Põhiline Tarkvara Apple'i uued iCloudi turvanõuded: kuidas see mõjutab teid ja teie kasutatavat tarkvara
Tarkvara

Apple'i uued iCloudi turvanõuded: kuidas see mõjutab teid ja teie kasutatavat tarkvara

Apple'i nihe kolmandate osapoolte rakenduste juurdepääsuks iCloudile parandab turvalisust ainult veidiKõrvalGlenn Fleishman,Vanempanustaja, 21. mai 2017 kell 20.00 PDT icloudi ikoon 2015 Apple

Kui kasutate iCloudi meilisõnumite, kalendrisündmuste või kontaktide jaoks muude rakendustega peale Apple'i loodud rakenduste ja te pole oma konto turvalisust täiendanud kahefaktorilise autentimise (2FA) kasutamiseks, siis sünkroonimine ja muu suhtlus ei käivitu. 15. juuni. See on siis, kui Apple kehtestab uue turvanõude, mis nõuab unikaalseid paroole kogu kolmanda osapoole tarkvara jaoks, mis töötab iCloudi kontodega. See hõlmab selliseid rakendusi nagu BusyContacts, Fantastical ja Thunderbird, kui nimetada mõned sadadest, aga ka võrguteenuseid, mis sünkroonitakse iCloudiga või toovad e-kirju.

See kõlab palju turvalisemalt, kuid seal on vähem, kui esmapilgul paistab. Apple'i meetodil kolmandate osapoolte juurdepääsu lubamiseks on olulisi vigu kuritarvitamise tõkestamisel, kui mõni neist unikaalsetest paroolidest avastatakse. Oma probleemidega on parem viis, kuid Apple ei paista selles suunas liikuvat. (Siin on meie juhend iCloudi/Apple ID 2FA seadistamiseks.)

Konto lihtsa kaaperdamise blokeerimine

2FA on lihtne viis muuta teie kontole juurdepääs ainult teie parooliga kõikjal maailmas palju keerulisemaks. Teie esimene tegur on parool ning kontode puhul, mis nõuavad lihtsalt kontot ja seda elementi, saab kaaperdaja sisse logida tavaliselt kõikjal. (Mõned teenused, nagu Gmail, hoiatavad kasutajaid veidrate geograafiliste sisselogimiskohtade eest või isegi blokeerivad juurdepääsu ilma täiendava kinnituseta.)



kaitsev rahakott iphone 6 jaoks
privatei apple 2fa asukoha hoiatusIDG

Apple'i 2FA-süsteem hoiatab teid uutest sisselogimistest ligikaudse asukoha järgi, enne kui asute teise tegurina koodi pakkuma.

Parool on midagi, mida teate autentimisrubriigis. Lisage midagi, mida te olete, näiteks sõrmejälg või midagi, mis teil on, näiteks nutitelefoni autentimisrakendus, ja keegi peab saama teile või teie seadmetele füüsilise juurdepääsu või kaughäkkima selle seadme pahavara kaudu. SMS-i teel saadetud kood on ka valik enamiku 2FA süsteemide jaoks, sealhulgas Apple'i jaoks, kuid SMS pole nii turvaline: seda saab pealt kuulata, telefoninumbri saab teise seadmesse üle kanda ja SMS ei vaja spetsiaalset tarkvara ega konto, mida saada. SMS-tekstid kuvatakse vaikimisi ka lukustatud ekraanidel, välja arvatud juhul, kui te iOS-i ja Androidi valikuid ümber seadistate.

2FA probleem seisneb selles, et see töötab tavaliselt ainult teenuseid tootva ettevõtte hallatavas ökosüsteemis. Nii saate kasutada Apple'i 2FA-d iOS-i, macOS-i, iCloud.com-i, iTunesi ja muude Apple'i veebisaitide ja teenustega. Aga mis siis, kui soovite kasutada kolmanda osapoole tarkvara piiratud elementide jaoks, mida Apple paljastab?

Sel juhul, nagu ka teiste 2FA süsteemide puhul, on teil võimalus luua rakendusepõhine parool. Mõne süsteemi puhul saate piiri veelgi vändata. Näiteks Fastmailiga saate määrata, et parool lubab ainult SMTP-d (väljaminev e-kiri). Apple'i ja Google'i jaoks saab neid paroole laialdaselt kasutada meilide, kalendrisündmuste ja kontaktide jaoks ilma piiranguteta. Siin on minu lühike juhend Apple ID-ga rakendusepõhiste paroolide seadistamiseks.

privaatne Apple'i rakenduse spetsiifiline paroolIDG

Rakendusepõhine parool annab juurdepääsu mitmele iCloudi teenusele ja selle saab tühistada (nagu ma tegin selle jaoks).

See tähendab, et teie nõrgimale lülile teie elu nendes kriitilistes osades – teie kõige privaatsemale teabele, mille krüpteerimiseks te pole pingutanud – pääsevad juurde ja seda saavad muuta kõik, kes omandavad mõne teie rakendusepõhise parooli. Nad saavad lähtestada teiste teenuste paroole ja lähtestamislingiga sissetulevad meilid kinni pidada, rämpsposti saata kõikidele teie kontaktidele ja nii edasi. (See ei mõjuta iCloudi võtmehoidjat. Kolmandad osapooled ei saa juurdepääsu ning Apple töötas selle jaoks välja tugeva krüpteerimis- ja kinnitusprotsessi.)

Lahendus selle rakendusepõhise paroolinõrkuse vältimiseks on OAuth, standard, mida laialdaselt kasutavad veebisaidid nagu Facebook, Twitter ja Google, et võimaldada kolmandate osapoolte teenustel kasutaja nimel piiratud juurdepääs nende ettevõtete funktsioonidele ja andmetele.

OAuth sisaldab juurdepääsupiiranguid

Parooli asemel, millele pääseb juurde kõike Kui see on saadaval, võimaldab OAuth kolmanda osapoole teenusel või rakendusel loetleda täpselt seda tüüpi andmeid, mida ta vajab (nt teie nimel postitamine või kontaktide toomine) ja seda, kuidas see selle teabega suhtleb. Arendajad taotlevad heakskiitu ökosüsteemi haldavalt ettevõttelt. Kui kasutaja logib OAuthi süsteemi sisse, läbib kolmas osapool sisselogimiskuva või dialoogi, mida haldab täielikult põhiteenus, mis võimaldab ainult parooli või 2FA-d. Kolmas osapool saab ainult volitusmärgi, mille saab tühistada. (Saate tühistada ka rakendusepõhised paroolid, nii et see pole konkreetne eelis.)

OAuth võimaldab teenusel nagu Google tuvastada iga kolmanda osapoole arendaja kordumatu ID-ga ja selle ID-ga seotud kasutajatele väljastatakse märgid. Seega, nagu ka hiljutise rünnaku puhul, mille käigus ebaõiglane lõi võltsrakenduse nimega Google Docs, saab Google pärast avastamist sulgeda kõik seotud märgid, ilma et see mõjutaks muid kolmanda osapoole teenuseid.

John Chaffee BusyMac , BusyCali ja BusyContactsi tootjad, on juba mõnda aega püüdnud sellele probleemile tähelepanu pöörata. Ta on kolmandast osapoolest arendajana pettunud nii rakendusepõhiste paroolide seadistamise keerukusest lõppkasutajate jaoks kui ka turvaprobleemide pärast. Ta eelistab OAuthi, mida tema rakendused juba haldavad koos teiste teenustega.

Ma arvan, et 99 protsendil kasutajatest pole rakendusepõhistest paroolidest aimugi ja Apple teeb väga vähe, et aidata neil seda välja mõelda. Chaffee ütleb, et enamik meie tehnilise toe taotlustest on kasutajatelt, kes ei saa iCloudiga ühendust luua ja kellel pole aimugi, miks.

Muutke see kasutajatele lihtsamaks ja turvalisemaks

On imetlusväärne, et Apple soovib ära hoida kasutajad oma Apple ID/iCloudi parooli sisestamisest otse kolmandate osapoolte rakendustesse ja minna üle süsteemile, kus risk on rakendusespetsiifiliste rakendustega minimeeritud. Kuid see pole piisavalt kaugel. OAuthil on palju, palju, palju probleeme, sealhulgas võimalus võltsida sisselogimist ettevaatlikele kasutajatele.

Kuid kuna see eraldab turvanõrkused, on see siiski palju parem kui rakendusepõhised paroolid. Pole tähtis, kas teie loss on kindlalt lukus, kui keegi saab endale võtmed nende ruumide jaoks, kus te oma kõige väärtuslikumaid asju hoiate. OAuth on nagu valvur igas laoruumis, kes kontrollib ID-d, ja see on mõistlik viis iCloudi kasutajate paremaks kaitsmiseks.