Как пароль хранится в облаке?

Начиная с iOS11, вы вынуждены использовать 2FA, если не хотите обойтись без второго фактора. Но 2FA имеет тот недостаток, что код доступа передается в iCloud. Но я не знаю, когда это так. Вот я и хотел бы знать, когда и как это происходит?

Я знаю, что мне это не нравится и не нужно. Может ли кто-нибудь помочь мне чувствовать себя менее неудобно с этим?

Другой вопрос, связанный с кодом доступа, заключается в том, почему телефон/облако сохраняет последнюю попытку?

Изменить : я нашел документацию. HT202303 говорит: «Чтобы получить доступ к вашим данным на новом устройстве, вам может потребоваться ввести пароль для существующего или бывшего устройства».

Это означает, что когда я активирую 2FA, мой пароль загружается в облако. А для 6-значного пароля нет никакого «шифрования» или чего-то подобного. Это очень просто для брутфорса.

Теперь, когда эти ключи передаются в Китай , как я могу быть уверен, что безопасность моего iPhone не будет полностью скомпрометирована при использовании 2FA?

Не совсем понятно, что вас конкретно здесь беспокоит. Какой пароль, по вашему мнению, передается в iCloud?
Под кодом доступа я подразумеваю секрет, который запрашивается при разблокировке телефона.

Ответы (1)

Насколько мне известно, пароли, которые вы используете для разблокировки телефона, никуда не отправляются. С 2FA вы входите во что-то с помощью своего пароля, как обычно, а затем на авторизованные устройства отправляется код вызова, который вы также можете ввести. Код вызова генерируется Apple и отправляется только на те устройства, которые вы уже подтвердили. См. документацию Apple о том, как работает 2FA.

Изменить после вашего комментария: Ах, я вижу разрыв. Раздел, на который вы ссылаетесь, касается условного депонирования связки ключей. Это необязательная функция при настройке синхронизации связки ключей iCloud, которая позволяет Apple сохранить вторичную копию вашей связки ключей. По умолчанию iCloud просто синхронизирует связки ключей между вашими устройствами. Если вы настроите условное депонирование в Apple, они сохранят собственную копию вашей связки ключей для синхронизации, поскольку ваши устройства синхронизируются отдельно и безопасно. Это позволяет восстановить связку ключей, если ваше единственное (или все) авторизованное устройство iCloud утеряно. Итак, сначала важно понять, что это применимо только в том случае, если вы настроили условное депонирование связки ключей.

Во-вторых, хотя пароль вашего устройства будет использоваться по умолчанию в качестве «защитного ключа» для условного депонирования, этот пароль не отправляется в Apple. Вместо этого он используется для шифрования депонированной копии вашей цепочки для ключей. В частности, этот абзац (все цитаты взяты из Руководства по безопасности iOS за январь 2018 г., ссылки на которые приведены в комментариях ниже):

Затем устройство iOS экспортирует копию связки ключей пользователя, шифрует ее, обернув ключами в асимметричный набор ключей, и помещает ее в область хранения значения ключа iCloud пользователя. В сумку с ключами входит код безопасности iCloud пользователя и открытый ключ кластера аппаратного модуля безопасности (HSM), в котором будет храниться запись условного депонирования. Это становится записью условного депонирования iCloud пользователя.

Обратите внимание, что код безопасности iCloud относится либо к коду доступа вашего устройства, либо к коду, который вы установили, если у вас не включена двухфакторная аутентификация. Теперь взгляните на то, как документ объясняет восстановление депонированной цепочки для ключей:

Чтобы восстановить связку ключей, пользователи должны пройти аутентификацию с помощью своей учетной записи iCloud и пароля и ответить на SMS, отправленное на их зарегистрированный номер телефона. После этого пользователи должны ввести свой код безопасности iCloud. Кластер HSM проверяет, знает ли пользователь свой код безопасности iCloud, используя протокол Secure Remote Password (SRP); сам код не отправляется в Apple. Каждый член кластера независимо проверяет, что пользователь не превысил максимально допустимое количество попыток извлечения своей записи, как описано ниже. Если большинство согласны, кластер разворачивает запись условного депонирования и отправляет ее на устройство пользователя.

Итак, здесь есть несколько шагов:

1) Вы аутентифицируетесь, используя данные своей учетной записи iCloud.

2) Затем вы отвечаете на SMS, отправленное на ваш ранее зарегистрированный номер телефона.

3) Вы вводите свой код безопасности iCloud (или пароль устройства в случае 2FA).

Обратите внимание, что в нем говорится, что этот код НЕ отправляется в Apple. Вместо этого ваш код проверяется с использованием протокола Secure Remote Password . Я не эксперт в криптографии, поэтому не могу объяснить вам подробности, но важно отметить, что SRP позволяет проверять пароли без отправки самого пароля или любых эквивалентных данных.

Как только это будет сделано, ваше устройство теперь получит зашифрованную цепочку для ключей и все еще должно расшифровать ее, используя код безопасности iCloud (или пароль устройства). Но это все делается на локальном устройстве.

Подводя итог, если у вас включена двухфакторная аутентификация и вы включаете условное депонирование связки ключей при включении синхронизации связки ключей icloud, будет использоваться пароль вашего устройства как часть безопасности депонирования связки ключей, но этот пароль никогда не покидает ваше устройство.

Это неправда? В Руководстве по безопасности iOS говорится, что если 2FA включена, пароль будет использоваться для восстановления депонированной связки ключей. (стр. 57)
А, я вижу разрыв, подробности смотрите в отредактированном ответе.
Дело в том, что «кластер HSM проверяет, знает ли пользователь свой код безопасности iCloud». Это означает, что HSM (Apple) может решить, равен ли данный код доступа моему коду доступа.
Я не хочу делиться своим секретным кодом с Apple и хочу использовать iCloud для удобства. И несколько раз iCloud Keychain просто включался автоматически.
Для меня НЕТ причин не верить, что это подарок для политического лидера, который этого хочет....
Вы по-прежнему упускаете из виду две важные вещи. Во-первых, пароль вашего устройства используется только для восстановления депонированной связки ключей, а не для общего использования iCloud/Связки ключей. Не включайте условное депонирование, и пароль вашего устройства вообще не будет учитываться. Второй элемент, который вы упускаете, это то, что проверка пароля выполняется с помощью протокола SRP. Прочтите эту ссылку, просмотрите схему процесса и посмотрите пример кода. Необработанный пароль и его эквиваленты НИКОГДА не покидают клиентское устройство. Серверу не обязательно знать ваш пароль, чтобы убедиться, что вы его знаете.
К первому. Что такое депонированное восстановление связки ключей? Как отключить его после того, как я его включил? Как я могу проверить, что он отключен? И второе: SRP не поможет мне с 6-значным паролем? Или это будет зависеть от конкретной реализации, о которой я не знаю никаких подробностей??
Apple называет конфиденциальность правом человека . Так что я должен знать, как это работает, верно?
Когда вы настроили связку ключей в iCloud, вы установили «Код безопасности iCloud»? Если это так, то вы включили условное депонирование. Если вы хотите отключить его, следуйте инструкциям Apple в их FAQ . Что касается SRP, то не имеет значения, какой это код доступа. SRP — это не конкретная реализация, это протокол использования удаленного сервера для проверки локально введенного пароля без доступа удаленного сервера к паролю. Для получения более подробной информации о том, как Apple реализовала это, вам, вероятно, лучше связаться с ними напрямую.
Если бы вы прочитали вашу ссылку, вы бы знали, что SRP защищает от перебора пароля MitM, но не сервера. На телефоне с несколькими попытками шестизначный пароль может быть относительно безопасным. Но если задействовано облако, точек отказа гораздо больше. Отправляя пароль в облако, он должен стать менее безопасным…
Однажды я включил связку ключей для игры с homekit с iCSC. Затем я отключил его. На моем Mac он иногда включается автоматически, что очень ужасно. Теперь с iOS 11 я был вынужден использовать 2FA. Так что я сделал это на своем iPad. А затем на моем iPhone, который запросил пароль моего iPad, а затем мой MacBook попросил пароль моего телефона. Я убедился, что цепочка ключей iCloud отключена. И каждый раз, когда я менял пароль на своем телефоне, мой MacBook знал об этом. Кроме того, максимум одно устройство не было в «режиме полета», когда я это делал.
Просто взгляните на мою правку. Нет никакого смысла в том, что вы написали.
Как пароль хранится в облаке?
СпросиСетьПолитика конфиденциальности1y, 0v