Рекомендации по безопасности паролей
В списке паролей автозаполнения в iOS, iPadOS и macOS указывается, какой из сохраненных паролей пользователя неоднократно используется на разных сайтах, а также выделяются пароли, которые считаются ненадежными или которые были скомпрометированы или украдены в результате утечки данных.
Обзор
Использование одного и того же пароля в нескольких сервисах может сделать эти учетные записи уязвимыми для атаки с использованием украденных учетных данных. Если один из сервисов будет взломан, а пароли похищены, злоумышленники смогут использовать те же учетные данные в других сервисах для взлома дополнительных учетных записей.
Пароль помечается как неоднократно использованный, если один и тот же пароль используется в качестве сохраненного пароля в разных доменах.
Пароли помечаются как ненадежные, если они могут быть легко угаданы злоумышленником. iOS, iPadOS и macOS распознают распространенные шаблоны, используемые для создания легко запоминающихся паролей, например, использование слов из словаря, распространенные подстановки символов (например, использование «p4ssw0rd» вместо «password»), расположенные рядом клавиши (например, «q12we34r» на клавиатуре QWERTY) или повторяющиеся последовательности (например, «123123»). Эти шаблоны часто используются для создания паролей, удовлетворяющих минимальные требования служб, однако они также часто используются злоумышленниками, пытающимися получить пароль методом перебора.
Поскольку многие службы требуют использования именно PIN-кода из четырех или шести цифр, эти короткие код-пароли оцениваются по другим правилам. PIN-коды считаются ненадежными, если они совпадают с часто используемыми PIN-кодами, представляют собой возрастающую или убывающую последовательность, например «1234» или «8765», или следуют повторяющемуся шаблону, например «123123» или «123321».
Пароли помечаются как похищенные, если по сведениям функции мониторинга паролей они были найдены в массивах данных, которые были украдены в результате утечки данных. Подробнее см. в разделе Мониторинг паролей.
Ненадежные, повторно использованные и похищенные пароли либо помечаются соответствующим образом в списке паролей (macOS), либо указываются в соответствующем интерфейсе рекомендаций по безопасности (iOS и iPadOS). Если пользователь выполняет вход на сайте в Safari с использованием ранее сохраненного пароля, который является очень ненадежным или был украден в результате утечки данных, отображается предупреждение, в котором настоятельно рекомендуется автоматически создать новый надежный пароль.
Повышение безопасности для аутентификации учетной записи в iOS и iPadOS
Приложения, которые используют расширение для изменения аутентификации учетной записи (в программной среде служб аутентификации), могут быстро повышать уровень защиты учетных записей, защищенных паролем, в одно касание кнопки. Например, они могут предлагать использовать функцию «Вход с Apple» или автоматическое создание надежного пароля. Эта точка расширения доступна в iOS и iPadOS.
Если на устройстве установлено приложение, в котором реализована точка расширения, пользователи могут выбрать варианты повышения уровня безопасности (открыв рекомендации по безопасности для учетных данных, связанных с приложением, в настройках менеджера паролей Связки ключей iCloud). Повышение уровня безопасности также предлагается во время входа пользователя в приложение с использованием ненадежных учетных данных. Приложения могут передавать системе информацию о том, что не следует предлагать варианты повышения уровня безопасности после входа в систему. С помощью нового API AuthenticationServices приложения также могут самостоятельно вызывать расширения и повышать уровень безопасности, предпочтительно в настройках учетной записи или на экране управления учетной записью в приложении.
Приложения могут поддерживать создание надежных паролей, функцию «Вход с Apple» либо обе эти функции. При использовании функции создания надежных паролей система генерирует для пользователя надежный пароль. При необходимости в приложении могут содержаться настраиваемые правила создания паролей для генерирования новых паролей. Когда пользователь переключается с использования пароля на функцию «Вход с Apple», система предоставляет новые учетные данные «Вход с Apple», и расширение связывает их с этой учетной записью. В учетных данных не указывается адрес электронной почты Apple ID пользователя. После успешного перехода на использование функции «Вход с Apple» система удаляет из связки ключей пользователя использовавшийся ранее пароль, если он был там сохранен.
Расширения для изменения аутентификации учетной записи могут выполнить дополнительную аутентификацию пользователя, прежде чем повышать уровень безопасности. Если уровень безопасности повышается с помощью менеджера паролей или после входа в приложение, расширение предоставляет имя пользователя и пароль для учетной записи, уровень безопасности которой нужно повысить. При повышении уровня безопасности в приложении предоставляется только имя пользователя. Если расширению требуется дополнительная аутентификация пользователя, перед повышением уровня безопасности оно может запросить отображение настраиваемого интерфейса пользователя. Это необходимо для того, чтобы пользователь применил второй фактор аутентификации и разрешил повышение уровня безопасности.