которой многие даже не слышали. Если вы создавали свой Apple ID давно, то наверняка используйте для второго уровня безопасности «контрольные вопросы» и резервный имейл восстановления. Но этот метод уже устарел и не безопасен. Поэтому новым пользователям Apple сразу предлагает включить двухэтапную аутентификацию.
Такой метод аутентификации, помимо пароля, всегда требует подтверждение личности при помощи доверенного устройства. Просто зная логин и пароль в ваш аккаунт не зайти.
Двухэтапная аутентификация работает для :
Чтобы включить двухэтапную аутентификацию для Apple ID :
Ключ восстановления - сверхважная штука, его надо обязательно куда-то сохранить. Проблема в том, что скопировать этот ключ сочетанием Cmd C нельзя. Поэтому придется записать его руками или сделать скриншот. Многие делают скриншот и он просто теряется. На этом как-то попался и я. Поэтому обязательно сохраните его в 1Password.
ЧИТАЙТЕ ТАКЖЕ :Ключ восстановления важен ещё потому, что злоумышленник может наломать дров не заходя в аккаунт. Если он подберёт пароль, а потом несколько раз от балды введет проверочный код, то аккаунт заблокируют. Снять блокировку можно будет только ключом восстановления.
Недавно я сам на этом попался, когда купил в аэропорту новый iPad Pro и попытался настроить его прямо там. У меня была включена двухэтапная проверка, но из-за плохого интернета коды не доходили. Я пробовал отправлять их несколько раз на iPhone и в виде SMS на номер телефона. Безуспешно. В итоге мой аккаунт заблокировали и предложили разблокировать ключам восстановления. Конечно же, их у меня не оказалось. Так что активация новенького iPad на этом и остановилась. Мне пришлось ждать час, чтобы система дала возможность снова отправить одноразовый пароль. Если бы я потерял свой телефон, то аккаунту пришел бы писец на все время нахождения за границей, пока бы я не восстановил SIM-карту.
Итак, ещё раз. Если двухэтапная проверка включена :
Если вы не знаете свой ключ восстановления - не беда. Его можно изменить в любой момент, но только если есть доступ к Доверенному устройству. Для этого:
Еще раз обращаю внимание, что ключ скопировать нельзя. Сделайте скриншот и сохраните его в менеджер паролей 1Password, либо запишите его в другое надежно место.
Если ваш парк техники Apple не ограничен айфоном, то имеет смысл активировать все устройства для получения одноразовых паролей на вход в Apple ID. В случае проблем, хоть одно из них да окажется рядом. Доверенным устройством может быть любой iPhone или iPad, активированное под вашим Apple ID и с включенной функцией «Поиск iPhone».
После всех этих манипуляций у вас должно получится следующее:
Чтобы иметь доступ к сервисам Apple, каждый пользователь должен зарегистрировать аккаунт, который принято называть Apple ID. Как и любой другой аккаунт, этот также состоит из логина и пароля. Как логин используется электронный адрес , который пользователи "светят" всегда и везде, поэтому его узнать несложно. Учитывая большой набор программ для подборки и взлома пароля, получить доступ к Apple ID сегодня можно. В Apple это понимают, поэтому предлагают пользователям актуальную сегодня защиту - двухэтапную аутентификацию. Правда, для этого нужен специальный код, и многие пользователи банально не знают, куда ввести код проверки Apple ID.
Кстати, Apple предлагает двухэтапную проверку для пользователей iOS 8 (и предыдущих), а для тех, кому повезло больше (для iOS 9 и старше), двухэтапную аутентификацию. Все равно следует знать, куда вводить код проверки Apple ID, ведь оба способы похожи друг на друга.
Это дополнительная защита, благодаря которой никто не получит доступ к Apple ID даже в том случае, если он знает пару логин/пароль. Для доступа все равно понадобится конкретный набор чисел, которого у него не будет.
Если вы не знаете, куда ввести код проверки Apple ID, то смотрите следующую инструкцию.
Теперь всё. Проверка активирована. Теперь при попытке входа в аккаунт Apple ID будет необходим код проверки Apple ID. Куда вводить его, вы теперь знаете. Знает и злоумышленник, но войти в аккаунт он не сможет, т. к. у него просто не будет доверенного смартфона.
Кстати, лучше всего указывать доверенный телефон не свой, а близкого родственника. Если вдруг кто-то украдет ваш айфон, то он легко сможет зайти в Apple ID, ведь проверочный код придется на этот же телефон.
Практических отличий между проверкой и аутентификацией нет. По крайней мере пользователь их не заметит. В обоих случаях нужно знать, куда необходимо вводить код проверки Apple ID. В обоих случаях на телефон приходит СМС с проверочным кодом, после указания которого открывается доступ к аккаунту.
Включается аутентификация в настройках. Там есть пункт меню "Пароль и...". Также аутентификация может быть доступной в настройках iCloud, во вкладке Apple ID - "Пароль и безопасность". Жмем на "Включить". Защита будет включена, но еще не активирована.
Теперь нам нужно настроить аутентификацию. Вводим доверенный номер, дожидаемся кода, подтверждаем смартфон. Теперь защита активирована, далее нужно разобраться, куда ввести код проверки Apple ID. При входе в любой сервис Apple нужно будет указать логин, пароль. А уж затем будет отправлен код в СМС. Его нужно ввести после пары логин/пароль.
Несложно заметить, что практически отличия между двухэтапной проверкой и аутентификацией отсутствуют. В обоих случаях для входа необходим код проверки Apple ID, так в чем же разница?
В Apple утверждают, что двухэтапная аутентификация является более надежной и современной защитой. И хотя пользователь не видит разницы, система аутентификации более эффективно проверяет устройства и рассылает коды подтверждения. В целом оптимизация гораздо лучше.
Теперь вы знаете, куда нужно ввести код проверки Apple ID. Но прежде защиту нужно включить.
Настоятельно рекомендую использовать эту защиту. Вне зависимости от того, какая у вас операционная система (старая или новая), используйте двухэтапную аутентификацию или проверку, т. к. эта защита сводит на нет любые усилия воров разузнать доступ к аккаунту. Ну а если вы не знаете, куда ввести код проверки Apple ID, то с этим проблем не возникнет, ведь пользовательский интерфейс настолько прост, что разобраться сможет даже ребенок.
Узнайте, что делать, если вы забыли код безопасности iCloud для службы «Связка ключей iCloud».
Если вы неправильно ввели код безопасности iCloud слишком много раз при использовании службы «Связка ключей iCloud», она будет отключена на данном устройстве, а связка ключей в iCloud будет удалена. Возможен вывод одного из следующих сообщений.
Если используется, то устройство считается доверенным при выполнении входа. Вводить код безопасности iCloud для использования службы «Связка ключей iCloud» не требуется.
Можно создать новый код безопасности iCloud на другом устройстве, которое также использует службу «Связка ключей iCloud».
На устройстве iPhone, iPad или iPod touch:
На компьютере Mac с ОС OS X Yosemite или более поздней версии
На устройстве, на котором отключена служба «Связка ключей iCloud», создайте новую связку ключей iCloud, которая будет содержать имя пользователя, пароли и другие объекты связки ключей на устройстве:
На устройстве, на котором вы создали новый код безопасности iCloud, откроется окно для подтверждения. Одобрите добавление новой связки ключей iCloud для устройства.
Чтобы сбросить настройки службы «Связка ключей iCloud», выполните следующие действия.
Сегодня для входа на многие сайты требуется авторизация, поэтому довольно трудно запомнить разнообразные логины и пароли. С выходом обновления компания Apple предложила использовать для этого облачный сервис iCloud, который может сохранять имена учётных записей, пароли и номера кредитных карт.
Функция iCloud Keychain (Связка ключей) может хранить ваши имена и пароли для веб-сайтов на iPhone, iPod touch, iPad и Mac, защищая их с помощью надёжного 256-разрядного шифрования AES. При этом данные прозрачно синхронизируются между всеми гаджетами, так что необходимости запоминать их теперь нет.
Шаг 1 : По умолчанию функция iCloud Keychain выключена, поэтому перед тем, как настроить синхронизацию паролей, необходимо активировать ее в настройках iOS 7. Зайдите в меню Настройки –> iCloud и пролистайте вниз до раздела Связка ключей.
Шаг 2 : Переведите выключатель «Связка ключей iCloud» в положение Вкл. Ваш iPhone или iPad предложит использовать пароль iOS в качестве кода безопасности. В этом случае вы можете настраивать iCloud Keychain на всех своих устройствах при помощи секретного кода с главного гаджета. Нажмите Использовать пароль или Создать другой код.
Шаг 3 : Введите код безопасности для iCloud.
Шаг 4 : На этом шаге вам нужно зарегистрировать резервный номер телефона. Вы можете использовать свой номер или любой другой, которому доверяете, чтобы получать SMS-сообщения при восстановлении доступа к iCloud Keychain.
Шаг 5 : Укажите пароль вашей учетной записи для завершения настройки iCloud Keychain.
Шаг 6 : Теперь при указании учетной записи на сайтах Safari будет предлагать вам сохранить пароль в памяти iДевайса и в связке ключей iCloud. При этом облачный сервис будет поддерживать актуальность информации на каждом из устройств. В нужный момент пароли будут вводиться автоматически.
Сегодня я решил сделать обзорную статью про связку ключей, так как последний раз наш сайт о ней вспоминал в далёком 2013-ом году. Именно в тот момент она появилась в iOS 7 . Но сейчас прошло почти 4 года и мы находимся в ожидании iOS 11, поэтому самое время сделать актуальную инструкцию по Связке ключей с вопросами и ответами.
Связка ключей iCloud - это функционал, который позволяет в защищённом виде хранить секретные данные (логины, пароли, номера кредитных карточек и т.п.) в системе и в облаке.
Данные в связке ключей шифруются мощным 256-битным AES шифрованием. Благодаря использованию технологии iCloud данные поддерживаются в актуальном состоянии на разных устройствах.
Связка ключей помогает не только хранить данные, но и вводить эти данные за пользователя.
А теперь простой пример , который показывает работу Связки ключей даже не слишком технически подкованным пользователям.
Пользователь заходит на какой-то сайт (например, «Одноклассники») в Safari на iPhone. У него там есть логин и пароль. Он вводит их вручную. Система предлагает сохранить данные в Связке ключей. Если пользователь соглашается, то данные попадают в специальный файл. Пользователь решает зайти в «Одноклассники» на iPad. Он открывает сайт в Safari. Система iOS берёт данные из того самого специального файла и заполняет поля логин и пароль. Пользователю остаётся лишь нажать на кнопку Входа. Таким образом пользователю не нужно не только вводить пароль, но и запоминать его. За него это делает Связка ключей.
После того, как вы обновите iOS до самой актуальной версии, специальный ассистент попросит настроить Связку ключей. Также настройка возможна, если вы только что купили новое устройство и пытаетесь активировать его под своим (возможно, новым) аккаунтом.
Настройки->ВАШЕ ИМЯ (в самом верху) ->iCloud->Связка ключей .
Включите ползунок «Связка ключей iCloud». Следуйте указаниям системы. Если это у вас первое устройство под данным аккаунтом Apple ID, то Связка ключей просто включится. Если же устройство не первое, то вам нужно подтвердить включение.
Как правило, нужно ввести Код безопасности iCloud . После этого нужно ввести специальный код, который приходит на другое ваше устройство, которое привязано к Apple ID (если это iPhone, то приходит СМС на номер, привязанный к аккаунту).
При этом на другом устройстве появляется специальное сообщение, которое просит ввести пароль от Apple ID.
Данные контакта и Мои данные - эти два пункта позволяют указать контакт из настроек, который будет использоваться для заполнения различных форм. То есть можно занести себя в приложение Контакты, там прописать e-mail, телефон и другие данные. В будущем, если какой-то сайт будет запрашивать e-mail, то автозаполнение сделает это за вас.
Имена и пароли - непонятно как работает, но судя по описанию, позволяет просматривать и удалять пароли в настройках «Учётные записи и пароли» (об этом ниже). Фокус в том, что включая и выключая, я разницы в функционале не заметил.
Кредитные карты - включить сохранение вбитых карт на сайтах. При этом система всё равно будет спрашивать сохранять карту в Связку ключей или нет.
Сохранённые кредитные карты (зайти можно только по паролю, либо через Touch ID) - тут можно просматривать или добавлять карты, которые используются при оплате покупок в интернете.
При первой настройке связки ключей система просит создать Код безопасности iCloud (обычно 4-6 значный код). Если пропустить этот шаг (а это возможно), то связка ключей будет храниться локально на вашем устройстве. Ни о какой синхронизации с другими устройствами речи не идёт.
Код безопасности iCloud лучше всего запомнить (или записать в надёжном месте). С помощью него можно будет одобрять Связку ключей на других устройствах. Код безопасности iCloud может вам помочь, даже в случае утери всех устройств, на которых была настроена Связка ключей.
Если вы несколько раз подряд введёте неправильный код безопасности iCloud, то Связка ключей будет деактивирована. Восстановить доступ можно будет лишь с помощью техподдержки Apple, но они не имеют доступа к коду, поэтому техподдержка максимум что сможет сделать: дать вам шанс ещё на несколько попыток. Если все они закончатся неудачей, то Связка ключей будет удалена из iCloud.
Заходим на сайт, где мы хотим зарегистрироваться. Идём в раздел с Регистрацией. Вбиваем логин и пароль. Система сама предложит Сохранить пароль в Связке ключей.
Затем вы можете зайти на сайт и вместо ввода данных нажать ссылку «Автозаполнить пароль».
Либо система сама заполняет логин и пароль. В любом случае данные в форме будут на жёлтом фоне:
Если паролей/логинов на сайте несколько, то можно нажать на ссылку «Пароли» над клавиатурой. Связка ключей предложит вам выбрать нужный логин. Тут же можно удалить сохранённый пароль.
На iOS и Mac OS можно смотреть логины и пароли в Связке ключей.
В iOS это делается в Настройки->Учётные записи и пароли->Пароли программ и сайтов. Зайти можно только через Touch ID или пароль к Apple ID.
Нужно найти нужный аккаунт и тыкнуть по нему. В поле Пароль можно увидеть в открытом виде пароль, а в Имя пользователя - логин для сайта. Пароли и логины тут можно менять.
В Mac OS просмотреть связку ключей тоже не сложно. Есть специальное приложение «Связка ключей». В нём ищем нужный сайт и тыкаем по строчке два раза.
Ставим галочку «Показать пароль» и система запросит пароль от учётной записи администратора компьютера. Вбиваем пароль и видим нужный пароль.
Для каждого аккаунта есть уникальные настройки доступа. Как правило, лучше эти настройки не трогать:
Опытный пользователь по скриншоту сразу поймёт, что тут можно добавить приложение, которое может получить доступ к объекту в Связке ключей.
Какие требования у Связки ключей?
Связка ключей доступна, начиная с iOS 7.0.3 и OS X Mavericks 10.9. Каких-то дополнительных требований к устройству Связка ключей не налагает.
Безопасно ли хранение данных в Связке ключей?
В теории это абсолютно безопасно. Ибо данные зашифрованы и недоступны даже Apple (это утверждение можно воспринимать лишь на веру).
Какие данные хранит Связка ключей для кредитных карт?
Номер карты, Имя Фамилию и дату окончания срока действия. CVC-код с обратной стороны карты Связка ключей не сохраняет.
Есть ли альтернативы Связке Ключей?
Да, есть масса приложений. Главное найти то, которое популярно и которое давно зарекомендовало себя. Например, 1Password , занимается тем же самым, что и связка ключей. Приложение постоянно обновляется и имеет массу поклонников. Связка ключей - это бесплатная встроенная альтернатива для пользователей продукции Apple. Если же у вас мультиплатформенные связки, например: iPhone-Windows или Android - Mac, то имеет смысл подобрать альтернативу.
Иногда «Связка ключей» предлагает сгенерировать пароль. Почему не всегда?
По информации с сайта Apple, генератор паролей работает не на всех сайтах.