Главная-Интернет-Связка ключей icloud нужно ли. Связка ключей iCloud: определение, предназначение и настройка

Связка ключей icloud нужно ли. Связка ключей iCloud: определение, предназначение и настройка

Сегодня для входа на многие сайты требуется авторизация, поэтому довольно трудно запомнить разнообразные логины и пароли. С выходом обновления iOS 7.0.3 компания Apple предложила использовать для этого облачный сервис iCloud, который может сохранять имена учётных записей, пароли и номера кредитных карт.

Функция iCloud Keychain (Связка ключей) может хранить ваши имена и пароли для веб-сайтов на iPhone, iPod touch, iPad и Mac, защищая их с помощью надёжного 256-разрядного шифрования AES. При этом данные прозрачно синхронизируются между всеми гаджетами, так что необходимости запоминать их теперь нет.

Как настроить Связку ключей в iOS 7:

Шаг 1 : По умолчанию функция iCloud Keychain выключена, поэтому перед тем, как настроить синхронизацию паролей, необходимо активировать ее в настройках iOS 7. Зайдите в меню Настройки –> iCloud и пролистайте вниз до раздела Связка ключей.

Шаг 2 : Переведите выключатель «Связка ключей iCloud» в положение Вкл. Ваш iPhone или iPad предложит использовать пароль iOS в качестве кода безопасности. В этом случае вы можете настраивать iCloud Keychain на всех своих устройствах при помощи секретного кода с главного гаджета. Нажмите Использовать пароль или Создать другой код.

Шаг 3 : Введите код безопасности для iCloud.

Шаг 4 : На этом шаге вам нужно зарегистрировать резервный номер телефона. Вы можете использовать свой номер или любой другой, которому доверяете, чтобы получать SMS-сообщения при восстановлении доступа к iCloud Keychain.

Шаг 5 : Укажите пароль вашей учетной записи для завершения настройки iCloud Keychain.

Шаг 6 : Теперь при указании учетной записи на сайтах Safari будет предлагать вам сохранить пароль в памяти iДевайса и в связке ключей iCloud. При этом облачный сервис будет поддерживать актуальность информации на каждом из устройств. В нужный момент пароли будут вводиться автоматически.

Посмотреть сохраненные в iCloud Keychain данные можно в меню Настройки –> Safari –> Пароли и Автозаполнение –> Сохраненные пароли.

Безопасное хранение паролей и их синхронизация между устройствами - задача непростая. Около года назад Apple представила миру iCloud Keychain, свое централизованного хранилище паролей в OS X и iOS. Давай попробуем разобраться, где и как хранятся пароли пользователей, какие потенциальные риски это несет и имеет ли Apple техническую возможность получить доступ к расшифрованным данным, хранящимся на ее серверах. Компания утверждает, что такой доступ невозможен, но, чтобы это подтвердить или опровергнуть, необходимо разобраться, как работает iCloud Keychain.

iCloud 101

На самом деле iCloud - это не один сервис, это общее маркетинговое название для целого ряда облачных сервисов от Apple. Это и синхронизация настроек, документов и фотографий, и Find My Phone для поиска потерянных или похищенных устройств, и iCloud Backup для резервного копирования в облако, и теперь вот iCloud Keychain для безопасной синхронизации паролей и номеров кредитных карт между устройствами на базе iOS и OS X.

Каждая служба iCloud расположена на собственном домене третьего уровня, таком как pXX-keyvalueservice.icloud.com, где XX - номер группы серверов, отвечающих за обработку запросов текущего пользователя; для различных Apple ID этот номер может быть разным; более новые учетные записи обычно имеют большее значение этого счетчика.

Код безопасности iCloud

Прежде чем погружаться в анализ iCloud Keychain, обратим внимание на то, каким образом эта служба конфигурируется. При включении iCloud Keychain пользователю предлагается придумать и ввести код безопасности iCloud (iCloud Security Code, далее - iCSC). По умолчанию форма ввода позволяет использовать четырехзначный цифровой код, но, перейдя по ссылке «Дополнительные параметры», все же можно использовать более сложный код или вовсе позволить устройству сгенерировать стойкий случайный код.

Теперь мы знаем, что данные в iCloud Keychain защищены с помощью iCSC. Ну что же, попробуем разобраться, как именно эта защита реализована!

Перехват трафика или man-in-the-middle

Первым шагом при анализе сетевых сервисов зачастую является получение доступа к сетевому трафику между клиентом и сервером. В случае с iCloud для нас есть две новости: плохая и хорошая. Плохая состоит в том, что весь (ну или по крайней мере подавляющая его часть) трафик защищен TLS/SSL, то есть он зашифрован и обычной пассивной атакой «прочитать» его не удастся. Хорошая же новость заключается в том, что Apple сделала всем желающим поисследовать iCloud подарок и не использует фиксацию сертификата (certificate pinning), что позволяет достаточно просто организовать атаку «человек посередине» (man-in-the-middle) и расшифровывать перехваченный трафик. Для этого достаточно:

  1. Поместить подопытное iOS-устройство в одну Wi-Fi-сеть с компьютером, осуществляющим перехват.
  1. Установить на компьютере перехватывающий прокси-сервер (такой как Burp, Charles Proxy или любой аналогичный).
  1. Импортировать на iOS-устройство TLS/SSL-сертификат установленного прокси-сервера (подробности в справке конкретного прокси).
  1. В настройках Wi-Fi-сети на iOS-устройстве (Настройки → Wi-Fi → Имя сети → HTTP Прокси) указать IP-адрес перехватывающего компьютера в Wi-Fi-сети и порт, на котором слушает прокси-сервер.

Если все сделано правильно, то весь трафик между устройством и iCloud’ом будет как на ладони. И из перехвата этого трафика будет отчетливо видно, что iCloud Keychain построен на базе двух сервисов iCloud: com.apple.Dataclass.KeyValue и com.apple.Dataclass.KeychainSync - и при первоначальном, и при повторном включениях на других устройствах iOS обменивается данными с этими сервисами.

Первый сервис не нов и был в числе первых возможностей iCloud; он широко используется приложениями для синхронизации настроек. Второй же является новым и разработан, очевидно, специально для iCloud Keychain (хотя его функционал теоретически позволяет использовать его и для других целей). Рассмотрим эти сервисы подробнее.

com.apple.Dataclass.KeyValue

Как было отмечено выше, это один из сервисов, используемых iCloud Keychain. Многие существующие приложения используют его для синхронизации небольших объемов данных (настройки, закладки и тому подобное). Каждая сохраняемая этой службой запись ассоциируется с идентификатором приложения (Bundle ID) и именем хранилища (store). Соответственно, для получения сохраненных данных от сервиса также необходимо предоставить эти идентификаторы. В рамках iCloud Keychain данный сервис используется для синхронизации записей Keychain в зашифрованном виде. Достаточно подробно этот процесс описан в документе iOS Security в разделах Keychain syncing и How keychain syncing works.

Синхронизация Keychain

Когда пользователь впервые включает iCloud Keychain, устройство создает «круг доверия» (circle of trust) и ключи синхронизации (syncing identity, состоит из открытого и закрытого ключей) для текущего устройства. Открытый ключ этой пары помещается в «круг доверия», и этот «круг» дважды подписывается: сперва закрытым ключом синхронизации устройства, а затем асимметричным ключом (основанным на эллиптической криптографии), полученным из пароля пользователя на iCloud. Также в «круге» сохраняются параметры для вычисления ключа из пароля, такие как соль и количество итераций.

Подписанный «круг» сохраняется в Key/Value-хранилище. Он не может быть прочитан без знания пользовательского пароля iCloud и не может быть изменен без знания закрытого ключа одного из устройств, добавленных в «круг».

Когда пользователь включает iCloud Keychain на другом устройстве, это устройство обращается к Key/Value-хранилищу в iCloud и замечает, что у пользователя уже есть «круг доверия» и что новое устройство в него не входит. Устройство генерирует ключи синхронизации и квитанцию для запроса членства в «круге». Квитанция содержит открытый ключ синхронизации устройства и подписана ключом, полученным из пользовательского пароля iCloud с использованием параметров генерации ключа, полученных из Key/Value-хранилища. Подписанная квитанция затем помещается в Key/Value-хранилище.

Первое устройство видит новую квитанцию и показывает пользователю сообщение о том, что новое устройство запрашивает добавление в «круг доверия». Пользователь вводит пароль iCloud, и подпись квитанции проверяется на корректность. Это доказывает, что пользователь, генерировавший запрос на добавление устройства, ввел верный пароль при создании квитанции.

После того как пользователь подтвердит добавление устройства к «кругу», первое устройство добавляет открытый ключ синхронизации нового устройства в «круг» и вновь дважды подписывает его при помощи своего закрытого ключа синхронизации и при помощи ключа, полученного из пароля iCloud-пользователя. Новый «круг» сохраняется в iCloud, и новое устройство аналогичным образом подписывает его.

Как работает синхронизация Keychain

Теперь в «круге доверия» два устройства, и каждое из них знает открытые ключи синхронизации других устройств. Они начинают обмениваться записями Keychain через Key/Value-хранилище iCloud. В случае если одна и та же запись присутствует на обоих устройствах, то приоритет будет отдан имеющей более позднее время модификации. Если время модификации записи в iCloud и на устройстве совпадают, то запись не синхронизируется. Каждая синхронизируемая запись зашифровывается специально для целевого устройства; она не может быть расшифрована другими устройствами или Apple. Кроме того, запись не хранится в iCloud постоянно - она перезаписывается новыми синхронизируемыми записями.

Этот процесс повторяется для каждого нового устройства, добавляемого в «круг доверия». Например, если к «кругу» добавляется третье устройство, то запрос подтверждения будет показан на двух других устройствах. Пользователь может подтвердить добавление на любом из них. По мере добавления новых устройств каждое устройство из «круга» синхронизируется с новыми, чтобы убедиться, что набор записей на всех устройствах одинаков.

Необходимо заметить, что синхронизируется не весь Keychain. Некоторые записи привязаны к устройству (например, учетные записи VPN) и не должны покидать устройство. Синхронизируются только записи, имеющие атрибут kSecAttrSynchronizable. Apple установила этот атрибут для пользовательских данных Safari (включая имена пользователей, пароли и номера кредитных карт) и для паролей Wi-Fi.

Кроме того, по умолчанию записи сторонних приложений также не синхронизируются. Для их синхронизации разработчики должны явным образом установить атрибут kSecAttrSynchronizable при добавлении записи в Keychain.

iCloud Keychain оперирует двумя хранилищами:

  • com.apple.security.cloudkeychainproxy3
- Bundle ID: com.apple.security.cloudkeychainproxy3;
  • com.apple.sbd3
- Bundle ID: com.apple.sbd (SBD - акроним Secure Backup Daemon).

Первое хранилище предположительно используется для поддержания списка доверенных устройств (устройств в «круге доверия», между которыми разрешена синхронизация паролей), для добавления новых устройств в этот список и для синхронизации записей между устройствами (в соответствии с механизмом, описанным выше).

Второе же хранилище предназначено для резервного копирования и восстановления записей Keychain на новые устройства (например, когда в «круге доверия» нет других устройств) и содержит зашифрованные записи Keychain и сопутствующую информацию.

Таким образом, записи Keychain хранятся в обычном Key/Value-хранилище (com.apple.securebackup.record). Эти записи зашифрованы с помощью набора ключей, хранящегося там же (BackupKeybag). Но этот набор ключей защищен паролем. Откуда берется этот пароль? Что это за служба депонирования паролей Apple? Далее постараемся разобраться.

apple.Dataclass.KeychainSync

Это новый сервис, возник он относительно недавно: впервые его поддержка появилась в бета-версиях iOS 7, затем она отсутствовала в iOS 7.0–7.0.2 и была вновь добавлена в iOS 7.0.3, вышедшей одновременно с релизом OS X Mavericks. Это и есть упомянутая выше служба депонирования паролей (адрес службы - pXX-escrowproxy.icloud.com).

Служба предназначена для безопасного хранения пользовательских секретов и позволяет пользователю после успешной аутентификации восстановить эти секреты. Для успешной аутентификации необходимо следующее:

  • токен аутентификации iCloud, получаемый в обмен на Apple ID и пароль при первичной аутентификации в iCloud (стандартный способ аутентификации для большинства сервисов iCloud);
  • код безопасности iCloud (iCSC);
  • шестизначный цифровой код, передаваемый серверами Apple на номер сотового телефона, ассоциированный с пользователем.

В теории все выглядит хорошо, но, чтобы определить, совпадает ли теория с практикой, нам потребуется провести аудит программы-клиента службы депонирования. В ОС iOS и OS X эта программа носит название com.apple.lakitu . Описание процесса ее реверсинга и аудита выходит за рамки статьи, поэтому сразу переходим к результатам.

Доступные команды

Аудит com.apple.lakitu позволяет определить список команд, реализуемых службой депонирования. На соответствующем скриншоте представлены команды и их описание. Особо хотелось бы остановиться на последней команде - с ее помощью возможно изменить номер телефона, ассоциированный с текущей учетной записью. Наличие этой команды делает многофакторную аутентификацию, используемую при восстановлении iCloud Keychain (пароль Apple ID + iCSC + устройство), заметно менее надежной, так как позволяет исключить один из факторов. Интересно и то, что пользовательский интерфейс iOS не позволяет выполнить эту команду - в нем просто нет такой опции (по крайней мере я ее не нашел).

Особенность данной команды, отличающая ее от всех прочих, в том, что она требует аутентификации с паролем Apple ID и не будет работать, если для аутентификации используется токен iCloud (прочие команды работают при аутентификации по токену). Это служит дополнительной защитой данной команды и показывает, что проектировщики системы предприняли шаги для повышения ее безопасности. Тем не менее не до конца ясно, зачем эта команда вообще присутствует в системе.

Восстановление депонированных данных

Для получения депонированных данных выполняется следующий протокол:

  1. Клиент запрашивает список депонированных записей (/get_records).
  1. Клиент запрашивает ассоциированный телефонный номер, на который сервером будет направлен код подтверждения (/get_sms_targets).
  1. Клиент инициирует генерацию и доставку кода подтверждения (/generate_sms_challenge).
  1. После того как пользователь ввел iCSC и код подтверждения из SMS, клиент инициирует попытку аутентификации с использованием протокола SRP-6a (/srp_init).
  1. После получения ответа от сервера клиент производит вычисления, предписанные протоколом SRP-6a, и запрашивает депонированные данные (/recover).
  1. В случае если клиент успешно аутентифицировался, сервер возвращает депонированные данные, предварительно зашифровав их на ключе, выработанном в процессе работы протокола SRP-6a (если протокол отработал успешно, то и сервер, и клиент вычислили этот общий ключ).

Важно отметить, что номер телефона, полученный на шаге 2, используется исключительно для нужд пользовательского интерфейса, то есть чтобы показать пользователю номер, на который будет отправлен код подтверждения, и на шаге 3 клиент не передает серверу номер, на который следует отправлять код подтверждения.

Secure Remote Password

На шаге 4 клиент начинает выполнение протокола SRP-6a. Протокол SRP (Secure Remote Password) - это протокол парольной аутентификации, защищенный от прослушивания и man-in-the-middle атак. Таким образом, например, при использовании этого протокола невозможно перехватить хеш пароля и затем пытаться восстановить его, просто потому, что никакой хеш не передается.

Apple использует наиболее совершенный вариант протокола, SRP-6a. Этот вариант предписывает разрывать соединение при неудачной аутентификации. Кроме того, Apple позволяет лишь десять неудачных попыток аутентификации для данного сервиса, после чего все последующие попытки блокируются.

Подробное описание протокола SRP и его математических основ выходит за рамки статьи, но для полноты изложения ниже представлен частный вариант, используемый службой com.apple.Dataclass.KeychainSync .

В качестве хеш-функции H используется SHA-256 , а в качестве группы (N , g) - 2048-битная группа из RFC 5054 «Using the Secure Remote Password (SRP) Protocol for TLS Authentication». Протокол выполняется следующим образом:

  1. Устройство генерирует случайное значение a , вычисляет A=g^a mod N , где N и g - параметры 2048-битной группы из RFC 5054 , и отправляет на сервер сообщение, содержащее идентификатор пользователя ID , вычисленное значение A и код подтверждения из SMS. В качестве идентификатора пользователя используется значение DsID - уникальный числовой идентификатор пользователя.
  2. Получив сообщение, сервер генерирует случайное значение b и вычисляет B=k*v + g^b mod N , где k - множитель, определенный в SRP-6a как k=H(N, g) , v=g^H(Salt, iCSC) mod N - верификатор пароля, хранящийся на сервере (аналог хеша пароля), Salt - случайная соль, сгенерированная при создании учетной записи. Сервер отправляет клиенту сообщение, содержащее B и Salt .
  3. Путем несложных математических преобразований клиент и сервер вычисляют общий сессионный ключ K . На этом первая часть протокола - выработка ключа - завершена, и теперь клиент и сервер должны убедиться, что они получили одно и то же значение K .
  4. Клиент вычисляет M=H(H(N) XOR H(g) | H(ID) | Salt | A | B | K) , доказательство того, что он знает K , и отправляет на сервер M и код подтверждения из SMS. Сервер также вычисляет M и сравнивает полученное от клиента и вычисленное значения; если они не совпадают, то сервер прекращает выполнение протокола и разрывает соединение.
  5. Сервер доказывает клиенту знание K путем вычисления и отправки H(A, M, K) . Теперь оба участника протокола не только выработали общий ключ, но и убедились, что этот ключ одинаков у обоих участников. В случае со службой депонирования сервер также возвращает случайный вектор инициализации IV и депонированную запись, зашифрованную на общем ключе K с использованием алгоритма AES в режиме CBC .

Использование SRP для дополнительной защиты пользовательских данных, на мой взгляд, существенно улучшает безопасность системы от внешних атак хотя бы потому, что позволяет эффективно противостоять попыткам перебора iCSC: за одно подключение к сервису можно попробовать только один пароль. После нескольких неудачных попыток учетная запись (в рамках работы со службой депонирования) переводится в состояние soft lock и временно блокируется, а после десяти неудачных попыток учетная запись блокируется окончательно и дальнейшая работа со службой депонирования возможна только после сброса iCSC для учетной записи.

В то же время использование SRP никак не защищает от внутренних угроз. Депонированный пароль хранится на серверах Apple, соответственно, можно предположить, что Apple может при необходимости получить к нему доступ. В таком случае, если пароль не был защищен (например, зашифрован) до депонирования, это может привести к полной компрометации записей Keychain, сохраненных в iCloud, так как депонированный пароль позволит расшифровать ключи шифрования, а они - записи Keychain (обрати внимание на com.apple.Dataclass.KeyValue).

Однако в документе «iOS Security» Apple утверждает, что для хранения депонированных записей используются специализированные аппаратные модули безопасности (Hardware Security Module, HSM) и что доступ к депонированным данным невозможен.

Безопасность депонирования

iCloud предоставляет защищенную инфраструктуру для депонирования Keychain, обеспечивающую восстановление Keychain только авторизованными пользователями и устройствами. Кластеры HSM защищают депонированные записи. Каждый кластер имеет собственный ключ шифрования, использующийся для защиты записей.

Для восстановления Keychain пользователь должен аутентифицироваться, используя имя пользователя и пароль iCloud, и ответить на присланное SMS. Когда это выполнено, пользователь должен ввести код безопасности iCloud (iCSC). Кластер HSM проверяет корректность iCSC, используя протокол SRP; при этом iCSC не передается на серверы Apple. Каждый узел кластера, независимо от других, проверяет, не превысил ли пользователь максимально допустимое количество попыток получения данных. Если на большей части узлов проверка завершается успешно, то кластер расшифровывает депонированную запись и возвращает ее пользователю.

Далее устройство использует iCSC, чтобы расшифровать депонированную запись и получить пароль, использованный для шифрования записей Keychain. При помощи этого пароля Keychain, полученная из Key/Value-хранилища, расшифровывается и восстанавливается на устройство. Допускается лишь десять попыток аутентификации и получения депонированных данных. После нескольких неудачных попыток запись блокируется, и пользователь должен обратиться в службу поддержки для разблокировки. После десятой неудачной попытки кластер HSM уничтожает депонированную запись. Это обеспечивает защиту от брутфорс-атак, направленных на получение записи.

К сожалению, проверить, используются ли HSM на самом деле, не представляется возможным. Если все действительно так и HSM не позволяют прочитать хранящиеся в них данные, то можно утверждать, что данные iCloud Keychain защищены и от внутренних угроз. Но, повторюсь, к сожалению, доказать или опровергнуть использование HSM и невозможность чтения данных из них нельзя.

Остается еще один способ защиты данных от внутренней угрозы - защита депонируемых данных на устройстве перед передачей на серверы Apple. Из описания Apple следует (и реверсинг это подтверждает), что такая защита применяется - депонируемый пароль предварительно зашифровывается при помощи iCSC. Очевидно, что в этом случае уровень безопасности (от внутренней угрозы) напрямую зависит от сложности iCSC и четырехсимвольный iCSC, используемый по умолчанию, не обеспечивает достаточной защиты.

Итак, мы выяснили, как работают отдельные элементы системы, и теперь самое время посмотреть на систему целиком.

Putting it all Together

На схеме представлена работа iCloud Keychain в части депонирования и восстановления записей Keychain. Система работает следующим образом:

  1. Устройство генерирует набор случайных ключей (в терминологии Apple - keybag) для шифрования записей Keychain.
  2. Устройство зашифровывает записи Keychain (имеющие установленный атрибут kSecAttrSynchronizable) с помощью набора ключей, сгенерированного на предыдущем шаге, и сохраняет зашифрованные записи в Key/Value-хранилище com.apple.sbd3 (ключ com.apple.securebackup.record).
  3. Устройство генерирует случайный пароль, состоящий из шести групп по четыре символа (энтропия такого пароля - около 124 бит), зашифровывает набор ключей, сгенерированный на шаге 1, при помощи этого пароля и сохраняет зашифрованный набор ключей в Key/Value-хранилище com.apple.sbd3 (ключ BackupKeybag).
  4. Устройство зашифровывает случайный пароль, сгенерированный на предыдущем шаге, с помощью ключа, полученного из кода безопасности iCloud пользователя, и депонирует зашифрованный пароль службе com.apple.Dataclass.KeychainSync .

При настройке iCloud Keychain пользователь может применять сложный или случайный iCSC вместо предлагаемого по умолчанию четырехзначного кода. В случае использования сложного кода механизм работы системы депонирования не меняется; отличие лишь в том, что ключ для шифрования случайного пароля будет вычислен не из четырехзначного iCSC, а из более сложного, введенного пользователем.

При случайном коде подсистема депонирования пароля не используется вообще. При этом случайный пароль, сгенерированный системой, и является iCSC, и задача пользователя его запомнить и безопасно хранить. Записи Keychain все так же зашифровываются и сохраняются в Key/Value-хранилище com.apple.sbd3 , но служба com.apple.Dataclass.KeychainSync не используется.

Выводы

Можно смело утверждать, что с технической точки зрения (то есть social engineering не рассматриваем) и по отношению к внешним угрозам (то есть не Apple) безопасность службы депонирования iCloud Keychain находится на достаточном уровне: благодаря использованию протокола SRP даже при компрометации пароля iCloud злоумышленник не сможет получить доступ к записям Keychain, так как для этого дополнительно необходим код безопасности iCloud, а перебор этого кода существенно затруднен.

В то же время, используя другой механизм iCloud Keychain - синхронизацию паролей, злоумышленник, скомпрометировавший пароль iCloud и имеющий непродолжительный физический доступ к одному из устройств пользователя, может полностью скомпрометировать и iCloud Keychain: для этого достаточно добавить устройство злоумышленника в «круг доверия» устройств пользователя, а для этого достаточно знать пароль iCloud и иметь кратковременный доступ к устройству пользователя, чтобы подтвердить запрос на добавление нового устройства к «кругу».

Если же рассматривать защиту от внутренних угроз (то есть Apple или кто-либо с доступом к серверам Apple), то в этом случае безопасность службы депонирования выглядит не так радужно. Утверждения Apple об использовании HSM и невозможности чтения данных из них не имеют неопровержимых доказательств, а криптографическая защита депонируемых данных завязана на код безопасности iCloud, при настройках по умолчанию является крайне слабой и позволяет любому, кто в состоянии извлечь с серверов (или из HSM) Apple депонированные записи, практически моментально восстановить четырехзначный код безопасности iCloud.

В случае использования сложного алфавитно-цифрового кода эта атака становится сложнее, так как возрастает количество возможных паролей. Если же iCloud Keychain сконфигурирован использовать случайный код, то служба депонирования вообще не привлекается, что фактически делает этот вектор атаки невозможным.

Максимальный уровень безопасности (не считая полного отключения iCloud Keychain, конечно) обеспечивается при использовании случайного кода - и не столько потому, что такой код сложнее подобрать, сколько потому, что при этом не задействована подсистема депонирования паролей, а следовательно, уменьшается и attack surface. Но удобство этого варианта, конечно, оставляет желать лучшего.

28.04.2018

Ознаменовал для пользователей техники Apple появление ещё одного отличного сервиса в рамках iCloud – синхронизации паролей с помощью «Связки ключей iCloud ». В Apple сделали всё возможное, чтобы упростить настройку и использование данной функции, но у наших читателей всё равно возникает много вопросов об этой новинке.

Что умеет Связка ключей iCloud?

Связка ключей iCloud предлагает:

Вот почему хранение защищенного доступа чрезвычайно важно, и проверка в два этапа точно разработана для него, поэтому очень важно, чтобы мы активировали его как можно скорее. После того, как данные будут записаны, нажмите «Войти». В левом меню нажмите «Пароль» и «Безопасность».

Если у нас их нет, мы можем пропустить этот шаг. После этих первоначальных проверок мы должны начать с конфигурации. Мы вводим наш мобильный телефон, нажимая «Добавить номер телефона». На экране устройства появится уведомление с кодом подтверждения, который мы должны ввести в Интернете, чтобы проверить его. На втором этапе мы покажем наш ключ восстановления. Этот ключ должен записать его в безопасном месте и никогда не потерять. В случае, если у нас возникла проблема с проверкой в ​​два этапа, очень необходимо, чтобы он снова получил доступ к нашей учетной записи.

  • синхронизацию логинов, паролей и данных из форм Safari
  • синхронизацию данных кредитных карт
  • синхронизацию паролей Wi-Fi

Синхронизация работает на Маках с OS X 10.9, iPhone, iPod touch и iPad с iOS 7.0.3. При активации связки ключей в iCloud создаётся единое облачное хранилище , в котором собираются ВСЕ ваши пароли. Все они одновременно доступны со всех ваших устройств, подключённых к этому же аккаунту iCloud .

На этом этапе вы попросите нас ввести наш ключ восстановления. Этот шаг служит для проверки правильности ввода ключа и проблем из-за проблем с написанием проблем. Если мы согласны, мы должны установить флажок, чтобы понять эти условия, и нажать кнопку Активировать проверку в два этапа. Для этого мы должны выполнить следующие шаги.

Мы щелкаем по опции «Пароль» и «Безопасность» в меню слева, а затем по опции «Деактивировать проверку» в два шага, который находится в правом нижнем углу. Вы попросите нас представить три вопроса безопасности, нашу дату рождения и альтернативную электронную почту для восстановления. Это будут данные, необходимые для восстановления пароля, если мы его забудем или заблокированы по какой-либо причине.

Обращаем ваше внимание – на Маках Связка ключей iCloud работает только c Safari! Пользователям Chrome, Firefox или Opera новая функция Apple мало пригодится, потому что плагинов, добавляющих её поддержку, для этих браузеров нет и не будет. Альтернатив Safari на iOS в данном случае тоже нет.

Первоначальная настройка Связки ключей iCloud на Маке

Сразу скажем – для жителей Украины, Беларуси и других стран СНГ, не перечисленных в данном списке, активация Связки ключей с Мака – единственный способ нормально настроить эту функцию.

Всплывающее окно спросит, не обязательно ли мы отключить двухэтапную аутентификацию. Если мы действительно нажимаем кнопку Деактивировать. Наша рекомендация заключается в том, что по возможности мы продолжаем активную проверку в два этапа на наших устройствах.

Это означает, что любой, кто берет на себя учетную запись или исправляет ее, чтобы изменить пароль, может получить доступ к вашей личной информации . В противном случае мы рекомендуем вам как можно скорее изменить его, чтобы включить двухэтапную аутентификацию.

Введите свое имя пользователя и пароль. Если у вас возникли вопросы безопасности, ответьте на них. После успешного входа в систему перейдите в раздел «Пароль и безопасность» на левой панели. Первым вариантом будет двухэтапная аутентификация . Чтобы начать настройку, нажмите «Пуск».

Откройте настройки Мака, перейдите в пульт iCloud, включите галочку «Связка ключей»:

Мак настойчиво предложит вам включить запрос пароля от аккаунта пользователя сразу после пробуждения из режима сна или снятия блокировки экрана – разумеется, в целях дополнительной безопасности . Это предложение можно проигнорировать.

Затем вас попросят создать PIN-код для Связки ключей. По умолчанию это четырёхзначное число, которое нужно запомнить и вводить при подключении каждого нового устройства к вашей Связке ключей:

Теперь вы увидите объяснение того, что такое двухэтапная проверка. В следующем окне вы увидите дополнительную информацию , объясняющую, что такое проверка; учтите, что если вы забудете свой пароль, процесс его восстановления будет долгим и утомительным.

На стороне каждого устройства вы увидите легенду «Проверить». Выберите тот, который вы хотите проверить. Через несколько секунд вы должны ввести 4-значный код на свой мобильный телефон. Введите код на свой компьютер. На веб-сайте вы увидите, что ваше устройство теперь проверено. Вы можете повторить процесс со всеми необходимыми устройствами.

Но и это необязательно. Обратите внимание на кнопку «Дополнительно». Она открывает несколько опций, касающихся PIN-кода:

Первая позволит параноикам задать код любой длины с использованием любых символов, а не только цифр. Вторая сгенерирует код автоматически. Третья вообще позволит отказаться от кода безопасности. Но как будет происходить подтверждение новых устройств в этом случае? Очень просто – с помощью других ваших устройств.

Теперь вам будет предоставлен код восстановления, который необходим для печати и хранения в надежном месте. Этот код спросит вас, если вы забыли свой пароль или когда хотите проверить новый компьютер , поэтому очень важно, чтобы вы сохранили этот код очень хорошо.

Когда вы скопировали этот номер, вы должны ввести его, чтобы подтвердить, что это то же самое. Появится окно, указывающее, что процесс был успешным. Преимущество заключается в том, что вам больше не нужно вводить обычные пароли при каждом восстановлении системы или сетевых настроек . Проведите пальцем по ним, чтобы получить кнопку «Активировать», и сдвиньте кнопку вправо.

После создания PIN-кода или отказа от него настройка завершится.

Начальная настройка Связки ключей на iOS проходит похожим образом – заходите в меню «Настройки-iCloud» и включаете галочку «Связка ключей», после чего создаёте PIN. Проблема в том, что вас заставят вводить номер мобильного телефона , причём из стран СНГ поддерживается только Россия.

Какие данные кредитных карт хранятся в «Связке ключей iCloud»?

Итак, введите свой пароль или создайте его, если это применимо. Это первый раз, когда вы делаете эту настройку на одном из ваших устройств? Затем создайте защитный код . Безопасность требует этого, потому что таким образом вы будете контролировать, какие устройства будут иметь доступ к вашим синхронизированным данным. Вы должны ввести свой код дважды. Если вы решили создать другой пароль, сделайте это с помощью комбинации цифр, прописных и строчных букв.

Не создавайте легкодоступные коды или пароли. Выберите вариант, который вам подходит, коснитесь его и следуйте инструкциям. Введите свой номер телефона или любой другой номер, к которому у вас есть доступ, чтобы подтвердить свою личность. Примечание: запишите свои коды и пароли в безопасном месте и где у вас будет легкий доступ в случае забывания. Без ваших кодов и паролей вы будете полностью заблокированы!

Теперь поговорим о подключении новых устройств к Связке ключей iCloud.

Подключение нового iOS-устройства к Связке ключей iCloud

Зайдите в уже упомянутое выше меню «Настройки-iCloud» и выберите пункт «Связка ключей»:

Согласитесь на включение функции:

Если вы решите не создавать защитный код, вы должны одобрить конфигурацию на каждом новом устройстве. Предупреждение. Это приведет к удалению всех ваших данных. Чтобы настроить, активируйте кнопки «Контакты» и «Имена и пароли». Активируйте эту последнюю кнопку, и вы будете перенаправлены на интерфейс, в котором активировать или не блокировать по коду. Прокрутите меню и активируйте нужные вам кнопки.

Но как только вы делитесь своей учетной записью с другим человеком или регулярно меняете свой смартфон, предел десяти зарегистрированных устройств быстро достигнут, и вы должны выполнить домашнюю работу , чтобы удалить старые. Прокрутите страницу вниз до группы «Мои устройства», чтобы просмотреть список авторизованных устройств.

Вам обязательно нужно будет ввести пароль от аккаунта iCloud:

После этого Связка ключей перейдёт в режим ожидания активации.

Как мы уже сказали, при добавлении нового устройства к вашей Связке ключей iCloud у вас есть две альтернативы:

Нажмите «Отмена авторизации», чтобы удалить старый смартфон , планшет или компьютер. Подтвердите с помощью «Отмена авторизации». Список сводится к фактическим используемым устройствам, поэтому вы можете добавлять новые телефоны, планшеты или другие устройства.

Не удается удалить устройство?

Нажмите крест линии, чтобы отменить авторизацию устройства. Любопытный предел, который может блокировать любителя смартфонов, сбрасывается. На устройстве до его потери. Если вы настроили совместное использование семьи, вы также можете удалить устройства у своих членов семьи. Это гарантирует, что вы единственный человек, который может получить доступ к вашей учетной записи, даже если кто-то знает ваш пароль. Если вы хотите впервые подключиться к новому устройству, вы должны предоставить две части информации: свой пароль и шестизначный код подтверждения, который автоматически появляется на ваших доверенных устройствах.

  • ввести PIN-код
  • подтвердить подключение с другого устройства

На iOS-устройстве вы увидите кнопку «Подтвердить с кодом», нажав на которую, вы сможете ввести PIN и немедленно активировать функцию:

Запасной вариант – подтверждение с другого устройства. Как только вы попытаетесь включить Связку ключей iCloud на одном из своих устройств, на все другие гаджеты, подключённые к этому же аккаунту iCloud и этой же Связке ключей, придут уведомления:

Введя этот код, вы подтверждаете, что новое устройство надежно. Код подтверждения запрашивается только один раз для каждого нового устройства, если вы полностью не отсоединяетесь от него, не удаляете его данные или не изменяете свой пароль по соображениям безопасности. Если вы получаете доступ к своей учетной записи в браузере, вы можете утвердить свою учетную запись, чтобы вам не вводить код при каждом соединении.

Доверенные номера телефонов

Он позволяет получить код подтверждения, который затем можно использовать для проверки вашей личности при доступе к вашей учетной записи с помощью нового устройства или браузера. При активации двухфакторной идентификации необходимо предоставить хотя бы один доверенный номер.


Но это не просто уведомление. Нажав на баннер, вы попадёте в настройки iCloud , где вам предложат ввести пароль от аккаунта в качестве подтверждения согласия на добавление нового устройства к вашей Связке ключей. После ввода пароля на любом другом вашем устройстве новый гаджет считается окончательно подключённым, синхронизация паролей через Связку ключей iCloud начнётся.

Включить двухфакторную идентификацию в настройках

Однако мы советуем вам предоставить другие легко доступные номера . Они позволят вам войти в свою учетную запись, даже если у вас временно нет доступа к вашим собственным устройствам.

Введите и подтвердите свой надежный номер телефона

Введите номер телефона, который вы хотите использовать для получения кодов подтверждения при входе в систему.

Работает ли функция «Связка ключей iCloud» с программами сторонних производителей?

Введите подтверждающий код, чтобы подтвердить свой номер телефона и включить двухфакторную идентификацию. В этом случае эта функция уже включена. Если вы уже используете двухэтапную проверку и хотите выбрать более безопасный метод . Если ваша учетная запись не может извлечь выгоду из двух идентификаторов факторов, вы все равно можете использовать учетную запись для защиты своей информации.

Подключение нового Мака к Связке ключей iCloud

Процесс идентичен тому, что был описан в предыдущей главе обзора. Вы переходите в настройки OS X, в пульт iCloud и включаете Связку ключей. Вводите пароль от аккаунта iCloud.



Информация, которую следует учитывать при использовании двухфакторной идентификации

После включения этой функции доступ к вашей учетной записи могут получить только те, у кого есть пароль, ваши устройства или доверенные номера. Чтобы ваша учетная запись была максимально безопасной и не потеряла доступ, выполните следующие действия .

Обновление списка доверенных номеров

  • Защитите все устройства с помощью кода доступа.
  • Обновите свои номера доверия.
  • Храните надежные устройства в надежном месте.
Чтобы использовать двухфакторную идентификацию, вы должны предоставить по крайней мере один доверенный номер телефона для получения кодов подтверждения.

Ввод PIN-кода в особых пояснениях не нуждается:


Если не хотите вводить PIN, Мак останется в режиме ожидания активации:


Пропустить уведомление о необходимости подтверждения нового устройства довольно трудно – и в OS X, и в iOS оно будет висеть на виду:

Вы можете изменить свои доверенные номера, выполнив следующие действия. В разделе «Безопасность» нажмите «Изменить». . Чтобы добавить номер, нажмите «Добавить номер доверия», а затем введите номер. Чтобы удалить доверенный номер, щелкните значок рядом с ним.

Управление надежными устройствами

Создание паролей для приложений

Для этого нажмите «Код», который не получен на экране входа в систему, а затем попросите отправить код на доверенный номер. Если вы не можете подключиться, сбросить пароль или получить коды подтверждения, следуйте инструкциям. Опция восстановления учетной записи позволяет вам решать проблемы подключения к вашему аккаунту, защищая свою учетную запись от несанкционированного доступа. В зависимости от информации, которую вы можете предоставить для подтверждения вашей личности, может потребоваться несколько дней, прежде чем вы сможете снова получить доступ к своей учетной записи.

Известно, что устройства Apple допускают двухшаговую авторизацию. Этот метод обеспечения безопасности выполняет по крайней мере две проверки при аутентификации - пароля и доверенного устройства - для доступа к аккаунту.

Нужно ли еще запоминать проблемы безопасности?

При двухфакторной идентификации нет необходимости выбирать или запоминать проблемы безопасности. Ваша личность проверяется исключительно вашим паролем и кодами подтверждения, отправленными на ваши надежные устройства и номера телефонов. Когда вы включаете двухфакторную идентификацию, мы сохраняем ваши старые вопросы безопасности в течение двух недель в наших файлах, если вам нужно настроить свою учетную запись с предыдущими настройками безопасности. Через две недели они удаляются.

Двухшаговая, или как ещё её называют, двухфакторная аутентификация (2FA) обеспечивает надёжную защиту данных, поскольку для её прохождения требуется не только знание пароля, но и физический доступ к одному из ключей, в нашем случае это iPhone или iPad.

Нет нужды говорить, что мы настоятельно рекомендуем использовать её на любом аккаунте, на котором это только возможно. Более того, если сервис не поддерживает 2FA, следует дважды подумать, прежде чем им пользоваться, если вам важна безопасность ваших данных.

Если двухшаговая аутентификация включена на вашем Apple ID (что, по-хорошему, нужно бы сделать), то вы, скорее всего, встречались с окном, которое просит вас подтвердить, что вы являетесь владельцем данного аккаунта . На этом экране должны быть перечислены какие-то из ваших устройств Apple и хотя бы один заверенный телефонный номер . Эти устройства выступают в качестве ключей доступа.

Вы когда-нибудь интересовались, каким требованиям должны удовлетворять устройства в списке? Или, может быть, нужно было добавить или удалить устройство из этого списка? В этом туториале мы расскажем об управлении доверенными устройствами для 2FA.

Как добавить доверенное устройство

Чтобы добавить устройство в качестве одного из ключей аутентификации, нужно просто включить службу Найти iPhone на вашем iPhone, iPad или iPod Touch . Как только вы включите функцию, устройство автоматически добавится в список доверенных. После этого вам нужно будет подтвердить добавление этого устройства.

Шаг 1: Залогиньтесь в iCloud и включите службу Найти iPhone на устройстве, которое желаете сделать доверенным, в Настройки > iCloud.

Шаг 2: В Safari залогиньтесь на Мой Apple ID , пройдите в Пароль и безопасность >



Шаг 4: На это устройство придёт четырёхзначный код подтверждения.

Введите этот код в появившееся в Safari поле и нажмите Подтвердить устройство.


Теперь вы можете убедиться, что устройство верифицировано как доверенное. Теперь всякий раз, когда нужно будет воспользоваться двухшаговой аутентификацией для логина в Apple ID, вы можете применять это устройство в качестве ключа.


Как удалить доверенное устройство

Неудивительно, что устройства также можно удалять из списка доверенных. Когда вы выходите из iCloud или отключаете Найти iPhone, ваше устройство перестаёт быть доверенным, но всё равно отображается в списке как возможное доверенное.

Шаг 1: Выключите функцию Найти iPhone.


Шаг 2: В Safari залогиньтесь на Мой Apple ID, пройдите в Пароль и безопасность > Добавить или удалить доверенное устройство.



Подтвердите удаление.


Вот, в общем-то, и всё. Таким простым образом добавляются и удаляются доверенные устройства для двухшаговой идентификации. Вам предстоит часто работать с этим списком, особенно если вы любите постоянно выходить из аккаунтов и использовать разные девайсы.

«Связка ключей iCloud» – технология хранения и синхронизации конфиденциальных данных на iPhone, iPad, iPod Touch и компьютерах Mac. В разряд сохраняемой информации попадают следующие позиции: логины и пароли для новостных и развлекательных ресурсов, социальных сетей; добавленные кредитные карты для оплаты, ключи для авторизации в защищенных точках Wi-Fi.

С недавних пор разработчики из Apple передают между разными устройствами и данные из сторонних приложений – «Календарей», «Контактов», «Почты» и сообщений «iMassage». Главная идея «Связки ключей iCloud» – предоставить пользователям услуги защищенного (256-битное шифрование AES) менеджера паролей, работающего с любыми данными и позволяющего не запоминать информацию, а соглашаться на автоматическое заполнение доступных текстовых форм для авторизации или оплаты.

Как настроить и пользоваться?

Технология – связка ключей iCloud – доступна на операционной системе iOS? начиная с версии 7.0.3 и на MacOS с Mavericks 10.9, и открыта практически во всех регионах мира (подробнее об ограничениях разработчики пишут в специальном разделе на официальном сайте Apple). Если условия сходятся, осталось пройти по пунктам первоначальной настройки:

  1. На iPad, iPhone и iPod Touch открыть «Настройки» и перейти к редактированию текущего профиля iCloud;
  2. В нижней части доступного меню найти пункт «Связка ключей», а затем перевести ползунок в активное положение;

  4. На компьютерах Mac процедура еще проще – зайти в «Системные настройки iCloud» и проставить галочку напротив одноименного пункта;

  6. Если система попросит авторизоваться – придется ввести данные от текущего аккаунта Apple ID;
  8. Если в профиле активна двухфакторная авторизация, то придется подтвердить действия на соседнем, добавленным к профилю, гаджете (необходимо ввести 6-значный код и разрешить работу над настройками iCloud).

Если с повторением описанных действий не возникло проблем, и появилось желание опробовать систему хранения и синхронизации данных, то остается разобраться в деталях.

  1. Заглянуть в «Настройки», спуститься ниже по меню до пункта «Пароли и учетные записи»;
  2. Открывшийся раздел позволит просмотреть текущие учетные записи, добавленные в систему (iCloud, возможно, Gmail или же какая-нибудь электронная почта отечественного производства). В верхней части появится новое меню – «Пароли сайтов и программ». Тут и записаны данные для быстрой авторизации, используемые в технологии «Связка паролей iCloud»;
  3. Поэтому если появилось желание опробовать систему, необходимо попасть внутрь, а затем – нажать на плюсик в верхней части меню. После чего, на экране отобразится небольшая форма для последующего взаимодействия. Важно ввести адрес веб-сайта (подойдет и главная страница, необязательно сильно углубляться и добавлять ссылку на раздел с личным кабинетом, система во всем разберется без лишней помощи), а затем логин и пароль;
  4. После сохранения данные отобразятся в меню «Пароли сайтов и программ», и станут активны для использования при авторизации. Каким образом? Элементарно! Необходимо перейти на страницу сайта, добавленного в связку и обратиться к текстовой форме для входа. Дальше остается нажать на свободное место для ввода, и на экране появится сенсорная клавиатура, а вместе с ней – специальный пункт, который называется «Использовать…». При желании можно обратиться напрямую к кнопке, изображающей ключ, если данных для входа – несколько, и нужно выбрать какой-то определенный вариант;
  5. Подобным же образом работает и оплата – данные от уже используемых карточек прикрепляются автоматически и позволяют совершать безопасные платежи в любой момент времени.

И еще – функция спокойно работает со всеми сторонними приложениями. Тот же браузер от Google Chrome, вызывает «Связку ключей» и спокойно берет необходимые данные. Подобным же образом легко авторизоваться в App Store, iTunes и в сервисах iCloud.

Вопросы и ответы

Как ускорить процесс ввода данных?

Поставить галочку в «Настройках» в разделе «Пароли и учетные записи» напротив пункта «Автозаполнение». Если система встретит уже знакомый ресурс, то сразу же попытается заполнить поле «логин и пароль». На смартфонах, начиная с версии 5S, придется приложить палец к сканеру отпечатка Touch ID, до 5S – ввести проверочный код. На iPhone X все сработает мгновенно – лицо сканируется автоматически.

Безопасна ли «Связка ключей»?

Как подсказывают разработчики из Apple пробиться через 256-битное шифрование практически невозможно, ведь данные для шифрования генерируются для каждого устройства отдельно, в соответствии с выбранными настройками и введенными паролями. Подробнее о протоколах защиты можно прочитать на .

Если отключить «Связку ключей iCloud», что произойдет?

Система предложит два варианта действий – удалить сохраненные данные или же заархивировать для дальнейшего использования, если технология снова понадобится.

Как настроить автоматическое заполнение данных о банковской карте в Safari?

Порядок действий элементарен:

Как восстановить доступ к iCloud?

Лучший способ – обратиться в службу поддержки. Профессиональные консультанты расскажут, как воспользоваться штатной функцией восстановления, а заодно направят в нужное русло, если ничего не получается.

Двухфакторная аутентификация - это дополнительный уровень безопасности Apple ID, который гарантирует, что доступ к вашей учетной записи сможете получить только вы, даже если пароль известен кому-либо еще.

Как это работает

При использовании двухфакторной аутентификации доступ к учетной записи возможен только с доверенных устройств iPhone, iPad или Mac. При первом входе на новом устройстве вам потребуется предоставить два вида информации: ваш пароль и шестизначный цифровой проверочный код, который автоматически отображается на доверенных устройствах. После ввода кода новое устройство включается в число доверенных устройств. Например, если у вас есть устройство iPhone, то при первом входе в учетную запись на недавно приобретенном компьютере Mac вам будет предложено ввести пароль и проверочный код, который автоматически отобразится на экране вашего iPhone.

Поскольку для доступа к учетной записи при двухфакторной идентификации недостаточно только знания пароля, безопасность вашего Apple ID и хранимых на серверах Apple данных существенно возрастает.

После выполнения входа код подтверждения больше не будет запрашиваться на этом устройстве, пока не будет полностью выполнен выход, не будут стерты все данные на устройстве или пока не потребуется сменить пароль из соображений безопасности. При выполнении входа через Интернет можно указать, что браузер является доверенным, и в следующий раз при выполнении входа с этого компьютера код подтверждения не будет запрашиваться.

Проверенные устройства

Проверенным устройством может быть iPhone, iPad или iPod touch с ОС iOS 9 или более поздней версии либо компьютер Mac с ОС OS X El Capitan или более поздней версией, в систему которого был выполнен вход с использованием двухфакторной аутентификации. Это устройство, для которого нам известна его принадлежность вам, и которое можно использовать для проверки личности путем отображения кода подтверждения Apple при выполнении входа с другого устройства или браузера.

Проверенные номера телефонов

Проверенный номер телефона - это номер, который можно использовать для получения кодов подтверждения посредством текстовых сообщений или автоматических телефонных звонков. Необходимо подтвердить не менее одного доверенного номера телефона, чтобы иметь доступ к двухфакторной аутентификации.

Также следует рассмотреть вариант подтверждения других доверенных номеров, к которым вы можете получить доступ, например домашний телефон или номер, используемый членом семьи или близким другом. Можно использовать эти номера, если временно отсутствует доступ к собственным устройствам.

Код подтверждения отличается от, вводимого для разблокирования iPhone, iPad и iPod touch.

Настройка двухфакторной аутентификации для идентификатора Apple ID

В настоящее время двухфакторная аутентификация доступна пользователям iCloud, у которых по крайней мере на одном устройстве используется ОС iOS 9 либо OS X El Capitan или более поздней версии. .


Ввод и подтверждение доверенного номера телефона

Укажите номер телефона, на который необходимо получать проверочные коды при входе в систему. Можно выбрать получение кодов в виде текстовых сообщений или автоматических телефонных звонков.

Введите проверочный код, чтобы подтвердить номер телефона и включить двухфакторную аутентификацию.

На компьютере Mac с ОС OS X El Capitan или более поздних версий выполните следующие действия.


  1. Перейдите в меню Apple > «Системные настройки » > iCloud > «Учетная запись».
  2. Щелкните значок «Безопасность».
  3. Щелкните «Включить двухфакторную аутентификацию».

Некоторые идентификаторы Apple ID, созданные в ОС iOS 10.3 или macOS 10.12.4 и более поздних версий, защищены двухфакторной аутентификацией по умолчанию. В этом случае двухфакторная аутентификация будет уже включена.

Если вы применяете двухэтапную проверку и хотите повысить уровень безопасности, .

Если для вашей учетной записи нельзя включить двухфакторную аутентификацию, вы все же можете защитить свою информацию.

Что следует помнить при использовании двухфакторной аутентификации

Двухфакторная аутентификация значительно усиливает защиту Apple ID. После включения этой функции для выполнения входа в учетную запись потребуется пароль и доступ к проверенным устройствам или проверенному номеру телефона. Чтобы обеспечить максимальную защиту своей учетной записи и постоянный доступ, существует несколько простых рекомендаций , которым необходимо следовать:

  • Запомните свой пароль Apple ID.
  • Используйте код-пароли для всех своих устройств.
  • Своевременно обновляйте проверенные номера телефонов.
  • Обеспечивайте физическую безопасность проверенных устройств.

Управление учетной записью

Можно управлять своими проверенными номерами телефонов, проверенными устройствами и другой информацией об учетной записи на.

Своевременное обновление проверенных номеров телефонов

Для использования двухфакторной аутентификации потребуется наличие в базе данных хотя бы одного проверенного номера телефона, на который можно получать коды подтверждения. Чтобы обновить проверенные номера телефонов, выполните следующие действия.

  1. Перейдите в раздел «Безопасность» и щелкните «Правка».

Если необходимо добавить номер телефона, щелкните «Добавить проверенный номер телефона» и введите номер телефона. Выберите способ подтверждения номера (текстовым сообщением или автоматическим телефонным звонком) и нажмите «Продолжить». Чтобы удалить проверенный номер телефона, щелкните рядом с номером телефона, который необходимо удалить.

Просмотр проверенных устройств и управление ими

Можно просматривать список проверенных устройств и управлять им в разделе «Устройства» страницы учетной записи Apple ID .

  1. Перейдите на страницу своей учетной записи Apple ID.
  2. Выполните вход, указав идентификатор Apple ID.
  3. Перейдите в раздел «Устройства».

Создание паролей для программ

При использовании двухфакторной аутентификации для выполнения входа в учетную запись из сторонних программ и служб, например из программ для работы с электронной почтой, контактами или календарями, которые разработаны не компанией Apple, потребуются. Чтобы создать пароль для программы, выполните следующие действия.

  1. Войдите на страницу учетной записи Apple ID .
  2. Нажмите кнопку «Создать пароль» в разделе «Пароли приложений».
  3. Следуйте инструкциям на экране.

После создания пароля для программы введите или вставьте его в поле ввода пароля в программе обычным способом.

Справка и часто задаваемые вопросы

Нужна помощь? Возможно, вы найдете ответы на свои вопросы ниже.

Это отличается от текущей двухэтапной проверки Apple?

Да. Двухфакторная аутентификация встроена непосредственно в iOS, macOS, tvOS, watchOS и веб-сайты компании Apple . В ней используются другие методы подтверждения проверенных устройств и предоставления кодов подтверждения и оптимизируется работа в целом. Двухфакторная аутентификация обязательна для использования определенных функций , требующих повышенной безопасности.

Что делать, если у меня нет доступа к проверенному устройству или код подтверждения не был получен?

При выполнении входа, когда под рукой нет доверенного устройства, на котором отображается код подтверждения, код отправляется на проверенный номер телефона посредством или автоматического телефонного звонка . Щелкните «Код не получен» на экране входа и выберите отправку кода на проверенный номер телефона. Также код можно получить непосредственно на проверенном устройстве в меню «Настройки». .

Как восстановить доступ к учетной записи, если не удается выполнить вход?

Если не удается выполнить вход, сброс пароля или получить коды подтверждения, можно. Восстановление учетной записи - это автоматический процесс, который поможет вам как можно быстрее получить доступ к учетной записи и предотвратить возможный доступ других пользователями якобы от вашего имени. Это может занять несколько дней - или больше - в зависимости от того, насколько точную информацию об учетной записи вы можете предоставить для подтверждения своей личности.

Нужно ли теперь запоминать ответы на контрольные вопросы?

Нет. При использовании двухфакторной аутентификации вам не понадобится выбирать контрольные вопросы и запоминать ответы на них. Ваша личность устанавливается исключительно с помощью пароля и проверочных кодов, присылаемых на ваши устройства и доверенные номера телефонов. Когда вы начинаете использовать двухфакторную аутентификацию, мы храним ваши контрольные вопросы в течение двух недель на случай, если вам необходимо будет вернуть старые настройки безопасности для своей учетной записи. После этого вопросы будут удалены.

Может ли служба поддержки Apple помочь мне восстановить доступ к моей учетной записи?

Такой метод аутентификации, помимо пароля, всегда требует подтверждение личности при помощи доверенного устройства. Просто зная логин и пароль в ваш аккаунт не зайти.



Двухэтапная аутентификация работает для :

  • входа на страницу учетной записи Apple ID;
  • входа в iCloud или на сайт iCloud.com с нового устройства;
  • входа в iMessage, Game Center или FaceTime;
  • покупок в iTunes Store , App Store или iBooks Store на новом устройстве;
  • получения информации по идентификатору Apple ID в поддержке Apple.

Чтобы включить двухэтапную аутентификацию для Apple ID :

  1. Зайдите на сайт appleid.apple.com и залогиньтесь со своим Apple ID;
  2. Безопасность → Двухэтапная проверка → Настроить ;
  3. Введите ответы на контрольные вопросы.
  4. Введите номер своего мобильного телефона , на который придет проверочный код;
  5. Введите проверочный код в появившемся поле браузера;
  6. Выберите и списка ваши устройства, которые можно использовать для авторизации;
  7. Сохраните Ключ восстановления .


Ключ восстановления - сверхважная штука, его надо обязательно куда-то сохранить. Проблема в том, что скопировать этот ключ сочетанием Cmd C нельзя. Поэтому придется записать его руками или сделать скриншот. Многие делают скриншот и он просто теряется. На этом как-то попался и я. Поэтому обязательно сохраните его в 1Password.

ЧИТАЙТЕ ТАКЖЕ :

Ключ восстановления важен ещё потому, что злоумышленник может наломать дров не заходя в аккаунт. Если он подберёт пароль, а потом несколько раз от балды введет проверочный код, то аккаунт заблокируют. Снять блокировку можно будет только ключом восстановления.

Недавно я сам на этом попался, когда купил в аэропорту новый iPad Pro и попытался настроить его прямо там. У меня была включена двухэтапная проверка, но из-за плохого интернета коды не доходили. Я пробовал отправлять их несколько раз на iPhone и в виде SMS на номер телефона. Безуспешно. В итоге мой аккаунт заблокировали и предложили разблокировать ключам восстановления. Конечно же, их у меня не оказалось. Так что активация новенького iPad на этом и остановилась. Мне пришлось ждать час, чтобы система дала возможность снова отправить одноразовый пароль. Если бы я потерял свой телефон, то аккаунту пришел бы писец на все время нахождения за границей, пока бы я не восстановил SIM-карту.

Итак, ещё раз. Если двухэтапная проверка включена :

  • Для управления Apple ID вам каждый раз потребуется выполнить два из трех условий: ввести пароль, использовать проверенное устройство или указать ключ восстановления;
  • Если вы забудете свой пароль, для его сброса понадобятся ключ восстановления и проверенное устройство. Apple не сможет сбросить или изменить пароль от вашего имени.

Как изменить ключ восстановления от Apple ID

Если вы не знаете свой ключ восстановления - не беда. Его можно изменить в любой момент, но только если есть доступ к Доверенному устройству. Для этого:

  1. Зайдите на сайт appleid.apple.com
  2. Безопасность → Изменить → Заменить утерянный ключ ;
  3. Сохраните ключ (скриншот, заметка);
  4. Введите новый ключ в появившееся поле, чтобы он набрал силу.

Еще раз обращаю внимание, что ключ скопировать нельзя. Сделайте скриншот и сохраните его в менеджер паролей 1Password, либо запишите его в другое надежно место.

Как добавить доверенное устройство

  1. Зайдите на сайт appleid.apple.com и залогинитесь со своим Apple ID;
  2. Безопасность → Проверенные устройства → Проверить ещё одно устройство;
  3. В этом списке будут все ваши устройства с включённой функцией «Поиск iPhone». Если нужного устройства нет, попробуйте его разблокировать и обновить список;
  4. Выберите нужное устройство;
  5. Введите в форму код, который отобразится на его экране.


Что в итоге

После всех этих манипуляций у вас должно получится следующее:

  1. Хороший пароль Apple ID для входа в iCloud, Apple Music , App Store и т.п.;
  2. Двухэтапная аутентификация при которой нужно иметь доступ к проверенному устройству или мобильному номеру телефона для изменения каких либо настроек Apple ID, входа iCloud на незнакомых устройствах.

Чтобы иметь доступ к сервисам Apple, каждый пользователь должен зарегистрировать аккаунт, который принято называть Apple ID. Как и любой другой аккаунт, этот также состоит из логина и пароля. Как логин используется электронный адрес , который пользователи "светят" всегда и везде, поэтому его узнать несложно. Учитывая большой набор программ для подборки и взлома пароля, получить доступ к Apple ID сегодня можно. В Apple это понимают, поэтому предлагают пользователям актуальную сегодня защиту - двухэтапную аутентификацию. Правда, для этого нужен специальный код , и многие пользователи банально не знают, куда ввести код проверки Apple ID.

Кстати, Apple предлагает двухэтапную проверку для пользователей iOS 8 (и предыдущих), а для тех, кому повезло больше (для iOS 9 и старше), двухэтапную аутентификацию. Все равно следует знать, куда вводить код проверки Apple ID, ведь оба способы похожи друг на друга.

Что собой представляет двухэтапная проверка?

Это дополнительная защита , благодаря которой никто не получит доступ к Apple ID даже в том случае, если он знает пару логин/пароль. Для доступа все равно понадобится конкретный набор чисел, которого у него не будет.

Если вы не знаете, куда ввести код проверки Apple ID, то смотрите следующую инструкцию.

  1. Переходим на официальный сайт appleid.apple.com. Вводим логин и пароль, секретный шифр.
  2. Изучаем информацию про проверку, которая выдается автоматически. Далее жмем "Продолжить". Может такое быть, что информация о двухэтапной проверке не будет выводиться. Найти ее можно в разделе "Изменить - Безопасность - Настроить - Двухэтапная проверка".
  3. В следующем окне необходимо ввести номер телефона. На него будут приходить коды в СМС для выполнения проверки. Необязательно выбирать свой номер телефона. Можно указать номер родителей, жены и т. д.
  4. На следующей странице необходимо проверить указанный вами телефон. Вам должен прийти код в СМС. Вводите его в появившееся окно. Если его нет, то нажимайте на кнопку "Отправить код повторно".
  5. После ввода кода программа предложит выбрать вспомогательные гаджеты для получения проверочного кода. Тут можно указать дополнительные доверенные смартфоны. Каждый доверенный смартфон придется подтвердить по СМС.
  6. После подтверждения вы увидите ключ восстановления. Он сложный и неизменяемый. Его нужно сохранить в надежном месте - он будет использоваться в том случае, если вы вдруг забудете пароль к своему аккаунту Apple ID или просто потеряете доверенный смартфон.
  7. В следующем окне придется снова ввести код восстановления. Это кому-то может показаться странным, но это нормально. Такой шаг акцентирует внимание пользователя на важности ключа. Укажите код с листка, не копируя его программным методом.
  8. Последнее - принимаем условия проверки.


Теперь всё. Проверка активирована. Теперь при попытке входа в аккаунт Apple ID будет необходим код проверки Apple ID. Куда вводить его, вы теперь знаете. Знает и злоумышленник, но войти в аккаунт он не сможет, т. к. у него просто не будет доверенного смартфона.

Кстати, лучше всего указывать доверенный телефон не свой, а близкого родственника. Если вдруг кто-то украдет ваш айфон, то он легко сможет зайти в Apple ID, ведь проверочный код придется на этот же телефон.

Двухэтапная аутентификация


Практических отличий между проверкой и аутентификацией нет. По крайней мере пользователь их не заметит. В обоих случаях нужно знать, куда необходимо вводить код проверки Apple ID. В обоих случаях на телефон приходит СМС с проверочным кодом , после указания которого открывается доступ к аккаунту.

Включается аутентификация в настройках. Там есть пункт меню "Пароль и...". Также аутентификация может быть доступной в настройках iCloud , во вкладке Apple ID - "Пароль и безопасность". Жмем на "Включить". Защита будет включена, но еще не активирована.

Теперь нам нужно настроить аутентификацию. Вводим доверенный номер, дожидаемся кода, подтверждаем смартфон. Теперь защита активирована, далее нужно разобраться, куда ввести код проверки Apple ID. При входе в любой сервис Apple нужно будет указать логин, пароль. А уж затем будет отправлен код в СМС. Его нужно ввести после пары логин/пароль.

В чем разница?


Несложно заметить, что практически отличия между двухэтапной проверкой и аутентификацией отсутствуют. В обоих случаях для входа необходим код проверки Apple ID, так в чем же разница?

В Apple утверждают, что двухэтапная аутентификация является более надежной и современной защитой. И хотя пользователь не видит разницы, система аутентификации более эффективно проверяет устройства и рассылает коды подтверждения. В целом оптимизация гораздо лучше.

Теперь вы знаете, куда нужно ввести код проверки Apple ID. Но прежде защиту нужно включить.

Вывод

Настоятельно рекомендую использовать эту защиту. Вне зависимости от того, какая у вас операционная система (старая или новая), используйте двухэтапную аутентификацию или проверку, т. к. эта защита сводит на нет любые усилия воров разузнать доступ к аккаунту. Ну а если вы не знаете, куда ввести код проверки Apple ID, то с этим проблем не возникнет, ведь пользовательский интерфейс настолько прост, что разобраться сможет даже ребенок.

Узнайте, что делать, если вы забыли код безопасности iCloud для службы «Связка ключей iCloud».

Если вы неправильно ввели код безопасности iCloud слишком много раз при использовании службы «Связка ключей iCloud», она будет отключена на данном устройстве , а связка ключей в iCloud будет удалена. Возможен вывод одного из следующих сообщений.

  • «Код безопасности неудачно введен слишком много раз. Подтвердите этот iPhone с одного из других Ваших устройств, использующих Связку ключей iCloud. Если устройства отсутствуют, сбросьте Связку ключей iCloud.»
  • «Произведено слишком много попыток ввода Вашего кода безопасности iCloud. Подтвердите этот компьютер Mac с одного из других Ваших устройств, использующих Связку ключей iCloud. Если устройства отсутствуют, сбросьте Связку ключей iCloud.»

Если используется, то устройство считается доверенным при выполнении входа. Вводить код безопасности iCloud для использования службы «Связка ключей iCloud» не требуется.

Если есть доступ к проверенному устройству, которое использует службу «Связка ключей iCloud»

Можно создать новый код безопасности iCloud на другом устройстве, которое также использует службу «Связка ключей iCloud».

На устройстве iPhone, iPad или iPod touch:

На компьютере Mac с ОС OS X Yosemite или более поздней версии

На устройстве, на котором отключена служба «Связка ключей iCloud», создайте новую связку ключей iCloud, которая будет содержать имя пользователя, пароли и другие объекты связки ключей на устройстве:

На устройстве, на котором вы создали новый код безопасности iCloud, откроется окно для подтверждения. Одобрите добавление новой связки ключей iCloud для устройства.

Если нет доступа к устройству, которое использует службу «Связка ключей iCloud»

Чтобы сбросить настройки службы «Связка ключей iCloud», выполните следующие действия.

Похожие публикации: