iCloud privjesak za ključeve: postavljanje, korištenje i povratne informacije. Kako postaviti i koristiti iCloud Keychain

Pozdrav svima, dragi čitaoci. Danas ću vam reći šta je ozloglašeni iCloud Keychain, kako ga aktivirati i kako ga koristiti. Za početak, dat ću definiciju što je iCloud Keychain.

iCloud Keychain je Apple-ova usluga u oblaku pod nazivom iCloud Keychain. Služi za pohranu ličnih podataka korisnika u šifriranom obliku. Prijave i lozinke, kao i sigurnosni kodovi s kreditnih kartica + certifikati koje koristite u Apple servisima mogu se smatrati ličnim podacima.

Sasvim prirodno, postavlja se pitanje - koliko je bezbedno koristiti ovu uslugu radi sigurnosti podataka. Prema navodima kompanije, svi podaci su pohranjeni u šifriranom obliku i samo vlasnik podataka može im pristupiti, zaposlenici Apple-a nemaju pristup vašim podacima.

Ovaj način rada možete aktivirati direktno sa svog Apple uređaja, kao što je iPad ili iPhone. Koristit ću iPad kao primjer, ali nema razlike između aktiviranja moda na iPhoneu ili iPadu.

Aktivacija

Slijedite korake u nastavku da biste uspješno aktivirali traženu uslugu:

U budućnosti ćete moći da sinhronizujete informacije sa ovog servisa sa drugim uređajima: i na bazi iOS operativnog sistema, kao i na Mac OS-u.

Podešavanje

Sada postavimo automatsko pohranjivanje važnih podataka u iCloud Keychain servisu unesenog u Safari pretraživač:

1. Prije svega, trebate otići na postavke uređaja i odabrati odjeljak Safari, a zatim otići na stavku - lozinke;
2. U polju koje se otvori potrebno je potvrditi okvir u odjeljku "Imena i lozinke".

Nakon dovršetka gore navedene operacije, sve vaše lozinke, prijave i drugi podaci uneseni u Safari pretraživač će biti pohranjeni, na vaš zahtjev, u iCloud Keychain cloud uslugu.

Nekoliko savjeta za rad s ovom opisanom funkcijom:

1. Ako ne možete da konfigurišete ili aktivirate pakete, potrebno je da ažurirate operativni sistem na najnoviju verziju, kao i da proverite svoju internet vezu;
2. Možete pregledati sve sačuvane lozinke, za to trebate: idite na postavke, zatim idite na odjeljak Safari, Lozinke, sačuvane lozinke;
3. Ova usluga možda neće spremati lozinke na nekim web lokacijama jer takve stranice, iz sigurnosnih razloga, zabranjuju pohranu bilo kakvih podataka;
4. Preporučujem da ovaj alat - privjesak za ključeve - koristite samo na mobilnom Apple uređaju bez jailbreak-a. Jer korišćenje ove funkcije sa bekstvom iz zatvora možda neće biti bezbedno.

Danas sam odlučio da napravim pregledni članak o gomili ključeva, budući da je zadnji put naš sajt to spomenuo 2013. godine. U tom trenutku se pojavila u iOS-u 7. Ali sada su prošle skoro 4 godine i čekamo iOS 11, tako da je vrijeme da napravimo ažurno uputstvo o Keychain Accessu sa pitanjima i odgovorima.

Šta je iCloud Keychain?

iCloud privjesak za ključeve - ovo je funkcionalnost koja vam omogućava da pohranite tajne podatke (prijave, lozinke, brojeve kreditnih kartica, itd.) na siguran način u sistemu iu oblaku.

Podaci u privjesku za ključeve šifrirani su moćnom 256-bitnom AES enkripcijom. Zahvaljujući upotrebi iCloud tehnologije, podaci se ažuriraju na različitim uređajima.

Privjesak za ključeve pomaže ne samo u pohranjivanju podataka, već i pri unosu tih podataka za korisnika.

I sada jednostavan primjeršto pokazuje Operacija privjeska za ključevečak i za korisnike koji nisu tehnički potkovani.

Korisnik posjećuje stranicu (na primjer, Odnoklassniki) u Safariju na iPhone uređaju. Ima korisničko ime i lozinku. Unosi ih ručno. Sistem nudi spremanje podataka u privjesak za ključeve. Ako se korisnik slaže, tada podaci ulaze u posebnu datoteku. Korisnik odlučuje otići na Odnoklassniki na iPad-u. Otvara stranicu u Safariju. iOS sistem uzima podatke iz te vrlo posebne datoteke i popunjava polja za prijavu i lozinku. Korisnik samo treba da klikne na dugme Prijava. Dakle, korisnik ne mora samo da unese lozinku, već i da je zapamti. Privjesak to radi umjesto njega.

Kako postaviti Keychain Access?

Nakon što ažurirate iOS na najnoviju verziju, poseban pomoćnik će od vas tražiti da postavite Keychain Access. Također, podešavanje je moguće ako ste upravo kupili novi uređaj i pokušavate ga aktivirati pod vašim (eventualno novim) računom.

Postavke->VAŠE IME (na samom vrhu) ->iCloud->Keychain Access.

Uključite klizač "iCloud Keychain Access". Pratite sistemska uputstva. Ako je ovo vaš prvi uređaj pod ovim Apple ID računom, tada će se Keychain Access jednostavno uključiti. Ako uređaj nije prvi, tada morate potvrditi uključivanje.

Obično morate ući iCloud sigurnosni kod. Nakon toga morate unijeti poseban kod koji dolazi na vaš drugi uređaj koji je vezan za vaš Apple ID (ako je u pitanju iPhone, onda SMS dolazi na broj povezan s vašim računom).

Istovremeno, na drugom uređaju se pojavljuje posebna poruka koja od vas traži da unesete lozinku za Apple ID.

Kontaktni detalji i Moji detalji- ove dvije stavke vam omogućavaju da iz postavki odredite kontakt koji će se koristiti za popunjavanje različitih obrazaca. To jest, možete se dodati u aplikaciju kontakti, Tamo unesite svoju e-mail adresu, broj telefona i druge podatke. U budućnosti, ako web lokacija traži e-poštu, autocomplete će to učiniti umjesto vas.

Imena i lozinke- nije jasno kako to funkcionira, ali sudeći prema opisu, omogućava vam pregled i brisanje lozinki u postavkama "Računi i lozinke" (više o tome u nastavku). Trik je u tome što kada ga palim i gasim, nisam primijetio nikakvu razliku u funkcionalnosti.

Kreditne kartice- omogućiti spremanje voženih kartica na web-stranice. U tom slučaju, sistem će i dalje pitati da li da sačuva karticu u Keychain ili ne.

Sačuvane kreditne kartice(možete se prijaviti samo lozinkom ili putem Touch ID-a) - ovdje možete pogledati ili dodati kartice koje se koriste prilikom plaćanja kupovine na Internetu.

Šta je iCloud sigurnosni kod?

Kada prvi put postavite svoj privjesak za ključeve, sistem će od vas tražiti da kreirate iCloud sigurnosni kod (obično 4-6 cifara). Ako preskočite ovaj korak (što je moguće), tada će privjesak za ključeve biti pohranjen lokalno na vašem uređaju. Nema govora o bilo kakvoj sinhronizaciji sa drugim uređajima.

ICloud sigurnosni kod se najbolje pamti (ili zapisuje na sigurnom mjestu). To će vam omogućiti da odobrite Keychain Access na drugim uređajima. ICloud sigurnosni kod može vam pomoći čak i ako izgubite sve uređaje na kojima ste postavili Keychain Access.

Ako unesete pogrešan iCloud sigurnosni kod više puta zaredom, Keychain Access će biti deaktiviran. Pristup će biti moguće vratiti samo uz pomoć Apple tehničke podrške, ali oni nemaju pristup kodu, pa tehnička podrška može učiniti sve što može: dati vam priliku za još nekoliko pokušaja. Ako svi ne uspiju, tada će Keychain Access biti uklonjen iz iClouda.

Korištenje iClouda u praksi

Idemo na stranicu na kojoj želimo da se registrujemo. Idite na odjeljak za registraciju. Unesite login i lozinku. Sam sistem će ponuditi da sačuvate lozinku u Keychain-u.

Zatim možete otići na stranicu i umjesto unosa podataka, kliknuti na link "Autofill password".

Ili sistem sam popunjava login i lozinku. U svakom slučaju, podaci u obrascu bit će na žutoj pozadini:

Ako na web mjestu postoji nekoliko lozinki / prijava, tada možete kliknuti na vezu "Lozinke" iznad tastature. Keychain će od vas zatražiti da odaberete željenu prijavu. Ovdje također možete izbrisati sačuvanu lozinku.

Kako vidjeti prijave i lozinke u Keychain Access-u

Na iOS-u i Mac OS-u možete vidjeti prijave i lozinke u Keychain Access-u.

AT iOS to se radi u Postavke->Računi i lozinke->Lozinke za programe i stranice. Možete se prijaviti samo pomoću Touch ID-a ili lozinke za Apple ID.

Potrebno je pronaći željeni račun i kliknuti na njega. U polju Lozinka možete vidjeti lozinku u čistom tekstu, a u Korisničkom imenu - prijavu na stranicu. Ovdje možete promijeniti lozinke i prijave.

U Mac OS-u, pregledavanje privjeska za ključeve također nije teško. Postoji posebna aplikacija "Keychain". U njemu tražimo željenu lokaciju i dvaput guramo liniju.

Označite polje "Prikaži lozinku" i sistem će tražiti lozinku od računa administratora računala. Unosimo lozinku i vidimo željenu lozinku.

Svaki nalog ima jedinstvene postavke pristupa. U pravilu je bolje ne dirati ove postavke:

Iskusni korisnik sa snimka ekrana će odmah shvatiti da ovdje možete dodati aplikaciju koja može pristupiti objektu u Keychain-u.

Pitanja i odgovori o privjesku za ključeve

Koji su zahtjevi za privjesak za ključeve?

Keychain Access je dostupan počevši od iOS 7.0.3 i OS X Mavericks 10.9. Privjesak za ključeve ne nameće nikakve dodatne zahtjeve za uređaj.

Da li je bezbedno pohranjivati ​​podatke u Keychain Access-u?

U teoriji, ovo je apsolutno sigurno. Jer podaci su šifrirani i nedostupni čak ni Appleu (ova izjava se može uzeti samo na temelju vjere).

Koje podatke čuva privjesak za ključeve kreditne kartice?

Broj kartice, Ime Prezime i rok važenja. Privjesak za ključeve ne pohranjuje CVC kod na poleđini kartice.

Postoje li alternative za privjesak za ključeve?

Da, postoji mnogo aplikacija. Najvažnije je pronaći onu koja je popularna i koja se odavno etablirala. Na primjer, 1Password radi istu stvar kao Keychain. Aplikacija se stalno ažurira i ima puno obožavatelja. Keychain Access je besplatna ugrađena alternativa za Apple korisnike. Ako imate pakete za više platformi, na primjer: iPhone-Windows ili Android-Mac, onda ima smisla odabrati alternativu.

Ponekad "Keychain Access" nudi generiranje lozinke. Zašto ne uvijek?

Prema Apple web stranici, generator lozinki ne radi na svim stranicama.

Sigurno pohranjivanje lozinki i njihovo sinkroniziranje na svim uređajima nije lak zadatak. Prije otprilike godinu dana, Apple je svijetu predstavio iCloud Keychain, svoju centraliziranu pohranu lozinki za OS X i iOS. Pokušajmo otkriti gdje i kako se pohranjuju korisničke lozinke, koje potencijalne rizike ovo predstavlja i ima li Apple tehničku mogućnost da pristupi dešifriranim podacima pohranjenim na njegovim serverima. Kompanija tvrdi da je takav pristup nemoguć, ali da bi to potvrdili ili demantovali, potrebno je razumjeti kako funkcionira iCloud Keychain.

iCloud 101

Zapravo, iCloud nije samo jedna usluga, to je opći marketinški naziv za niz Appleovih usluga u oblaku. Ovo uključuje sinhronizaciju postavki, dokumenata i fotografija i Find My Phone za pronalaženje izgubljenih ili ukradenih uređaja i iCloud Backup za sigurnosno kopiranje u oblak, a sada iCloud Keychain za sigurno sinhroniziranje lozinki i brojeva kreditnih kartica između iOS i OS X uređaja.

Svaka iCloud usluga se nalazi na vlastitoj domeni trećeg nivoa, kao što je pXX-keyvalueservice.icloud.com, gdje je XX broj grupe servera odgovornih za obradu zahtjeva trenutnog korisnika; za različite Apple ID-ove, ovaj broj može biti drugačiji; noviji računi obično imaju veću vrijednost za ovaj brojač.

iCloud sigurnosni kod

Prije nego što uđemo u analizu iCloud Keychain-a, pogledajmo kako je ova usluga konfigurirana. Kada uključite iCloud Keychain, od korisnika se traži da smisli i unese iCloud sigurnosni kod (iCloud sigurnosni kod, u daljem tekstu iCSC). Forma za unos podrazumevano vam omogućava korišćenje četvorocifrenog numeričkog koda, ali klikom na vezu "Napredne opcije" i dalje možete koristiti složeniji kod ili čak dopustiti uređaju da generiše jak nasumični kod.

Sada znamo da su podaci u iCloud Keychain-u zaštićeni iCSC-om. Pa, hajde da pokušamo da shvatimo kako se tačno ova zaštita implementira!

Presretanje saobraćaja ili čovjek u sredini

Prvi korak u analizi mrežnih usluga je često dobijanje pristupa mrežnom saobraćaju između klijenta i servera. U slučaju iCloud-a, za nas postoje dvije vijesti: loša i dobra. Loša vijest je da je sav (dobro, ili barem njegov najveći dio) promet zaštićen TLS/SSL-om, odnosno šifriran je i neće ga biti moguće “pročitati” normalnim pasivnim napadom. Dobra vijest je da je Apple poklonio svima koji žele istraživati ​​iCloud i ne koriste prikačenje certifikata, što olakšava organiziranje napada čovjeka u sredini i dešifriranje presretnutog prometa. Za ovo je dovoljno:

1. Postavite eksperimentalni iOS uređaj na istu Wi-Fi mrežu kao i računar za presretanje.

1. Instalirajte proxy server za presretanje (kao što je Burp, Charles Proxy ili bilo koji sličan) na računar.

1. Uvezite TLS/SSL certifikat instaliranog proxy servera na iOS uređaj (detalji u pomoći određenog proxy servera).

1. U postavkama Wi-Fi mreže na iOS uređaju (Postavke → Wi-Fi → Ime mreže → HTTP Proxy) navedite IP adresu računara koji presreće u Wi-Fi mreži i port na kojem proxy server sluša.

Ako je sve urađeno ispravno, tada će sav promet između uređaja i iClouda biti u punom pregledu. A iz presretanja ovog saobraćaja, jasno će se vidjeti da je iCloud Keychain izgrađen na osnovu dva iCloud servisa: com.apple.Dataclass.KeyValue i com.apple.Dataclass.KeychainSync - i tokom početnog i ponovnog omogućavanja na drugim iOS uređajima, razmjenjuje podatke sa ovim servisima.

Prva usluga nije nova i bila je među prvim karakteristikama iClouda; naširoko ga koriste aplikacije za sinhronizaciju postavki. Drugi je nov i očigledno razvijen posebno za iCloud Keychain (iako njegova funkcionalnost teoretski dozvoljava da se koristi u druge svrhe). Pogledajmo bliže ove usluge.

com.apple.Dataclass.KeyValue

Kao što je gore navedeno, ovo je jedna od usluga koje koristi iCloud Keychain. Mnoge postojeće aplikacije koriste ga za sinhronizaciju malih količina podataka (podešavanja, oznake i slično). Svaki unos pohranjen od strane ove usluge povezan je s identifikatorom aplikacije (ID paketa) i imenom trgovine (prodavnica). U skladu s tim, da biste primili pohranjene podatke od servisa, ovi identifikatori također moraju biti navedeni. Unutar iCloud Keychain-a, ova usluga se koristi za sinkronizaciju Keychain unosa u šifriranom obliku. Ovaj proces je dovoljno detaljno opisan u dokumentu o sigurnosti za iOS u odjeljcima Sinhronizacija privjeska ključeva i Kako funkcionira sinhronizacija privjesaka ključeva.

Keychain Synchronization

Kada korisnik prvi put uključi iCloud Keychain, uređaj kreira "krug povjerenja" i sinhronizacijski identitet (sastoji se od javnih i privatnih ključeva) za trenutni uređaj. Javni ključ ovog para stavlja se u "krug povjerenja", a ovaj "krug" se potpisuje dva puta: prvo privatnim ključem za sinhronizaciju uređaja, a zatim asimetričnim ključem (baziranim na eliptičkoj kriptografiji) dobijenim iz iClouda korisnika lozinka. Također u "krug" su pohranjeni parametri za izračunavanje ključa iz lozinke, kao što su sol i broj iteracija.

Potpisani "krug" se pohranjuje u memoriju ključ/vrijednost. Ne može se pročitati bez poznavanja korisničke iCloud lozinke i ne može se promijeniti bez poznavanja privatnog ključa jednog od uređaja koji je dodat u krug.

Kada korisnik uključi iCloud Keychain na drugom uređaju, taj uređaj pristupa iCloud Key/Value memoriji i primjećuje da korisnik već ima krug povjerenja i da novi uređaj nije dio njega. Uređaj generiše ključeve za sinhronizaciju i priznanicu za traženje članstva u krugu. Potvrda sadrži javni ključ za sinhronizaciju uređaja i potpisana je ključem dobivenim iz korisničke iCloud lozinke korištenjem parametara za generiranje ključeva dobivenih iz skladišta ključeva/vrijednosti. Potpisana priznanica se zatim stavlja u skladište ključ/vrijednost.

Prvi uređaj vidi novi račun i pokazuje korisniku poruku da novi uređaj traži da bude dodat u krug povjerenja. Korisnik unosi svoju iCloud lozinku, a potpis na potvrdi se provjerava da je ispravan. Ovo dokazuje da je korisnik koji je generirao zahtjev za dodavanje uređaja unio ispravnu lozinku prilikom kreiranja računa.

Nakon što korisnik potvrdi dodavanje uređaja u krug, prvi uređaj dodaje javni ključ za sinhronizaciju novog uređaja u krug i ponovo ga dvaput potpisuje svojim privatnim ključem za sinhronizaciju i ključem koji je izveden iz korisničke iCloud lozinke. Novi krug se pohranjuje u iCloud i novi uređaj ga potpisuje na isti način.

Kako radi sinhronizacija privjesaka

Sada su u "krugu povjerenja" dva uređaja i svaki od njih poznaje javne ključeve za sinhronizaciju drugih uređaja. Počinju razmjenjivati ​​Keychain zapise putem iCloud Key/Value skladišta. Ako je isti unos prisutan na oba uređaja, onda će modifikacija sa kasnijim vremenom imati prioritet. Ako je vrijeme izmjene zapisa u iCloud-u i na uređaju isto, tada se zapis ne sinkronizira. Svaki sinkronizirani unos je šifriran posebno za ciljni uređaj; ne mogu ga dešifrirati drugi uređaji ili Apple. Takođe, snimak nije trajno pohranjen u iCloud-u - prepisuje se novim sinhronizovanim snimcima.

Ovaj proces se ponavlja za svaki novi uređaj dodan u krug povjerenja. Na primjer, ako se treći uređaj doda u krug, na druga dva uređaja će se prikazati upit za potvrdu. Korisnik može potvrditi dodavanje na bilo kojem od njih. Kako se dodaju novi uređaji, svaki uređaj u krugu se sinkronizira s novim kako bi se osiguralo da je skup zapisa isti na svim uređajima.

Treba napomenuti da nije cijeli Keychain sinkroniziran. Neki unosi su vezani za uređaj (na primjer, VPN računi) i ne bi trebali napustiti uređaj. Sinkroniziraju se samo unosi koji imaju atribut kSecAttrSynchronizable. Apple je postavio ovaj atribut za Safari korisničke podatke (uključujući korisnička imena, lozinke i brojeve kreditnih kartica) i za Wi-Fi lozinke.

Osim toga, unosi aplikacija treće strane također se ne sinkroniziraju prema zadanim postavkama. Da bi ih sinhronizovali, programeri moraju eksplicitno postaviti atribut kSecAttrSynchronizable kada dodaju unos u Keychain.

iCloud Keychain radi sa dva skladišta:

• com.apple.security.cloudkeychainproxy3

- ID paketa: com.apple.security.cloudkeychainproxy3;

• com.apple.sbd3

- ID paketa: com.apple.sbd (SBD je akronim za Secure Backup Daemon).

Prva pohrana se vjerojatno koristi za održavanje liste pouzdanih uređaja (uređaja u "krugu povjerenja" između kojih je sinkronizacija lozinki dozvoljena), za dodavanje novih uređaja na ovu listu i za sinhronizaciju unosa između uređaja (prema opisanom mehanizmu gore).

Druga pohrana je dizajnirana za sigurnosno kopiranje i vraćanje Keychain unosa na nove uređaje (na primjer, kada nema drugih uređaja u "krugu povjerenja") i sadrži šifrirane Keychain unose i povezane informacije.

Dakle, zapisi Keychain-a se pohranjuju u uobičajeno skladište ključeva/vrijednosti (com.apple.securebackup.record). Ovi zapisi su šifrirani pomoću skupa ključeva koji su tamo pohranjeni (BackupKeybag). Ali ovaj skup ključeva je zaštićen lozinkom. Odakle dolazi ova lozinka? Šta je Appleova usluga deponovanja lozinke? Pokušajmo dalje to shvatiti.

apple.Dataclass.KeychainSync

Ovo je nova usluga, pojavila se relativno nedavno: njena podrška se prvo pojavila u beta verzijama iOS-a 7, zatim je izostala u iOS-u 7.0-7.0.2 i ponovo je dodata u iOS 7.0.3, koji je objavljen istovremeno sa izdanje OS X Mavericks. Ovo je gore pomenuta usluga deponovanja lozinke (adresa usluge je pXX-escrowproxy.icloud.com).

Usluga je dizajnirana da bezbedno čuva korisničke tajne i omogućava korisniku da vrati te tajne nakon uspešne autentifikacije. Za uspješnu autentifikaciju potrebno je sljedeće:

• iCloud token za autentifikaciju, dobijen u zamjenu za Apple ID i lozinku tokom početne autentifikacije u iCloud-u (standardna metoda provjere autentičnosti za većinu iCloud usluga);

• iCloud sigurnosni kod (iCSC);

• šestocifreni numerički kod koji Apple serveri prenose na broj mobilnog telefona koji je povezan sa korisnikom.

Sve izgleda dobro u teoriji, ali da bismo utvrdili da li se teorija poklapa sa praksom, moraćemo da izvršimo reviziju klijentskog programa escrow usluge. Na iOS i OS X ovaj program se zove com.apple.lakitu. Opis procesa njegovog ukidanja i revizije je van okvira članka, pa idemo direktno na rezultate.

Dostupne komande

Revizija com.apple.lakitu vam omogućava da odredite listu komandi implementiranih od strane escrow servisa. Odgovarajući snimak ekrana prikazuje komande i njihov opis. Posebno bih se zadržao na posljednjoj komandi - uz njenu pomoć moguće je promijeniti telefonski broj povezan s tekućim računom. Prisustvo ove naredbe čini višefaktorsku autentifikaciju koja se koristi prilikom oporavka iCloud Keychain-a (Apple ID + iCSC + lozinka uređaja) znatno manje pouzdanom, jer vam omogućava da isključite jedan od faktora. Zanimljivo je i to da iOS korisničko sučelje ne dozvoljava da izvršite ovu naredbu - jednostavno nema takvu opciju (barem je nisam našao).

Posebnost ove naredbe, koja je razlikuje od svih ostalih, je u tome što zahtijeva autentifikaciju pomoću Apple ID lozinke i neće raditi ako se za autentifikaciju koristi iCloud token (ostale komande rade s tokenom autentifikacijom). Ovo služi kao dodatna zaštita za ovaj tim i pokazuje da su dizajneri sistema preduzeli korake da poboljšaju njegovu sigurnost. Međutim, nije sasvim jasno zašto je ova komanda uopšte prisutna u sistemu.

Oporavak deponiranih podataka

Za primanje deponiranih podataka, izvodi se sljedeći protokol:

1. Klijent traži listu deponovanih zapisa (/get_records).

1. Klijent traži pridruženi telefonski broj na koji će server poslati kod za potvrdu (/get_sms_targets).

1. Klijent inicira generiranje i isporuku koda za potvrdu (/generate_sms_challenge).

1. Nakon što korisnik unese iCSC i potvrdni kod iz SMS-a, klijent pokreće pokušaj autentifikacije koristeći SRP-6a protokol (/srp_init).

1. Nakon što dobije odgovor od servera, klijent vrši proračune propisane protokolom SRP-6a i traži deponovane podatke (/recover).

1. Ako se klijent uspješno autentifikovao, server vraća deponirane podatke, prethodno ih šifrirao ključem generiranim tokom rada SRP-6a protokola (ako je protokol uspješno funkcionisao, tada su i server i klijent izračunali ovaj zajednički ključ) .

Važno je napomenuti da se telefonski broj dobijen u koraku 2 koristi isključivo za potrebe korisničkog interfejsa, odnosno da korisniku pokaže broj na koji će biti poslat verifikacioni kod, a u koraku 3 klijent ne poslati serveru broj na koji treba poslati verifikacioni kod.

Sigurna daljinska lozinka

U koraku 4, klijent počinje izvršavati SRP-6a protokol. SRP (Secure Remote Password) protokol je protokol za provjeru autentičnosti lozinke koji je zaštićen od prisluškivanja i napada čovjeka u sredini. Tako je, na primjer, korištenjem ovog protokola nemoguće presresti hash lozinke i zatim ga pokušati oporaviti, jednostavno zato što se heš ne prenosi.

Apple koristi najnapredniju verziju protokola, SRP-6a. Ova opcija upućuje na zatvaranje veze ako autentifikacija ne uspije. Osim toga, Apple dozvoljava samo deset neuspjelih pokušaja autentifikacije za ovu uslugu, nakon čega se svi naredni pokušaji blokiraju.

Detaljan opis SRP protokola i njegovih matematičkih osnova je izvan okvira ovog članka, ali radi kompletnosti, u nastavku je predstavljena posebna varijanta koju koristi com.apple.Dataclass.KeychainSync servis.

Haš funkcija H je SHA-256, a grupa (N, g) je 2048-bitna grupa iz RFC 5054 "Upotreba protokola Secure Remote Password (SRP) za TLS autentifikaciju". Protokol se izvodi na sljedeći način:

1. Uređaj generiše slučajnu vrijednost a, izračunava A=g^a mod N, gdje su N i g 2048-bitni grupni parametri iz RFC 5054, i šalje poruku serveru koja sadrži korisnički ID, izračunatu vrijednost A i potvrdni kod iz SMS-a. Vrijednost DsID se koristi kao identifikator korisnika - jedinstveni numerički identifikator korisnika.
2. Po prijemu poruke, server generiše slučajnu vrijednost b i izračunava B=k*v + g^b mod N, gdje je k množitelj definiran u SRP-6a kao k=H(N, g), v=g^ H(Salt, iCSC) mod N je verifikator lozinke pohranjen na serveru (slično heš lozinke), Salt je nasumična sol koja se generiše prilikom kreiranja naloga. Server šalje poruku klijentu koja sadrži B i Salt.
3. Koristeći jednostavne matematičke transformacije, klijent i server izračunavaju zajednički ključ sesije K. Ovim je završen prvi dio protokola - izvođenje ključa - i sada klijent i server moraju biti sigurni da su primili istu vrijednost K.
4. Klijent izračunava M=H(H(N) XOR H(g) | H(ID) | Salt | A | B | K), dokaz da zna K, i šalje M i potvrdni kod iz SMS-a na server. Server takođe izračunava M i upoređuje vrednost primljenu od klijenta i izračunatu vrednost; ako se ne podudaraju, server prestaje izvršavati protokol i zatvara vezu.
5. Server dokazuje poznavanje K klijentu tako što izračunava i šalje H(A, M, K) . Sada su oba učesnika u protokolu ne samo razvila zajednički ključ, već su se pobrinuli da ovaj ključ bude isti za oba učesnika. U slučaju escrow usluge, server također vraća nasumični IV i escrow šifriran javnim ključem K koristeći AES algoritam u CBC modu.

Upotreba SRP-a za dodatnu zaštitu korisničkih podataka, po mom mišljenju, značajno poboljšava sigurnost sistema od eksternih napada, makar samo zato što vam omogućava da se efikasno oduprete iCSC pokušajima grube sile: možete isprobati samo jednu lozinku po konekciji na usluga. Nakon nekoliko neuspješnih pokušaja, račun (u sklopu rada sa escrow servisom) se prebacuje u stanje soft lock i privremeno se blokira, a nakon deset neuspješnih pokušaja račun se trajno blokira i daljnji rad sa escrow servisom je moguć tek nakon resetiranje iCSC-a za račun.

Istovremeno, korištenje SRP-a ne štiti od internih prijetnji. Deponirana lozinka je pohranjena na Appleovim serverima, tako da se može pretpostaviti da joj Apple može pristupiti ako je potrebno. U takvom slučaju, ako lozinka nije bila osigurana (npr. šifrirana) prije escrow-a, to bi moglo dovesti do potpunog kompromitiranja Keychain zapisa pohranjenih u iCloudu, jer bi šifrirana lozinka omogućila dešifriranje ključeva za šifriranje, a oni su zapisi Keychain-a (pogledajte com. apple.Dataclass.KeyValue).

Međutim, u dokumentu o sigurnosti za iOS, Apple navodi da se specijalizovani hardverski sigurnosni moduli (Hardverski sigurnosni moduli, HSM) koriste za pohranjivanje deponiranih zapisa i da pristup deponiranim podacima nije moguć.

Sigurnost depozita

iCloud pruža sigurnu escrow infrastrukturu Keychain kako bi se osiguralo da je oporavak ključeva samo za ovlaštene korisnike i uređaje. HSM klasteri štite deponovane zapise. Svaki klaster ima svoj vlastiti ključ za šifriranje, koji se koristi za zaštitu zapisa.

Da bi povratio Keychain, korisnik se mora autentifikovati koristeći svoje iCloud korisničko ime i lozinku i odgovoriti na poslani SMS. Kada se to učini, korisnik mora unijeti iCloud sigurnosni kod (iCSC). HSM klaster potvrđuje iCSC koristeći SRP protokol; međutim, iCSC se ne prenosi na Apple servere. Svaki čvor klastera, nezavisno od ostalih, provjerava da li je korisnik premašio maksimalni dozvoljeni broj pokušaja dohvaćanja podataka. Ako provjera uspije na većini čvorova, klaster dešifruje dešifrirani zapis i vraća ga korisniku.

Uređaj zatim koristi iCSC da dešifruje dešifrovani unos i dohvati lozinku koja se koristi za šifrovanje unosa u privezi ključeva. Koristeći ovu lozinku, privjesak ključeva primljen iz skladišta ključeva/vrijednosti se dešifruje i vraća na uređaj. Dozvoljeno je samo deset pokušaja autentifikacije i primanja deponiranih podataka. Nakon nekoliko neuspješnih pokušaja, unos je blokiran i korisnik mora kontaktirati podršku da ga deblokira. Nakon desetog neuspjelog pokušaja, HSM klaster uništava deponirani unos. Ovo pruža zaštitu od napada grubom silom u cilju dobijanja zapisa.

Nažalost, nije moguće provjeriti da li se HSM-ovi stvarno koriste. Ako je sve istina i HSM-ovi ne dozvoljavaju čitanje podataka pohranjenih u njima, onda se može tvrditi da su iCloud Keychain podaci također zaštićeni od internih prijetnji. Ali, ponavljam, nažalost, nemoguće je dokazati ili opovrgnuti upotrebu HSM-a i nemogućnost čitanja podataka iz njih.

Ostaje još jedan način zaštite podataka od insajderske prijetnje - zaštita pohranjenih podataka na uređaju prije prijenosa na Apple servere. Iz Appleovog opisa (a preokret to potvrđuje) proizlazi da je takva zaštita primijenjena - deponovana lozinka je unaprijed šifrirana pomoću iCSC-a. Očigledno, u ovom slučaju, nivo sigurnosti (protiv insajderske pretnje) direktno zavisi od složenosti iCSC-a, a podrazumevani iCSC od četiri karaktera ne pruža dovoljnu zaštitu.

Dakle, shvatili smo kako funkcionišu pojedinačni elementi sistema, a sada je vrijeme da pogledamo sistem u cjelini.

Stavljajući sve zajedno

Dijagram pokazuje kako iCloud Keychain radi u smislu deponovanja i oporavka Keychain zapisa. Sistem funkcioniše ovako:

1. Uređaj generiše skup nasumičnih ključeva (keybag u Apple terminologiji) za šifriranje unosa Keychain-a.
2. Uređaj šifrira Keychain zapise (one sa skupom atributa kSecAttrSynchronizable) koristeći skup ključeva generiran u prethodnom koraku i pohranjuje šifrirane zapise u Key/Value store com.apple.sbd3 (ključ com.apple.securebackup.record).
3. Uređaj generiše slučajnu lozinku koja se sastoji od šest grupa po četiri karaktera (entropija takve lozinke je oko 124 bita), šifrira skup ključeva generiran u koraku 1 ovom lozinkom i pohranjuje šifrirani ključ u ključu com.apple /Spremište vrijednosti.sbd3 (ključ BackupKeybag).
4. Uređaj šifrira nasumičnu lozinku generiranu u prethodnom koraku pomoću ključa dobivenog iz korisničkog iCloud sigurnosnog koda i deponira šifriranu lozinku usluzi com.apple.Dataclass.KeychainSync.

Prilikom postavljanja iCloud Keychain-a, korisnik može koristiti složeni ili nasumični iCSC umjesto zadanog 4-cifrenog koda. U slučaju korištenja složenog koda, mehanizam rada escrow sistema se ne mijenja; jedina razlika je u tome što će se ključ za šifriranje nasumične lozinke izračunati ne iz četverocifrenog iCSC-a, već iz složenijeg koji je unio korisnik.

Sa slučajnim kodom, podsistem deponovanja lozinke se uopšte ne koristi. Istovremeno, nasumična lozinka koju generiše sistem je iCSC, a korisnikov zadatak je da je zapamti i pohrani na siguran način. Keychain unosi su i dalje šifrirani i pohranjeni u com.apple.sbd3 Key/Value spremištu, ali se usluga com.apple.Dataclass.KeychainSync ne koristi.

zaključci

Možemo sa sigurnošću reći da je s tehničke točke gledišta (odnosno, ne razmatramo društveni inženjering) i u odnosu na vanjske prijetnje (to jest, ne Apple), sigurnost usluge iCloud Keychain escrow usluge na dovoljnom nivou: zahvaljujući korištenju SRP protokola, čak i ako je iCloud lozinka ugrožena, napadač neće moći pristupiti Keychain zapisima, jer to dodatno zahtijeva iCloud sigurnosni kod, a nabrajanje ovog koda je znatno teže.

Istovremeno, koristeći drugi iCloud Keychain mehanizam - sinhronizaciju lozinke, napadač koji je ugrozio iCloud lozinku i ima kratak fizički pristup jednom od uređaja korisnika može u potpunosti kompromitirati iCloud Keychain: za to je dovoljno dodati napadačevu uređaj u "krug povjerenja" uređaja korisnika, a za to je dovoljno znati iCloud lozinku i imati kratkoročni pristup korisnikovom uređaju kako bi se potvrdio zahtjev za dodavanje novog uređaja u "krug" .

Ako uzmemo u obzir zaštitu od internih prijetnji (odnosno Applea ili bilo koga tko ima pristup Apple serverima), onda u ovom slučaju sigurnost escrow usluge ne izgleda tako ružičasto. Appleove tvrdnje o korištenju HSM-a i nemogućnosti čitanja podataka s njih nemaju uvjerljive dokaze, a kriptografska zaštita deponiranih podataka vezana je za iCloud sigurnosni kod, po zadanim postavkama je izuzetno slaba i omogućava svakome ko je u mogućnosti izvlačiti sa servera ( ili od HSM) Appleove deponirane evidencije, vratite svoj četverocifreni iCloud sigurnosni kod gotovo trenutno.

U slučaju složenog alfanumeričkog koda, ovaj napad postaje teži kako se broj mogućih lozinki povećava. Ako je iCloud Keychain konfiguriran da koristi nasumični kod, tada usluga escrow uopće nije uključena, što efektivno čini ovaj vektor napada nemogućim.

Maksimalni nivo sigurnosti (naravno, ne računajući potpuno onemogućavanje iCloud Keychain-a) je osiguran kada se koristi nasumični kod - i to ne toliko zato što je takav kod teže pokupiti, već zato što podsistem escrow lozinke nije uključen , te je stoga površina napada smanjena. Ali praktičnost ove opcije, naravno, ostavlja mnogo da se poželi.

Napredni korisnici Apple uređaja znaju funkciju " iCloud privjesak za ključeve” (postoje i drugi privjesci ključeva, na primjer, Sign In, System, itd. dostupni na Macu), što uvelike pojednostavljuje rad sa lozinkama i drugim ličnim podacima na uređajima koji koriste iOS i macOS. U ovom članku ćemo detaljno opisati proces postavljanja usluge, kao i odgovoriti na često postavljana pitanja.

U kontaktu sa

Šta je iCloud Keychain i zašto je potreban?

Keychain Access je upravitelj lozinki za iPhone, iPod Touch, iPad i Mac koji pohranjuje vaše vjerodajnice za prijavu na Safari, informacije o platnim karticama i informacije o Wi-Fi mreži sa svih odobrenih iOS uređaja. 7.0.3, OS X Mavericks 10.9 i noviji Apple OS izdanja.

Osim toga, u " iCloud privjesak za ključeve» za Mac također pohranjuje informacije o računu koje se koriste u standardnim aplikacijama, kao što su « Kalendar», « Kontakti», « Mail" i " Poruke". Kada se korisnik prijavi na društvenu mrežu ili otvori stranicu na kojoj je registriran, servis automatski dodaje podatke računa na sve povezane uređaje.

Funkcija je vrlo zgodan alat za vlasnike više Apple uređaja.

Radi li Keychain Access u svim zemljama?

Da. " Gomila ključeva» može se postaviti i koristiti u bilo kojoj zemlji na bilo kojem kompatibilnom uređaju. Međutim, u nekim zemljama usluga radi bez mogućnosti korištenja " iCloud sigurnosni kod” (više u nastavku).

Na primjer, kada postavite " Privjesci za ključeve» u Rusiji, korisnik može (ako je potrebno) zaštititi lične podatke koristeći « iCloud sigurnosni kod» (konfiguracija putem SMS-a), čime se pohranjuju svi servisni podaci na Apple serverima(više o tome pročitajte u nastavku).

Bilješka: Ako koristite dvofaktorsku autentifikaciju, tada se uređaj smatra pouzdanim kada se prijavite - tj. "iCloud sigurnosni kod" nije potrebno.

• Postavke i idi u sekciju Apple ID [korisničko ime] -> lozinka i sigurnost.

• na Mac-u idi na stazu "Postavke sistema" → iCloud → Račun → Sigurnost.

Kako mogu postaviti iCloud Keychain na Mac, iPhone ili iPad?

Na iPhoneu ili iPadu:

Nakon što instalirate ažuriranje mobilnog operativnog sistema, pomoćnik za postavljanje traži od vas da postavite " iCloud privjesak za ključeve". Ako to niste učinili odmah, ne brinite, funkciju možete podesiti u bilo koje vrijeme koje vam odgovara. Za ovo:

• Na iOS 10.3 i novijim, otvorite " Postavke“, odaberite svoje ime (na samom vrhu) i uđite u odjeljak iCloud (na uređajima koji koriste stariju verziju iOS-a, ovaj odjeljak se nalazi duž putanje: “ Postavke» -> iCloud).

• Idi na odjeljak .

• Aktivirajte prekidač . Unesite lozinku svog naloga i pratite uputstva na ekranu.

Na Mac računarima:

• Otvorite meni Apple (), odaberite " Sistemske postavke».
• Odaberite odjeljak iCloud i aktivirajte prekidač " iCloud privjesak za ključeve“, nakon čega trebate unijeti svoj Apple ID i lozinku i slijediti upute koje se pojavljuju.

Dodavanje dodatnih uređaja

Ako želite dodati dodatne uređaje, " iCloud privjesak za ključeve” mora biti omogućen na svakom od njih. Kada se funkcija aktivira na novom uređaju, svaki uređaj na kojem je konfigurisan će dobiti zahtjev za potvrdu.

Na primjer, kada uključite Keychain Access u iPhone-u na Mac ekranu koristeći isti Apple ID (iCloud) račun, pojavit će se sljedeća poruka:

Kliknite "Nastavi", nakon čega će se otvoriti iCloud postavke, gdje trebate unijeti svoju Apple ID lozinku i na taj način omogućiti uređaju da koristi Gomila ključeva.

Obrnuti postupak - uključite Gomila ključeva na Mac-u - obavještenje stiže na iPhone.

Nakon potvrde, informacije o novom gadgetu će se automatski ažurirati ako je uređaj online.

Bilješka: Sa omogućenom dvofaktorskom autentifikacijom se uključuje bez primanja potvrde od drugog uređaja.

Da provjerite da li je dvofaktorska autentifikacija omogućena na uređaju:

• na iPhoneu ili iPadu, otvorite aplikaciju Postavke i idi u sekciju Apple ID [korisničko ime] -> lozinka i sigurnost.
• na Mac-u idi na stazu "Postavke sistema" -> iCloud -> Račun -> Sigurnost.

Sigurnosni kod prilikom postavljanja Keychain Access-a. Šta je to?

Bilješka: Ako koristite dvofaktorsku autentifikaciju, onda "iCloud sigurnosni kod" nije potrebno.

Sigurnosni kod je skup od šest cifara ili kombinacija brojeva i slova koji se koriste za identifikaciju korisnika i pristup drugim funkcijama " iCloud privjesak za ključeve» . Na primjer, ako ste izgubili svoje uređaje, možete koristiti kod za vraćanje podataka sačuvanih u njemu. Koristeći "iCloud sigurnosni kod" Svi servisni podaci pohranjeni su na Apple serverima. Da biste primili sigurnosni kod, potrebno je da primite SMS na broj telefona registrovan u zemlji u kojoj se nalazi zvanično podržana.

Shodno tome, ako ne koristite "iCloud sigurnosni kod", zatim podatke iz Privjesci za ključeve pohranjeni i sinhronizirani samo između odobrenih uređaja.

Ponavljamo to Sigurnosni kod vam omogućava da aktivirate iCloud privjesak za ključeve” bez potrebe za pribavljanjem odobrenja od drugih uređaja, međutim, ovo mora biti omogućeno. Samo uključite prekidač kao što je gore opisano i unesite lozinku i sigurnosni kod koji se automatski prikazuje na pouzdanim gadžetima.

Kako pregledati lozinke stranice u iCloud Keychain-u na iPhoneu ili iPadu

Kada je iCloud Keychain omogućen, "Autocomplete" od samog Apple-a unosi vjerodajnice za autorizaciju korisnika u odgovarajuća polja na web stranicama ili aplikacijama. Međutim, neke stranice zabranjuju automatski unos podataka. U takvim slučajevima morate ručno kopirati i zalijepiti svoje korisničko ime i lozinku. To se radi na sljedeći način:

1. Otvorite aplikaciju "Postavke";

2. Odaberite "Računi i lozinke";

3. Odaberite "Lozinke za programe i web lokacije" i, ako je potrebno, verifikovati korisnika pomoću Touch ID-a ili Face ID-a;

4. Izaberite odgovarajući unos sa liste ili koristeći polje za pretragu na vrhu ekrana "Lozinke", unesite naziv aplikacije ili web stranice za koju želite unijeti vjerodajnice;

5. Pritisnite i držite opciju korisničko ime/lozinka, a zatim u iskačućem prozoru odaberite "kopija";

6. Otvorite odgovarajuću aplikaciju ili web stranicu, pritisnite i držite polje za unos korisničkog imena i lozinke, a zatim odaberite opciju "ubaci".

7. Možete ukloniti vjerodajnice koristeći opciju "promjena" u gornjem desnom uglu ekrana "Lozinke". Osim toga, ova opcija se može koristiti za promjenu vjerodajnica za odgovarajuće web stranice.

Kako vidjeti prijave i lozinke sa web lokacija u iCloud Keychain-u na Macu

1. Pokrenite Safari pretraživač.

2. Otvorite postavke programa ( safari → Postavke).

3. Idite na karticu Lozinke.

4. Unesite administratorsku lozinku.

5. Odaberite željeni sajt (možete koristiti pretragu). Naprotiv, biće naznačeni login (korisničko ime) i lozinka.

Možete dodati lične podatke i podatke o kreditnoj kartici u iCloud Keychain u bilo kojem trenutku koristeći svoj iPhone ili iPad, nakon čega će oni postati dostupni na svim uređajima korisnika. Da biste to učinili, trebate učiniti sljedeće:

1. Otvorite aplikaciju "Postavke";

2. Odaberite odjeljak safari;

3. Odaberite "Autocomplete";

4. Da dodate lične podatke, izaberite "Moji podaci" i odaberite svoj kontakt sa liste. Da biste dodali detalje kartice, kliknite "Sačuvane kreditne kartice" a zatim odaberite "Dodaj kreditnu karticu".

Može li Apple podrška oporaviti iCloud sigurnosni kod za Keychain Access?

Pokušajte dobro zapamtiti kod ili ga zapišite na sigurno mjesto, jer ako ga zaboravite, Apple tehnička podrška neće vam moći pomoći da povratite kod. Osim toga, mora se imati na umu da je broj netočnih pokušaja unosa koda ograničen, a nakon prekoračenja ograničenja, pristup " iCloud privjesak za ključeve» će biti blokiran. U tom slučaju morate kontaktirati Apple tehničku podršku i nakon uspješne identifikacije osobe, korisniku će biti dati dodatni pokušaji da unese kod. Ako je u ovom slučaju navedena pogrešna kombinacija, Apple će trajno izbrisati " iCloud privjesak za ključeve» sa njihovih servera (naravno, u ovom slučaju će svi lični podaci biti izgubljeni).

Mogu li postaviti Keychain Access bez sigurnosnog koda (bez telefonskog broja na kojem je omogućen SMS)?

Može. Nije potrebno postavljati sigurnosni kod prilikom postavljanja funkcije. Ali u ovom slučaju, vaši podaci neće biti pohranjeni na serveru, već na samim uređajima. Ovaj pristup pretpostavlja veću kontrolu korisnika nad njihovim podacima, ali ima značajan nedostatak - Apple neće moći pomoći u oporavku " iCloud privjesci za ključeve».

Ako iznenada za vašu zemlju postoji mogućnost prilagođavanja " iCloud privjesak za ključeve» SMS-om nije dostupno, ne brinite, još uvijek možete aktivirati funkciju. Da biste to učinili, prilikom konfiguriranja (uputstva za konfiguraciju iznad) usluge na iOS uređajima, nemojte odabrati " Potvrdite kodom"na meniju" Dodaci«:

Na Mac računarima idite na " Dodatne opcije» i odaberite « Nemojte generirati sigurnosni kod«.

To ponavljamo u ovom slučaju iCloud privjesak za ključeve bit će pohranjen samo na uređaju, a ne na Apple serveru i ažuriran samo na odobrenim gadžetima. Dovršite podešavanje prateći uputstva na ekranu.

To je za korisnike Apple tehnologije označilo pojavu još jedne odlične usluge u okviru iClouda - sinhronizacije lozinki pomoću iCloud Keychain-a. Apple je dao sve od sebe da olakša postavljanje i korištenje ove funkcije, ali naši čitatelji i dalje imaju puno pitanja o ovoj novoj funkciji.

Šta može iCloud Keychain?

iCloud Keychain nudi:

• sinhronizacija prijava, lozinki i podataka iz Safari obrazaca
• sinhronizacija podataka kreditnih kartica
• Sinhronizacija Wi-Fi lozinke

Sinkronizacija radi na Mac računarima sa OS X 10.9, iPhone, iPod touch i iPad sa iOS 7.0.3. Kada aktivirate Keychain Access u iCloud-u, kreira se jedno skladište u oblaku u kojem se prikupljaju SVE vaše lozinke. Svi su istovremeno dostupni sa svih vaših uređaja povezanih na isti iCloud račun.

Imajte na umu - na Mac računarima, iCloud Keychain radi samo sa Safarijem! Za korisnike Chrome-a, Firefox-a ili Opera-a nova Apple funkcija neće biti od velike koristi, jer ne postoje dodaci koji dodaju podršku za ove pretraživače i neće biti. Ni u ovom slučaju nema alternative Safariju na iOS-u.

Postavljanje iCloud Keychain-a po prvi put na Macu

Recimo odmah - za stanovnike Ukrajine, Bjelorusije i drugih zemalja ZND-a koje nisu navedene na ovoj listi, aktiviranje Keychain Access-a s Maca jedini je način da pravilno konfigurirate ovu funkciju.

Otvorite postavke vašeg Mac-a, idite na iCloud daljinski upravljač, uključite potvrdni okvir "Pristup privjescima ključeva":

Mac će od vas zatražiti da uključite zahtjev za lozinkom s korisničkog računa odmah nakon buđenja iz stanja mirovanja ili otključavanja ekrana - naravno, radi dodatne sigurnosti. Ovaj prijedlog se može zanemariti.

Zatim će se od vas tražiti da kreirate PIN za pristup privjesku ključeva. Prema zadanim postavkama, ovo je četverocifreni broj koji morate zapamtiti i unijeti svaki put kada povežete novi uređaj na svoj privjesak za ključeve:

Ali ni ovo nije neophodno. Obratite pažnju na dugme "Napredno". Otvara nekoliko opcija u vezi PIN koda:

Prvi će omogućiti paranoicima da postave kod bilo koje dužine koristeći bilo koje znakove, a ne samo brojeve. Drugi će automatski generirati kod. Treći vam općenito omogućava da napustite sigurnosni kod. Ali kako će se u ovom slučaju odvijati potvrda novih uređaja? Vrlo jednostavno - uz pomoć vaših drugih uređaja.

Kada se PIN kreira ili poništi, podešavanje je završeno.

Početno podešavanje Keychain Access-a na iOS-u ide na sličan način - idite na meni "Settings-iCloud" i uključite potvrdni okvir "Keychain Access", a zatim kreirajte PIN. Problem je u tome što ćete biti primorani da unesete broj mobilnog telefona, a samo Rusija je podržana iz zemalja ZND.

Sada razgovarajmo o povezivanju novih uređaja na iCloud Keychain.

Povezivanje novog iOS uređaja na iCloud Keychain

Idite na gore spomenuti meni "Postavke-iCloud" i odaberite stavku "Pristup privjesku ključeva":

Slažete se da omogućite funkciju:

Definitivno ćete morati unijeti lozinku za svoj iCloud račun:

Nakon toga, Keychain Access će preći u način čekanja na aktivaciju.

Kao što smo rekli, kada dodajete novi uređaj na vaš iCloud Keychain, imate dvije alternative:

• unesite PIN kod
• potvrdite vezu sa drugog uređaja

Na iOS uređaju ćete vidjeti dugme "Verifikuj kodom", klikom na koje možete unijeti PIN i odmah aktivirati funkciju:

Zamjena je potvrda s drugog uređaja. Čim pokušate uključiti iCloud Keychain na jednom od vaših uređaja, svi ostali gadgeti povezani na isti iCloud račun i isti Keychain će dobiti obavještenja:

Ali to nije samo obavijest. Klikom na baner, bit ćete preusmjereni na iCloud postavke, gdje će od vas biti zatraženo da unesete lozinku svog računa kao potvrdu pristanka za dodavanje novog uređaja u vaš Keychain. Nakon što unesete lozinku na bilo koji od vaših drugih uređaja, novi gadget se smatra trajno povezanim, započeće sinkronizacija lozinke putem iCloud Keychain-a.

Povezivanje novog Mac-a na iCloud Keychain

Proces je identičan onom opisanom u prethodnom poglavlju pregleda. Idite na OS X postavke, iCloud Remote i uključite Keychain Access. Unesite lozinku za svoj iCloud nalog.

Za unos PIN-koda nisu potrebna posebna objašnjenja:

Ako ne želite da unesete PIN, Mac će ostati u načinu čekanja na aktivaciju:

Prilično je teško propustiti novo obavještenje o verifikaciji uređaja - i u OS X i iOS-u će visjeti na vidiku: