Avis relatifs à la sécurité des mots de passe
La liste de remplissage automatique des mots de passe sous iOS, iPadOS et macOS indique les mots de passe enregistrés par l’utilisateur qui sont réutilisés sur d’autres sites Web, les mots de passe qui sont considérés comme faibles et ceux qui ont été compromis dans le cadre d’une fuite de données.
Aperçu
L’utilisation du même mot de passe pour plus d’un service peut rendre ces comptes vulnérables en cas d’attaque par bourrage d’identifiants. En cas de fuite de mots de passe après l’infiltration d’un service, les assaillants peuvent essayer les mêmes informations d’identification sur d’autres services pour compromettre davantage de comptes.
Les mots de passe qui sont utilisés sur plusieurs domaines différents sont marqués comme réutilisés.
Les mots de passe sont marqués comme faibles s’ils peuvent être facilement devinés par un assaillant. iOS, iPadOS et macOS détectent les tactiques couramment utilisées pour créer des mots de passe mémorisables, comme l’utilisation de mots du dictionnaire, la substitution de caractères (« m0tdep4sse » au lieu de « motdepasse »), l’utilisation de séquences présentes sur le clavier (« q12we34r » sur un clavier QWERTY) ou l’utilisation de séquences répétées (« 123123 »). Ces séquences sont souvent employées pour créer des mots de passe qui respectent les exigences minimales pour les services, mais sont aussi souvent employées par les assaillants qui tentent d’obtenir un mot de passe par une attaque en force.
Comme de nombreux services exigent expressément un NIP à quatre ou à six chiffres, ces codes courts sont évalués selon des règles différentes. Les NIP sont considérés comme faibles s’ils sont un des codes les plus courants, s’il s’agit d’une séquence croissante ou décroissante comme « 1234 » ou « 8765 », ou s’ils suivent un schéma de répétition comme « 123123 » ou « 123321 ».
Les mots de passe sont signalés comme associés à une fuite de données si la fonction de surveillance des mots de passe est en mesure de vérifier qu’ils ont été reconnus dans une fuite de données. Pour en savoir plus, consultez la section Surveillance des mots de passe.
Les mots de passe faibles, réutilisés ou associés à une fuite de données sont répertoriés soit dans la liste des mots de passe (macOS), soit dans l’interface dédiée aux avis relatifs à la sécurité (iOS et iPadOS). Si l’utilisateur se connecte à un site Web dans Safari à l’aide d’un mot de passe déjà enregistré qui est très faible ou qui a été compromis dans le cadre d’une fuite de données, il reçoit une alerte qui l’encourage fortement à utiliser un mot de passe robuste généré automatiquement.
Mise à niveau de la sécurité de l’authentification des comptes sous iOS et iPadOS
Les apps qui implémentent une extension de modification de l’authentification des comptes (dans le cadre des services d’authentification) peuvent proposer à l’utilisateur de mettre facilement à niveau le mot de passe associé au compte de l’app au moyen d’un simple bouton qui permet d’utiliser Connexion avec Apple ou un mot de passe robuste généré automatiquement à la place du mot de passe actuel. Ce point d’extension est disponible sous iOS et iPadOS.
Si une app a implémenté le point d’extension et qu’elle est installée sur l’appareil, son utilisateur verra les options de mise à niveau lorsqu’il consultera les avis relatifs à la sécurité pour les informations d’identification associées à l’app dans le gestionnaire de mots de passe du trousseau iCloud, dans Réglages. Les mises à niveau sont également proposées lorsque l’utilisateur se connecte à l’app au moyen d’informations d’identification qui présentent un risque. Les apps sont en mesure de demander au système de ne pas afficher les options de mise à niveau une fois l’utilisateur connecté. En utilisant la nouvelle API AuthenticationServices, les apps peuvent appeler leurs extensions et procéder elles-mêmes aux mises à niveau, idéalement à partir des réglages du compte ou de l’écran de gestion du compte dans l’app.
Les apps peuvent choisir de prendre en charge les mises à niveau vers un mot de passe robuste, les mises à niveau vers Connexion avec Apple, ou les deux. Lorsqu’une mise à niveau vers un mot de passe robuste a lieu, le système génère automatiquement un mot de passe robuste pour l’utilisateur. Si nécessaire, l’app peut fournir des règles personnalisées de mot de passe qui devront être suivies pour générer le nouveau mot de passe. Lorsqu’un utilisateur choisi pour un compte donné d’utiliser Connexion avec Apple au lieu de son mot de passe, le système fournit de nouvelles données d’identification Connexion avec Apple à l’extension pour les associer au compte. L’adresse courriel associée à l’identifiant Apple de l’utilisateur ne fait pas partie des informations transmises. Après une mise à niveau réussie vers Connexion avec Apple, le système supprime le mot de passe utilisé précédemment du trousseau de l’utilisateur si ces informations d’identification y étaient enregistrées.
Les extensions de modification de l’authentification des comptes sont en mesure d’effectuer d’autres authentifications de l’utilisateur avant de procéder à la mise à niveau. Pour les mises à niveau qui proviennent du gestionnaire de mots de passe ou qui ont commencé après que l’utilisateur s’est connecté à une app, l’extension transmet le nom d’utilisateur et le mot de passe correspondant pour que la mise à niveau du compte ait lieu. Pour les mises à niveau effectuées directement dans l’app, seul le nom d’utilisateur est fourni. Si l’extension requiert une authentification plus approfondie de l’utilisateur, elle peut demander d’afficher une interface utilisateur personnalisée avant de procéder à la mise à niveau. Une telle interface a pour but de demander à l’utilisateur d’entrer un second facteur d’authentification pour autoriser la mise à niveau.