關於通行密鑰的安全性

通行密鑰能取代密碼。使用通行密鑰的登入速度更快、更易於使用,也更加安全。

通行密鑰能取代密碼,為網站和 App 提供更便利且更安全的無密碼登入體驗。通行密鑰是一種基於標準的技術。有別於密碼,通行密鑰可以防範網路釣魚,隨時保持高強度,並且經過專門設計,因此不會有共享的機密。通行密鑰可簡化 App 和網站的帳號註冊程序、易於使用,還能在你的所有 Apple 裝置(甚至是附近的非 Apple 實體裝置)上運作。

憑證安全性

通行密鑰是以 WebAuthentication(簡稱「WebAuthn」)標準為基礎建構而成,此標準採用公用密鑰加密技術。註冊帳號時,作業系統會建立獨有的加密密鑰配對,用來與 App 或網站的帳號產生關聯。裝置會以安全且獨有的方式為每個帳號產生這些密鑰。

其中一個密鑰為公用密鑰,儲存在伺服器上。此公用密鑰不具機密性。另一個密鑰為專用密鑰,是實際登入所需要的密鑰。伺服器絕對不會取得專用密鑰的內容。在配備 Touch ID 或 Face ID 的 Apple 裝置上,使用者可透過 Touch ID 或 Face ID 來授權使用通行密鑰,進而認證身分以使用 App 或網站。系統不會傳輸共享的機密,而且伺服器也不需要保護公用密鑰。這使通行密鑰成為強度極高且易於使用的憑證,並能高度防範網路釣魚。此外,各平台供應商也在 FIDO 聯盟內合作,確保通行密鑰機制相容於其他平台,並能在更多裝置上運作。

同步安全性

通行密鑰經過專門設計,可從所有經常使用的裝置上便利且無障礙地取用。通行密鑰可透過「iCloud 鑰匙圈」在使用者的所有裝置上同步。

「iCloud 鑰匙圈」使用 Apple 無法得知的高強度加密密鑰進行端對端加密,並限制速率以防範暴力破解攻擊,即使這些攻擊來自於雲端後端中具有特殊權限的位置,而且即便使用者遺失所有裝置也可復原密鑰。

Apple 設計了「iCloud 鑰匙圈」和鑰匙圈復原功能,讓使用者的通行密鑰和密碼在下述情況下仍可受到保護:

  • 使用者用於 iCloud 的「Apple 帳號」遭洩漏

  • iCloud 遭外部攻擊者或員工入侵

  • 第三方存取使用者帳號

存取「Apple 帳號」的防護措施

為了防範未經授權的存取,任何使用「iCloud 鑰匙圈」的「Apple 帳號」都必須經過雙重認證。如果使用者嘗試註冊新的通行密鑰,但是未設定雙重認證,系統將會自動提示使用者設定雙重認證。

凡是在新裝置上首次登入,系統一定會要求提供兩項資訊:「Apple 帳號」密碼和六位數驗證碼。驗證碼會顯示在使用者的受信任裝置上,或傳送至受信任的電話號碼。

進一步了解雙重認證

存取「iCloud 鑰匙圈」的防護措施

「iCloud 鑰匙圈」具備另一層防護,以防止惡意裝置存取使用者的「iCloud 鑰匙圈」。當使用者首次啟用「iCloud 鑰匙圈」時,裝置會建立信任圈,並為裝置本身建立同步身分,此身分由儲存在裝置鑰匙圈中的獨有密鑰配對組成。

新裝置登入 iCloud 時,會透過以下兩種方式之一加入「iCloud 鑰匙圈」同步圈:

  • 與現有的「iCloud 鑰匙圈」裝置配對,並由該裝置提供輔助;或者

  • 使用「iCloud 鑰匙圈」復原功能。

復原安全性

在遺失單一裝置的情況下,通行密鑰同步功能可方便你從其他裝置上取回密鑰。不過,通行密鑰的復原功能也很重要,即使遺失所有相關聯的裝置也能有所幫助。通行密鑰可透過「iCloud 鑰匙圈」的託管功能復原,此方式還能防範暴力破解攻擊,即使此攻擊來自 Apple。

「iCloud 鑰匙圈」會透過 Apple 託管使用者的鑰匙圈資料,但不會讓 Apple 讀取其中包含的密碼和其他資料。使用者的鑰匙圈使用高強度密碼加密,唯有在符合一套嚴格的條件時,託管服務才會提供鑰匙圈的拷貝。

若要復原鑰匙圈,使用者必須以 iCloud 帳號和密碼進行認證,並回覆傳送至已註冊電話號碼的 SMS。在完成認證和回覆後,使用者還必須輸入裝置密碼。iOS、iPadOS 和 macOS 僅允許嘗試認證 10 次。在多次嘗試失敗後,將會鎖定記錄,使用者必須致電 Apple 支援以授權更多嘗試次數。在第十次嘗試失敗後,將會銷毀託管記錄。

或者,使用者也可以設定帳號復原聯絡人,以確保隨時都能存取帳號,即使忘記「Apple 帳號」密碼或裝置密碼也不必擔心。

了解如何設定帳號復原聯絡人

更多內容

請參閱「Platform Security Guide」(平台安全性指南),以進一步了解「Apple 帳號」安全性和「iCloud 鑰匙圈」安全性

發佈日期: