Как использовать пароли на вашем iPhone, iPad и Mac

«Ключ доступа» — это название упрощенного процесса входа на веб-сайты, который во всей своей красе появился позже в этом году с macOS 13 Ventura, iOS 16 и iPadOS 16. Ключ доступа основан на широко поддерживаемых отраслевых стандартах, позволяющих выполнять зашифрованный вход. практически без усилий с вашей стороны после первоначальной настройки.

Вы можете попробовать ключ доступа, не устанавливая общедоступные бета-версии этих будущих операционных систем, поскольку Apple встроила поддержку ключей доступа в форме предварительного просмотра в Safari для всех своих операционных систем в iOS 15, iPadOS 15 и Safari 15 с macOS 12 Monterey. С полным выпуском ключей доступа через несколько недель или месяцев и объявленной Google и Microsoft поддержкой совместимых технологий вы, вероятно, увидите варианты добавления пароля для входа на многих веб-сайтах этой осенью.

Вот как работает этот процесс.

идентификаторы Apple

Начиная с iOS 17 и macOS 14 Sonoma ваш Apple ID будет поддерживать аутентификацию по ключу доступа. Везде, где вам нужно войти с помощью Apple ID, включая веб-сайты и icloud.com, у вас будет два варианта входа: со стандартным паролем или нажатием кнопки «Продолжить с Apple», которая отобразит QR-код, который может сканируйте с помощью камеры вашего iPhone, чтобы создать уникальный код.

Зарегистрироваться на веб-сайте

Ключ доступа состоит из парного набора ключей шифрования, известного как криптография с открытым ключом. Когда вы посещаете сервер, который поддерживает WebAuthn (технология, необходимая для приема, хранения и взаимодействия с ключом доступа), ваш браузер предоставит открытый ключ пары шифрования. Открытый ключ можно использовать не для входа в систему, а для подтверждения вашей личности: у вас есть закрытый ключ, который создается на вашем устройстве и никогда не покидает его для входа в систему.

Чтобы зарегистрироваться, вы посещаете веб-сайт, который предлагает поддержку пароля. Сайт может заявить, что поддерживает ключи доступа в целом, что он поддерживает WebAuthn, или объявить, что он совместим с FIDO2, CTAP или «учетными данными FIDO для нескольких устройств». Все эти термины должны означать, что вы можете использовать ключ доступа Apple (или Google, или Microsoft) в качестве учетных данных для входа. (FIDO2 — это название, данное торговой группой FIDO Alliance, ключевой частью создания паролей и WebAuthn, членами которой являются Apple, Microsoft и Google.)

Процесс будет работать очень похоже на то, когда вы регистрируетесь на сайте для двухфакторной аутентификации (2FA) или если вы ранее использовали аппаратный ключ для WebAuthn, например, сделанный Yubico:

  1. Войдите, используя существующее имя пользователя и пароль.
  2. Сайт может запросить дополнительную проверку. Это может быть ссылка, отправленная по электронной почте, текстовый код или запрос на подтверждение 2FA с кодом или через приложение, которое вы уже установили на свой iPhone или iPad.
  3. Раздел безопасности сайта позволяет вам использовать пароль или одно из альтернативных имен, указанных выше.
  4. Веб-сервер отправляет запрос в ваш браузер для предоставления информации о шифровании.
  5. Вам будет предложено подтвердить этот запрос с помощью Touch ID, Face ID или пароля вашего устройства, в зависимости от того, что доступно и включено.
  6. Если вы успешно подтвердите свою личность, ваше устройство сгенерирует пару открытого и закрытого ключей. Закрытый ключ хранится на вашем устройстве и никогда не отправляется на удаленный сайт.
  7. Ваш браузер отправляет открытый ключ вместе с криптографически подписанным сообщением, которое сервер может проверить с помощью предоставленного открытого ключа: только тот, чье устройство содержит закрытый ключ, может создать проверяемое сообщение.
  8. Веб-сервер хранит ваш открытый ключ для ваших будущих входов в систему.
В рамках процесса регистрации вы подтверждаете, что хотите, чтобы веб-сайт мог использовать Touch ID (или другой элемент аутентификации).

Настройка входа в систему с паролем может отключить 2FA в вашей учетной записи или позволить вам выбрать вход в систему с паролем вместо пути 2FA. Ключ доступа обеспечивает доказательство владения как секретом, так и устройством, на котором он хранится, по сути, двумя факторами. (Для некоторых сайтов и служб с более высоким уровнем безопасности может по-прежнему требоваться двухфакторная аутентификация вместо пароля или в дополнение к нему.)

Вы можете увидеть процесс работы с ключом доступа с некоторыми базовыми техническими элементами, представленными на Webauthn.me, сайте, созданном Auth0, поставщиком услуг аутентификации. Некоторые рабочие сайты в настоящее время предлагают входы, совместимые с паролем, но на данный момент их довольно мало. Вы можете настроить учетную запись Google или Dropbox для использования «ключа безопасности» и вместо этого использовать ключ доступа. См. Ниже мой опыт с этим.

Войти с паролем

На зарегистрированном сайте вы можете использовать сохраненный ключ доступа при следующем входе в систему. Возможно, вы заметили, что многие веб-сайты начали отделять отправку имени пользователя или электронной почты учетной записи от отправки пароля, что, по-видимому, является подготовкой для ключей доступа. .

Если сайт полностью готов для паролей, вы коснетесь или щелкнете в поле имени пользователя или электронной почты учетной записи, и Safari предложит подтвердить вход с паролем. В некоторых случаях Safari может сначала спросить вас, хотите ли вы разрешить вход на сайт с помощью Touch ID или «ключа безопасности»; нажмите Позволять продолжать. Затем вы можете пройти аутентификацию с помощью Touch ID, Face ID или пароля вашего устройства, как и при регистрации. Вот и все! Используя упомянутый выше сайт Webauthn.me, вы можете проверить это на шаге 4 процесса.

Вас могут попросить разрешить безопасный вход на сайт, прежде чем вы сможете войти в систему в первый раз после регистрации с помощью пароля.
Пароли содержат записи ключей доступа, начиная с выпусков операционной системы этой осени.

На некоторых сайтах, которые поддерживают WebAuthn, но еще не полностью согласованы с упрощенным процессом ключа доступа, вам может быть предложено выполнить обычный вход с именем пользователя и паролем. до сайт инициирует последовательность, которая запрашивает у вашего браузера ключ доступа.

Я смог зарегистрироваться с ключом доступа в Dropbox, выбрав параметр «Ключ безопасности» и следуя инструкциям в Safari для macOS. (Войдя в Dropbox через Safari, нажмите на свой аватар в правом верхнем углу, нажмите значок Безопасность ссылку и нажмите Добавлять рядом с «Ключи безопасности». Когда он спросит, вставили ли вы ключ, подтвердите, что вы это сделали.)

Последующие входы работали в Safari для macOS, но не в Safari для iOS, вероятно, из-за отсутствия поддержки синхронизации связки ключей iCloud до выпуска новых операционных систем. В iOS 16, iPadOS 15 и Ventura с включенной связкой ключей iCloud пароли будут синхронизироваться и отображаться в Настройки > Пароли в iOS/iPadOS и Настройки системы > Пароли в Вентуре.

Apple позволит вам делиться ключами доступа с другими пользователями Apple, безопасно отправляя их через AirDrop. При этом будет использоваться как открытый, так и закрытый ключ, и люди получат такой же уровень доступа к учетной записи, как если бы вы предоставили им имя пользователя, пароль и двухфакторный токен для своей учетной записи.

Вход с других устройств

Некоторые сайты позволяют указать пароль для входа в качестве единственного метода получения доступа. Так что, если вы пытаетесь войти в систему с устройства, на котором не сохранен ваш ключ доступа, например, с общего или семейного компьютера, устройства на работе или устройства, к которому у вас есть доступ во время путешествия? Или вам нужно использовать систему Windows или телефон Android для доступа к сайту из-за функций, специфичных для этих платформ? Apple продемонстрировала умный подход, представляя пароли на Всемирной конференции разработчиков 2022 года, для которых требуется QR-код и Bluetooth.

Процесс работает следующим образом:

  1. На устройстве с достаточно новой операционной системой или браузером, поддерживающим вход через WebAuthn, когда вы вводите имя своей учетной записи на веб-сайте, используя пароль.
  2. Сайт запросит у браузера ключ доступа, и браузер обнаружит, что его нет. Затем вы можете щелкнуть, чтобы предоставить ключ доступа через прокси-сервер, например, нажав «Добавить новый телефон».
  3. Сайт отправляет запрос, который заставляет браузер отображать QR-код.
  4. На вашем iPhone или iPad вы сканируете QR-код и нажимаете на приглашение «Войти с паролем».
  5. На своем устройстве нажмите Продолжать а затем подтвердите вход с помощью Touch ID, Face ID или пароля вашего устройства.
  6. Браузер показывает, что вы вошли в систему.
Аутентификация паролей
На устройстве, на котором нет вашего ключа доступа, QR-код в сочетании с Bluetooth позволит безопасно войти в систему, не раскрывая ваши секреты и не допуская фишинга.

Яблоко

Во время этого процесса устройство, на котором отображается QR-код, и ваш iPhone или iPad незаметно устанавливают соединение через Bluetooth и обмениваются ключевой информацией. Это позволяет вашему устройству быть уверенным, что вход в систему происходит с помощью устройства, которое находится поблизости, для предотвращения удаленных атак, а обратный канал Bluetooth — зашифрованный канал, отдельный от соединения браузера, что позволяет избежать фишинговых атак, которые представляют поддельные входы в систему.

После того, как вы аутентифицировали свой логин на другом устройстве, ваш сеанс продолжается как обычно. Убедитесь и выйдите из системы, когда закончите, чтобы очистить состояние.

Будущее за паролями

За простотой паролей скрывается сложность. На этот раз мы получаем одновременно простоту, отсутствие накладных расходов на управление процессом и максимально возможный уровень безопасности. Каждый логин уникален, хранится для вас и проверяется в обоих направлениях — вашим устройством и сайтом — чтобы гарантировать, что только человек, имеющий доступ к вашему устройству, может войти на сайт.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *