คำแนะนำสำหรับความปลอดภัยของรหัสผ่าน
รายการรหัสผ่านของการป้อนรหัสผ่านอัตโนมัติใน iOS, iPadOS และ macOS จะระบุว่ารหัสผ่านใดที่ผู้ใช้บันทึกไว้จะถูกนำกลับมาใช้ซ้ำกับเว็บไซต์อื่น รหัสผ่านใดที่ถือว่าปลอดภัยต่ำ และรหัสผ่านใดที่เกิดการรั่วไหลของข้อมูล
ภาพรวม
การใช้รหัสผ่านเดียวกันกับบริการมากกว่าหนึ่งบริการอาจทำให้บัญชีเหล่านั้นเสี่ยงต่อการโจมตีข้อมูลประจำตัวแบบ Stuffing ถ้าบริการถูกโจมตีและรหัสผ่านรั่วไหล ผู้โจมตีอาจลองใช้ข้อมูลประจำตัวเดียวกันกับบริการอื่นๆ เพื่อสร้างความเสียหายต่อบัญชีอื่นๆ เพิ่มเติมได้
รหัสผ่านจะถูกทำเครื่องหมายว่านำกลับมาใช้ซ้ำหากพบว่ามีการใช้รหัสผ่านเดียวกันสำหรับรหัสผ่านที่บันทึกไว้มากกว่าหนึ่งรหัสผ่านในโดเมนต่างๆ
รหัสผ่านจะถูกทำเครื่องหมายว่าไม่ปลอดภัยหากเป็นรหัสผ่านที่ผู้โจมตีสามารถคาดเดาได้ง่าย iOS, iPadOS และ macOS จะตรวจหารูปแบบที่ใช้บ่อยในการสร้างรหัสผ่านที่จดจำได้ง่าย เช่น การใช้คำที่พบในพจนานุกรม การเปลี่ยนแทนที่อักขระที่พบบ่อย (เช่น การใช้ “p4ssw0rd” แทน “password”), รูปแบบที่พบบนแป้นพิมพ์ (เช่น “q12we34r” จากแป้นพิมพ์ QWERTY) หรือรูปแบบการเรียงลำดับที่ซ้ำกัน (เช่น “123123”) รูปแบบเหล่านี้มักถูกใช้บ่อยเพื่อสร้างรหัสผ่านให้ตรงตามข้อกำหนดรหัสผ่านขั้นต่ำสำหรับบริการต่างๆ แต่ก็ยังเป็นรูปแบบที่ผู้โจมตีมักใช้เพื่อพยายามรับรหัสผ่านโดยใช้ แบบ Brute Force อีกด้วย
เนื่องจากบริการจำนวนมากเจาะจงให้ใช้รหัส PIN สี่ถึงหกหลักโดยเฉพาะ รหัสสั้นๆ เหล่านี้จึงถูกประเมินด้วยกฎเกณฑ์ที่แตกต่างกัน รหัส PIN จะถือว่าไม่ปลอดภัยหากเป็นหนึ่งในรหัส PIN ที่ใช้บ่อยที่สุด หรือหากเป็นรูปแบบการเรียงลำดับจากน้อยไปหามากหรือจากมากไปหาน้อย เช่น “1234” หรือ “8765” หรือหากเป็นรูปแบบที่ซ้ำๆ กัน เช่น “123123” หรือ “123321”
รหัสผ่านจะถูกทำเครื่องหมายว่ารั่วไหลหากคุณสมบัติการตรวจสอบรหัสผ่านสามารถระบุได้ว่ารหัสผ่านนั้นมีการรั่วไหลของข้อมูล โปรดดูที่ การตรวจสอบรหัสผ่าน สำหรับข้อมูลเพิ่มเติม
รหัสผ่านที่ไม่ปลอดภัย ใช้ซ้ำ และรั่วไหลจะระบุอยู่ในรายการของรหัสผ่าน (macOS) หรือมีอยู่ในอินเทอร์เฟซคำแนะนำด้านความปลอดภัยโดยเฉพาะ (iOS และ iPadOS) ถ้าผู้ใช้เข้าสู่ระบบเว็บไซต์ใน Safari โดยใช้รหัสผ่านที่บันทึกไว้ก่อนหน้านี้ซึ่งเป็นรหัสผ่านที่ไม่ปลอดภัยหรือถือว่าไม่ปลอดภัยเนื่องจากมีการรั่วไหลของข้อมูล ระบบจะแสดงการเตือนที่แนะนำให้ผู้ใช้อัปเกรดเป็นรหัสผ่านที่ปลอดภัยสูงแบบอัตโนมัติ
การอัปเกรดความปลอดภัยของการตรวจสอบสิทธิ์สำหรับบัญชีใน iOS และ iPadOS
แอปที่ใช้ส่วนขยายการแก้ไขการตรวจสอบสิทธิ์ของบัญชี (ในเฟรมเวิร์คของบริการตรวจสอบสิทธิ์) จะสามารถอัปเกรดบัญชีที่ใช้รหัสผ่านได้อย่างง่ายดายด้วยการแตะปุ่มเพียงปุ่มเดียว ตัวอย่างเช่น แอปเหล่านั้นสามารถสลับไปใช้การลงชื่อเข้าด้วย Apple หรือรหัสผ่านที่ปลอดภัยสูงแบบอัตโนมัติได้ ส่วนขยายนี้มีให้ใช้ใน iOS และ iPadOS
ถ้าแอปได้ใช้จุดขยายและติดตั้งไว้บนอุปกรณ์แล้ว ผู้ใช้จะเห็นตัวเลือกการอัปเกรดการขยายเมื่อดูคำแนะนำด้านความปลอดภัยของรหัสผ่านของข้อมูลประจำตัวที่เกี่ยวข้องกับแอปในตัวจัดการรหัสผ่านพวงกุญแจ iCloud ในการตั้งค่า การอัปเกรดยังมีให้เมื่อผู้ใช้ลงชื่อเข้าแอปด้วยข้อมูลประจำตัวที่มีความเสี่ยงด้วยเช่นกัน แอปมีความสามารถในการสั่งให้ระบบไม่แจ้งตัวเลือกการอัปเกรดให้ผู้ใช้ทราบหลังจากลงชื่อเข้า การใช้ AuthenticationServices API แบบใหม่ทำให้แอปสามารถใช้งานส่วนขยายและดำเนินการอัปเกรดได้ด้วยตัวเองจากการตั้งค่าบัญชีหรือหน้าจอการจัดการบัญชีในแอปได้ด้วย
แอปสามารถเลือกที่จะรองรับการอัปเกรดรหัสผ่านที่ปลอดภัย การอัปเกรดลงชื่อเข้าด้วย Apple หรือการอัปเกรดทั้งสองแบบได้ ในการอัปเกรดรหัสผ่านที่ปลอดภัยสูง ระบบจะสร้างรหัสผ่านที่ปลอดภัยสูงแบบอัตโนมัติให้ผู้ใช้ ถ้าจำเป็น แอปสามารถสร้างกฎสำหรับรหัสผ่านแบบกำหนดเองให้ปฏิบัติตามเมื่อสร้างรหัสผ่านใหม่ได้ เมื่อผู้ใช้สลับบัญชีจากการใช้รหัสผ่านเป็นการใช้ลงชื่อเข้าด้วย Apple ระบบจะมอบข้อมูลประจำตัวลงชื่อเข้าด้วย Apple ฉบับใหม่กับส่วนขยายที่เชื่อมโยงกับบัญชีดังกล่าว ระบบจะไม่มอบอีเมล Apple ID ของผู้ใช้ให้เป็นส่วนหนึ่งของข้อมูลประจำตัว หลังจากอัปเกรดลงชื่อเข้าด้วย Apple สำเร็จแล้ว ระบบจะลบข้อมูลประจำตัวของรหัสผ่านที่ใช้ก่อนหน้านี้ออกจากพวงกุญแจของผู้ใช้หากมีการบันทึกข้อมูลประจำตัวดังกล่าวไว้ในพวงกุญแจนั้น
ส่วนขยายการแก้ไขการตรวจสอบสิทธิ์บัญชีมีโอกาสในการดำเนินการตรวจสอบสิทธิ์ผู้ใช้เพิ่มเติมก่อนจะดำเนินการอัปเกรด สำหรับการอัปเกรดที่เริ่มต้นภายในตัวจัดการรหัสผ่านหรือหลังจากลงชื่อเข้าแอป ส่วนขยายจะมอบชื่อผู้ใช้และรหัสผ่านของบัญชีเพื่ออัปเกรด สำหรับการอัปเกรดในแอป ระบบจะให้ชื่อผู้ใช้เท่านั้น ถ้าส่วนขยายต้องใช้การตรวจสอบสิทธิ์เพิ่มเติม ส่วนขยายจะขอให้แสดงอินเทอร์เฟซผู้ใช้แบบกำหนดเองก่อนที่จะดำเนินการอัปเกรดต่อไป กรณีการใช้งานที่ตั้งไว้สำหรับแสดงอินเทอร์เฟซผู้ใช้นี้คือเพื่อให้ผู้ใช้ป้อนปัจจัยรองของการตรวจสอบสิทธิ์เพื่ออนุญาตการอัปเกรด