В этом году команда Apple, которая занимается безопасностью iOS, предложила изменить формат одноразовых SMS-паролей, чтобы сделать более безопасным вход с помощью двухфакторной авторизации. Реализовали функцию практически сразу же: Apple подтвердила, что изменения появятся уже в iOS 14 и macOS Big Sur. С их помощью пользователям будет сложно зайти на фальшивые сайты, даже если они полностью воссоздают настоящие. А все потому, что коды, отправленные по SMS для входа по двухфакторной авторизации, будут привязаны к конкретному адресу в сети.
Безопасность iOS 14
В iOS 14 и macOS Big Sur автоматическое заполнение кода двухэтапной аутентификации будет возникать только в том случае, если сайт, на котором предлагается ввести этот код, или приложение совпадает с привязанным доменом. К примеру: пользователь получил код по SMS, связанный с адресом twitter.com, чтобы войти в Твиттер. В iOS 14 и macOS Big Sur этот код можно будет автоматически заполнится только в официальном приложении или на сайте Twitter.
Это еще один способ защиты от хакеров, которые часто обманывают пользователей, создавая поддельные сайты. Если код автоматически не будет заполнен на сайте, пользователь поймет, что перед ним не настоящий сайт, а его подделка.
Например, если вы получено сообщение, которое связано с сайтом example.com, автозаполнение будет работать только на этом сайте, а также с любым поддоменом или приложением, связанным с example.com. Если в SMS упоминается сайт вроде example.net, автозаполнения уже не будет.
Компании, необходимо сделать привязку кодов к своим сайтам и приложениям в соответствии с документацией Apple. Хотя обычные коды двухфакторной аутентификации будут продолжать работать, Apple рекомендует разработчикам обновить коды до нового стандарта.
Еще один способ, выманивания логинов и паролей пользователей — фальшивые письма. Пользователю приходит письмо как будто от Apple, он авторизуется, и злоумышленники получают доступ к его Apple ID. Двухфакторная авторизация может защитить от этого. В любом случае стоит быть внимательным, если потратить хотя бы 30 секунд на изучение письма, можно сразу выявить мошенников. Здесь мы рассказали, как можно это сделать.
При получении таких писем пересылайте их на reportphishing@apple.com.
Можно ли убрать пароли?
В этом году Apple присоединилась к альянсу Fido — это организация, которая хочет добиться избавления от паролей. Предложение Fido состоит в том, что доверенные устройства должны в будущем быть вместо паролей. Это будет реализовано так же, как двухфакторная аутентификация (2FA) с применением устройств Apple. Когда вы пытаетесь войти на новое устройство Apple с вашим Apple ID, компания отправляет код на доверенное устройство, и вы вводите этот код.
Только одно из доверенных устройств может подать запрос на аутентификацию, и только одно ваше доверенное устройство может подтвердить этот запрос. Так как хакеру нужен доступ сразу к обоим гаджетам (и их пароли!). Например, им нужен ваш iPhone и его пароль, а также ваш Mac и его пароль.
Хотя экосистема Apple ограничена собственными устройствами, альянс хочет, чтобы все производители присоединились к этому движению. Поэтому вы также сможете авторизоваться на смартфоне Android, планшете Android, Chromebook, Windows PC или любом другом доверенном устройстве. Другой член правления Fido, Nok Nok Labs, уже предлагает SDK для Apple Watch.