Apple сделала вход по SMS более безопасным в iOS 14

В этом году команда Apple, которая занимается безопасностью iOS, предложила изменить формат одноразовых SMS-паролей, чтобы сделать более безопасным вход с помощью двухфакторной авторизации. Реализация функции не заставила себя долго ждать: Apple подтвердила, что изменения появятся уже в iOS 14 и macOS Big Sur. С их помощью пользователям будет сложно зайти на фишинговые сайты, даже если они полностью имитируют настоящие. А все потому, что коды, отправленные по SMS для входа по двухфакторной авторизации, будут привязаны к конкретному домену в интернете.

Безопасность iOS 14

В iOS 14 и macOS Big Sur автоматическое заполнение кода двухэтапной аутентификации будет предлагаться только в том случае, если сайт, на котором предлагается ввести этот код, или приложение совпадает с привязанным доменом. Допустим, вы получили код по SMS, связанный с доменом twitter.com, чтобы войти в Твиттер. В iOS 14 и macOS Big Sur этот код можно будет автозаполнить только в официальном приложении или на сайте Twitter.

Это еще один способ защиты от хакеров, которые часто обманывают пользователей, создавая поддельные (фишинговые) сайты. Они выманивают сначала логин и пароль, а потом и код из двухфакторной авторизации. Если код автоматически не будет заполнен на сайте, пользователь поймет, что перед ним не настоящий сайт, а его подделка.

Например, если вы получили SMS-сообщение, которое связано с сайтом example.com, автозаполнение будет работать только на этом сайте, а также с любым поддоменом или приложением, связанным с example.com. Если в SMS упоминается сайт вроде example.net, заполнить код из двухфакторной авторизации уже не получится.

Теперь дело за разработчиками — им нужно сделать привязку кодов к своим доменам и приложениям в соответствии с документацией Apple. Хотя обычные коды двухфакторной аутентификации будут продолжать работать, Apple рекомендует разработчикам обновить коды до нового стандарта.

Подпишись на наш чат в Telegram. Там авторы Appleinsider.ru общаются с читателями.

Еще один способ, как мошенники выманивают логины и пароли пользователей — фишинговые письма. Пользователю приходит письмо якобы от Apple, он авторизуется, и злоумышленники получают доступ к его Apple ID. Двухфакторная авторизация может защитить от этого. В любом случае стоит быть внимательным, если потратить хотя бы 30 секунд на изучение письма, можно сразу выявить мошенников. Здесь мы рассказали, как можно это сделать.

При получении таких писем пересылайте их на reportphishing@apple.com.

Можно ли убрать пароли?

В этом году Apple присоединилась к альянсу Fido — это организация, которая хочет добиться избавления от паролей. Предложение Fido заключается в том, что доверенные устройства должны в будущем заменять пароли. Это будет работать так же, как двухфакторная аутентификация (2FA) с использованием устройств Apple. Когда вы пытаетесь войти на новое устройство Apple с вашим Apple ID, компания отправляет код на доверенное устройство, и вы вводите этот код.

Только одно из ваших доверенных устройств может подать запрос на аутентификацию, и только одно ваше доверенное устройство может подтвердить этот запрос. Злоумышленнику, который захочет выдать себя за вас, потребуется получить доступ сразу к обоим гаджетам (и их пароли!). Например, им нужен ваш iPhone и его пароль, а также ваш Mac и его пароль.

Хотя экосистема Apple ограничена собственными устройствами, альянс хочет, чтобы все производители присоединились к этому движению. Поэтому вы также сможете авторизоваться на смартфоне Android, планшете Android, Chromebook, Windows PC или любом другом доверенном устройстве. Другой член правления Fido, Nok Nok Labs, уже предлагает SDK для Apple Watch.