מידע על האבטחה של מפתחות התחברות

מפתחות התחברות הם תחליף לסיסמאות. הם מאפשרים התחברות מהירה יותר, קלים יותר לשימוש ומאובטחים הרבה יותר.

מפתחות התחברות הם תחליף לסיסמאות. הם מיועדים לספק חוויית התחברות ללא סיסמה לאתרי אינטרנט ולאפליקציות, שהיא גם נוחה יותר וגם מאובטחת יותר. מפתחות התחברות הם טכנולוגיה מבוססת-תקן, ובניגוד לסיסמאות, הם עמידים בפני דיוג, תמיד חזקים, ומתוכננים כך שאין סודות משותפים. מפתחות התחברות מפשטים את רישום החשבון עבור אפליקציות ואתרי אינטרנט, הם קלים לשימוש ועובדים בכל מכשירי Apple, ואפילו במכשירים שאינם של Apple שנמצאים בקרבה פיזית.

אבטחת אישורים

מפתחות התחברות מבוססים על תקן WebAuthentication (או "WebAuthn"), המשתמש בהצפנה של מפתח ציבורי. במהלך רישום חשבון, מערכת ההפעלה יוצרת צמד ייחודי של מפתחות הצפנה לשיוך לחשבון עבור האפליקציה או האתר. מפתחות אלה נוצרים על ידי המכשיר, באופן מאובטח וייחודי, עבור כל חשבון.

אחד מהמפתחות האלה הוא ציבורי, והוא מאוחסן בשרת. מפתח ציבורי זה אינו סוד. המפתח השני הוא פרטי, והוא מה שנדרש כדי להתחבר בפועל. השרת אף פעם לא יידע מהו המפתח הפרטי. במכשירי Apple שבהם יש Touch ID או Face ID, ניתן להשתמש באלה כדי לאשר שימוש במפתח ההתחברות, שלאחר מכן מאמת את המשתמש לאפליקציה או לאתר. אין העברה של שום סוד משותף, והשרת אינו צריך להגן על המפתח הציבורי. פעולה זו הופכת את מפתחות ההתחברות לאישורים חזקים מאוד וקלים לשימוש, עם עמידות גבוהה בפני דיוג. כמו כן, ספקי פלטפורמות פעלו יחד במסגרת FIDO Alliance כדי לוודא שהיישומים של מפתחות התחברות יהיו תואמים בין פלטפורמות שונות ויוכלו לפעול בכמה שיותר מכשירים.

אבטחת סנכרון

מפתחות ההתחברות תוכננו להיות נוחים ונגישים מכל המכשירים הנמצאים בשימוש באופן קבוע. סנכרון מפתחות ההתחברות בין המכשירים של המשתמש נעשה באמצעות 'צרור המפתחות של iCloud'.

'צרור המפתחות של iCloud' מוצפן מקצה לקצה, עם מפתחות הצפנה חזקים שאינם ידועים ל-Apple ועם קצב מוגבל, כדי לסייע במניעת תקיפות כוחניות (Brute-Force) אפילו ממיקום מורשה בקצה העורפי של הענן. הוא ניתן לשחזור גם אם המשתמש יאבד את כל המכשירים.

Apple תכננה את 'צרור המפתחות של iCloud' ואת שחזור צרור המפתחות כך שמפתחות ההתחברות והסיסמאות של המשתמש עדיין יהיו מוגנים בתנאים הבאים:

  • חשבון Apple של משתמש שנמצא בשימוש עם iCloud חשוף לפגיעה

  • iCloud חשוף לפגיעה על ידי התקפה חיצונית או על ידי עובד

  • צד שלישי ניגש לחשבונות משתמשים

הגנות על גישה לחשבון Apple

כדי להגן מפני גישה בלתי מורשית, כל חשבון Apple שנעשה בו שימוש ב'צרור המפתחות של iCloud' מחייב אימות בשני גורמים. אם משתמש מנסה לרשום מפתח התחברות חדש ולא מוגדר בחשבון שלו אימות בשני גורמים, הוא יתבקש באופן אוטומטי להגדיר אימות בשני גורמים.

כדי להתחבר בפעם הראשונה במכשיר חדש, נדרשים שני פרטי מידע: הסיסמה לחשבון Apple וקוד אימות בן שש ספרות שמוצג במכשירים המהימנים של המשתמש או נשלח למספר טלפון מהימן.

מידע נוסף על אימות בשני גורמים

הגנות על גישה ל'צרור המפתחות של iCloud'

שכבת הגנה נוספת קיימת כדי למנוע גישה של מכשיר מתחזה ל'צרור המפתחות של iCloud' של משתמש. כאשר משתמש מפעיל את 'צרור המפתחות של iCloud' בפעם הראשונה, המכשיר יוצר מעגל של אמון ויוצר לעצמו זהות סנכרון, המורכבת מצמד מפתחות ייחודי שמאוחסן בצרור המפתחות של המכשיר.

כאשר מכשירים חדשים מתחברים ל-iCloud, הם מצורפים למעגל הסנכרון של 'צרור המפתחות של iCloud' באחת משתי דרכים:

  • על ידי קישור עם מכשיר קיים של 'צרור המפתחות של iCloud' ובחסותו; או

  • על ידי שחזור של 'צרור המפתחות של iCloud'.

אבטחת שחזור

סנכרון מפתח ההתחברות מספק נוחות ויתירות במקרה אובדן של מכשיר יחיד. עם זאת, חשוב שמפתחות ההתחברות יהיו ניתנים לשחזור גם במקרה שכל המכשירים המשויכים אבדו. ניתן לשחזר מפתחות התחברות באמצעות הפקדה ב'צרור המפתחות של iCloud', שמוגנת גם מפני תקיפות כוחניות, אפילו על ידי Apple.

'צרור המפתחות של iCloud' מפקיד את נתוני צרור המפתחות של המשתמש אצל Apple מבלי לאפשר ל-Apple לקרוא את הסיסמאות ואת הנתונים האחרים שהוא מכיל. צרור המפתחות של המשתמש מוצפן באמצעות קוד גישה חזק, ושירות ההפקדה מספק עותק של צרור המפתחות רק אם קיימת עמידה בקבוצת תנאים מחמירים.

כדי לשחזר צרור מפתחות, על המשתמש לאמת באמצעות חשבון ה-iCloud והסיסמה שלו ולהגיב להודעת SMS שנשלחת למספר הטלפון הרשום שלו. לאחר שהמשתמש מאמת ומגיב, עליו להזין את קוד הגישה של המכשיר. iPadOS ,iOS ו-macOS מאפשרות רק עשרה ניסיונות אימות. לאחר מספר ניסיונות כושלים, הרשומה ננעלת והמשתמש נדרש להתקשר לתמיכה של Apple כדי לקבל עוד ניסיונות. לאחר הניסיון העשירי שנכשל, רשומת ההפקדה מושמדת.

יש למשתמשים אפשרות להגדיר איש קשר לשחזור החשבון כדי לוודא שתמיד תהיה להם גישה לחשבון, גם במקרה שישכחו את הסיסמה לחשבון Apple או את קוד הגישה למכשיר.

למדו איך להגדיר איש קשר לשחזור חשבון

מידע נוסף

מידע נוסף על אבטחת חשבון Apple ואבטחת 'צרור המפתחות של iCloud' במדריך לאבטחת הפלטפורמה

Published Date: