保護「iCloud 鑰匙圈」復原
「iCloud 鑰匙圈」會與 Apple 託管使用者的鑰匙圈資料而不讓 Apple 讀取密碼和其他所包含的資料。即便使用者只有一部裝置,鑰匙圈復原也可以提供安全網來防止資料遺失。如果使用了 Safari 來為網頁帳號隨機產生強式密碼或通行密鑰,鑰匙圈復原就顯得格外重要,因為只有鑰匙圈會記錄這些密碼。
鑰匙圈復原包含兩大基本要素:輔助認證和安全託管服務,後者是 Apple 專為支援此功能而建立的服務。使用者的鑰匙圈會使用高強度密碼進行加密,只有在滿足一組嚴格的條件時,託管服務才會提供鑰匙圈拷貝。
使用第二個認證
建立高強度密碼的方式有以下幾種:
若使用者的帳號已啟用雙重認證,便會使用裝置密碼來復原託管的鑰匙圈。
若未設定雙重認證,則會要求使用者提供六位數的密碼以製作 iCloud 安全碼。或者,在不使用雙重認證的情況下,使用者可自行指定較長的安全碼,或是可讓裝置以加密編譯方式製作隨機安全碼,方便使用者自行記錄和保存。
鑰匙圈託管程序
建立密碼後,鑰匙圈便會隨 Apple 託管。iOS、iPadOS 或 macOS 裝置會先匯出使用者的鑰匙圈拷貝,然後加密封裝至非對稱式 Keybag 的密鑰中,並將其放置在使用者的 iCloud 鍵值儲存區域中。Keybag 會以使用者的 iCloud 安全碼和儲存託管記錄的硬體安全模組(HSM)叢集公用密鑰進行封裝。這會變成使用者的 iCloud 託管記錄。若為雙重認證帳號,鑰匙圈也儲存在 CloudKit 中,包裝為僅可使用 iCloud 託管記錄內容來復原的中間鑰匙,進而提供相同等級的保護。
託管記錄的內容還允許復原裝置重新加入「iCloud 鑰匙圈」,向任何現有裝置證明復原裝置已順利執行託管過程,並因此得到帳號持有人的授權。
【注意】除了建立安全碼,使用者也須為其 iCloud 帳號註冊一個電話號碼。這提供了進行鑰匙圈復原期間的第二層認證機制。使用者會收到一則 SMS 簡訊,必須予以回覆才能繼續進行復原。