Anbefalinger for passordsikkerhet
Passordlisten for autoutfylling av passord i iOS, iPadOS og macOS viser hvilke av brukerens arkiverte passord som gjenbrukes på flere nettsteder, hvilke passord som anses som svake og passord som har blitt kompromittert av en datalekkasje.
Oversikt
Hvis det samme passordet brukes til flere tjenester, kan kontoene bli sårbare for såkalte «credential stuffing»-angrep. Hvis noen bryter seg inn i en tjeneste og henter ut passordene, kan angriperne forsøke å bruke de samme akkreditivene i andre tjenester for å få tilgang til flere kontoer.
Passordene merkes som gjenbrukt hvis det samme passordet brukes for mer enn ett arkivert passord på tvers av forskjellige domener.
Passord merkes som svake hvis de er enkle å gjette. iOS, iPadOS og macOS registrerer vanlige passord som brukes til å lage passord som det er enkelt å huske, for eksempel ord fra ordboken, vanlige tegnerstatninger (for eksempel å bruke «p4ss0rd» i stedet for «passord»), vanlige mønstre fra tastaturet (for eksempel «q12we34r» på et QWERTY-tastatur) eller gjentakelser (for eksempel «123123»). Disse mønstrene brukes ofte til å lage passord som oppfyller tjenestens minimumskrav, men de brukes også ofte av angripere som forsøker å finne et passord ved hjelp av brute-force-angrep.
Siden mange tjenester spesifikt krever en PIN-kode på fire eller seks sifre, evalueres slike korte passord basert på andre regler. PIN-koder anses som svake hvis de er blant de PIN-kodene som brukes hyppigst, hvis de består av en økende eller synkende sekvens, for eksempel «1234» eller «8765», eller hvis de inneholder en repetisjon, for eksempel «123123» eller «123321».
Passord merkes som lekket hvis Passordovervåking-funksjonen kan vise til at de har vært med i en datalekkasje. Du finner mer informasjon om dette under Passordovervåking.
Svake, gjenbrukte og lekkede passord indikeres enten i passordlisten (macOS) eller finnes i det dedikerte Sikkerhetsanbefalinger-grensesnittet (iOS og iPadOS). Hvis brukeren logger seg på et nettsted i Safari ved hjelp av et arkivert passord som er svært svakt eller har blitt kompromittert av en datalekkasje, vises en advarsel som ber brukeren om å oppgradere til et automatisk, sterkt passord.
Oppgradere sikkerheten for kontoautentisering i iOS og iPadOS
Apper som implementerer Account Authentication Modification-tillegg (i Authentication Services-rammeverket), kan tilby enkle oppgraderinger med ett trykk for passordbaserte kontoer for å bytte til Logg på med Apple eller bruke et automatisk, sterkt passord. Dette tilleggspunktet er tilgjengelig i iOS og iPadOS.
Hvis en app har implementert tilleggspunktet og installeres på en enhet, ser brukere tilleggsoppgraderingsvalg ved visning av Sikkerhetsanbefalinger for akkreditiver som er knyttet til appen, i passordadministratoren i iCloud-nøkkelring i Innstillinger. Oppgraderingene tilbys også når brukere logger på appen med det risikoutsatte akkreditivet. Apper har muligheten til å be systemet om å ikke varsle brukeren om oppgraderingsvalg etter pålogging. Ved bruk av AuthenticationServices-API-en kan apper også aktivere tilleggene og utføre oppgraderinger selv, ideelt fra en kontoinnstillings- eller kontoadministreringsskjerm i appen.
Apper kan velge å støtte sterke passordoppgraderinger, Logg på med Apple eller begge. I en oppgradering av sterkt passord vil systemet generere et automatisk, sterkt passord for brukeren. Hvis det er nødvendig, kan appen tilby tilpassede passordregler som skal følges når det nye passordet genereres. Når en bruker bytter en konto fra å bruke et passord til å bruke Logg på med Apple, gir systemet et nytt Logg på med Apple-akkreditiv til tillegget som skal knyttes til kontoen. Brukerens e-postadresse for Apple-ID gis ikke som en del av akkreditivet. Etter en vellykket oppgradering av Logg på med Apple, sletter systemet det tidligere brukte passordakkreditivet fra brukerens nøkkelring, hvis det er arkivert der.
Account Authentication Modification-tillegg har muligheten til å utføre ytterligere brukerautentisering før en oppgradering utføres. Når det gjelder oppgraderinger startet i passordadministratoren eller etter å ha logget på en app, gir tillegget brukernavnet og passordet for kontoen skal oppgraderes. For oppgraderinger i app blir kun brukernavnet gitt. Hvis tillegget krever ytterligere brukerautentisering, kan det be om å vise tilpasset brukergrensesnitt før det går videre med oppgraderingen. Det tiltenkte brukstilfellet for å vise dette tilpassede brukergrensesnittet er å få brukeren til å oppgi en ekstra autentiseringsfaktor for å autorisere oppgraderingen.