Pozdrav svima, dragi čitatelji. Danas ću vam reći što je zloglasni iCloud Keychain, kako ga aktivirati i kako ga koristiti. Prvo ću vam dati definiciju što je iCloud privjesak za ključeve.
ICloud Keychain je Appleova usluga u oblaku pod nazivom iCloud Keychain. Služi za pohranu osobnih podataka korisnika u šifriranom obliku. Osobnim podacima se mogu smatrati prijave i lozinke, kao i sigurnosni kodovi s kreditnih kartica + certifikati koje koristite u Appleovim uslugama.
Sasvim prirodno postavlja se pitanje – koliko je sigurno koristiti ovu uslugu radi sigurnosti podataka. Prema navodima tvrtke, svi podaci su pohranjeni u šifriranom obliku i samo im vlasnik podataka može pristupiti, zaposlenici Applea nemaju pristup vašim podacima.
Ovaj način rada možete aktivirati izravno sa svog Apple uređaja, na primjer iPad ili iPhone... Pokazat ću korištenje iPada kao primjer, ali nema razlike između aktiviranja načina rada na iPhoneu ili iPadu.
Aktivacija
Slijedite korake u nastavku da biste uspješno aktivirali potrebnu uslugu:
U budućnosti ćete moći sinkronizirati informacije s ove usluge s drugim uređajima: oba temeljena na iOS operativnom sustavu, kao i na Mac OS-u.
Prilagodba
Sada konfigurirajmo automatsko spremanje važnih podataka u uslugu iCloud Keychain unesenu u preglednik Safari:
- Prije svega, trebate otići na postavke uređaja i odabrati odjeljak Safari, a zatim ići na stavku - lozinke;
- U polju koje se otvori trebate označiti okvir u odjeljku "Imena i lozinke".
Nakon izvršenja gore navedene operacije, sve vaše lozinke, prijave i drugi podaci uneseni u preglednik Safari bit će spremljeni, na vaš zahtjev, u uslugu oblaka iCloud Keychain.
Nekoliko savjeta za korištenje ove opisane funkcije:
- Ako ne možete konfigurirati ili aktivirati pakete, morate ažurirati operativni sustav na trenutnu verziju, a također provjeriti internetsku vezu;
- Možete vidjeti sve spremljene lozinke, za to trebate: otići na postavke, zatim u odjeljak Safari, Lozinke, spremljene lozinke;
- Ova usluga možda neće moći pohraniti lozinke na nekim web stranicama. takve stranice, iz sigurnosnih razloga, zabranjuju spremanje bilo kakvih podataka;
- Preporučam da ovaj alat – privjesak za ključeve – koristite samo na svom Apple mobilnom uređaju bez jailbreak-a. Jer korištenje ove funkcije uz bijeg iz zatvora može biti nesigurno.
Danas sam odlučio napraviti pregledni članak o privjesku za ključeve, budući da se zadnji put naša stranica sjetila toga davne 2013. godine. U tom trenutku se pojavila u iOS-u 7. No, sada su prošle skoro 4 godine i čekamo iOS 11, pa je vrijeme da napravimo ažurne upute o Keychain Accessu s pitanjima i odgovorima.
Što je iCloud Keychain Access?
ICloud privjesak za ključeve je funkcionalnost koja vam omogućuje sigurno pohranjivanje tajnih podataka (prijave, lozinke, brojevi kreditnih kartica itd.) u sustavu iu oblaku.
Podaci privjeska ključeva šifrirani su snažnom 256-bitnom AES enkripcijom. Zahvaljujući korištenju iCloud tehnologije, podaci se ažuriraju na različitim uređajima.
Privjesak za ključeve pomaže ne samo pohraniti podatke, već i unijeti te podatke za korisnika.
A sada jednostavan primjeršto pokazuje Rad privjeska za ključevečak ni korisnici koji su previše tehnički upućeni.
Korisnik posjećuje stranicu (na primjer, Odnoklassniki) u Safariju na iPhoneu. Tamo ima korisničko ime i lozinku. Unosi ih ručno. Sustav nudi spremanje podataka u privjesak za ključeve. Ako korisnik pristane, podaci idu u posebnu datoteku. Korisnik odlučuje otići u Odnoklassniki na iPadu. Otvara stranicu u Safariju. iOS sustav uzima podatke iz te vrlo posebne datoteke i ispunjava polja za prijavu i lozinku. Korisnik samo mora kliknuti na gumb Prijava. Dakle, korisnik ne mora ne samo unijeti lozinku, već je i zapamtiti. Privjesak to čini umjesto njega.
Kako mogu postaviti Keychain Access?
Nakon što ažurirate svoj iOS na najnoviju verziju, posvećeni pomoćnik će vas zamoliti da postavite Keychain Access. Također, postavka je moguća ako ste upravo kupili novi uređaj i pokušavate ga aktivirati pod vašim (eventualno novim) računom.
Postavke-> VAŠE IME (na samom vrhu) -> iCloud-> Keychain Access.
Uključite klizač iCloud Keychain. Slijedite upute iz sustava. Ako je ovo vaš prvi uređaj s ovim Apple ID računom, Keychain Access će se jednostavno uključiti. Ako uređaj nije prvi, tada morate potvrditi uključivanje.
Obično morate unijeti ICloud sigurnosni kod... Nakon toga trebate unijeti poseban kod koji dolazi na vaš drugi uređaj, a koji je vezan uz vaš Apple ID (ako je iPhone, onda na broj povezan s vašim računom dolazi SMS).
Istodobno se na drugom uređaju pojavljuje posebna poruka koja traži lozinku od Apple ID-a.
Kontakt podaci i Moji detalji- ove dvije stavke omogućuju vam da iz postavki odredite kontakt koji će se koristiti za ispunjavanje različitih obrazaca. To jest, možete se dodati u aplikaciju kontakti, registrirajte tamo e-mail, broj telefona i druge podatke. U budućnosti, ako web-mjesto traži e-poštu, autodovršavanje će to učiniti umjesto vas.
Imena i lozinke- nije jasno kako radi, ali sudeći prema opisu, omogućuje vam pregled i brisanje lozinki u postavkama "Računi i lozinke" (više o tome u nastavku). Trik je u tome što ga palivši i gaseći nisam primijetio razliku u funkcionalnosti.
Kreditne kartice- omogućiti spremanje zakucanih karata na stranicama. U tom slučaju, sustav će i dalje tražiti spremanje kartice u Keychain ili ne.
Spremljene kreditne kartice(možete ući samo lozinkom, ili putem Touch ID-a) - ovdje možete pogledati ili dodati kartice koje se koriste prilikom plaćanja kupovina na Internetu.
Što je iCloud sigurnosni kod?
Kada prvi put postavite svoj privjesak za ključeve, sustav od vas traži da izradite iCloud sigurnosni kod (obično 4-6 znamenkastog koda). Ako preskočite ovaj korak (a to je moguće), privjesak za ključeve bit će pohranjen lokalno na vašem uređaju. Nema govora o bilo kakvoj sinkronizaciji s drugim uređajima.
Sigurnosni kod iClouda se najbolje pamti (ili zapisuje negdje na sigurno). Možete ga koristiti za odobravanje pristupa privjescima ključeva na drugim uređajima. Sigurnosni kod za iCloud može vam pomoći, čak i ako ste izgubili sve uređaje na kojima ste postavili Keychain Access.
Ako unesete pogrešan iCloud sigurnosni kod više puta zaredom, Keychain Access će se deaktivirati. Pristup će biti moguće vratiti samo uz pomoć Apple tehničke podrške, ali oni nemaju pristup kodu, pa je maksimum što tehnička podrška može: dati vam priliku za još nekoliko pokušaja. Ako svi ne uspiju, privjesak ključeva se uklanja iz iClouda.
Korištenje iClouda u praksi
Idemo na stranicu na kojoj se želimo registrirati. Idemo u odjeljak s registracijom. Unosimo korisničko ime i lozinku. Sustav će od vas tražiti da spremite lozinku u privjesak za ključeve.
Zatim možete otići na stranicu i, umjesto unosa podataka, kliknuti na poveznicu "Auto-fill password".
Ili sustav sam popunjava korisničko ime i lozinku. U svakom slučaju, podaci u obrascu bit će na žutoj pozadini:
Ako na stranici postoji nekoliko lozinki/prijava, tada možete kliknuti na vezu "Lozinke" iznad tipkovnice. Keychain će od vas tražiti da odaberete prijavu koju želite. Spremljenu lozinku možete odmah izbrisati.
Kako vidjeti prijave i lozinke u Keychain Accessu
Na iOS-u i Mac OS-u možete vidjeti prijave i lozinke u Keychain Access-u.
V iOS to se radi u Postavke-> Računi i lozinke-> Lozinke za programe i web-mjesta. Možete se prijaviti samo pomoću Touch ID-a ili Apple ID lozinke.
Morate pronaći račun koji vam je potreban i kliknuti na njega. U polju Lozinka možete vidjeti lozinku u čistom tekstu, a u Korisničkom imenu - prijavu na stranicu. Ovdje se mogu promijeniti lozinke i prijave.
Na Mac OS-u ni pregledavanje vašeg privjeska za ključeve nije teško. Postoji posebna aplikacija "Keychain". U njemu tražimo željeno mjesto i dvaput guramo duž linije.
Stavljamo kvačicu "Prikaži lozinku" i sustav će tražiti lozinku od računa administratora računala. Ubacujemo lozinku i vidimo traženu lozinku.
Svaki račun ima jedinstvene postavke pristupa. U pravilu je bolje ne dirati ove postavke:
Iskusni korisnik odmah će shvatiti iz snimke zaslona da ovdje možete dodati aplikaciju koja može pristupiti objektu u Keychainu.
Privjesak za ključeve pitanja i odgovori
Koji su zahtjevi za pristup privjescima za ključeve?
Privjesak za ključeve dostupan je počevši od iOS 7.0.3 i OS X Mavericks 10.9. Privjesak za ključeve ne nameće nikakve dodatne zahtjeve na uređaj.
Je li pohrana podataka u Keychainu sigurna?
U teoriji, ovo je potpuno sigurno. Budući da su podaci šifrirani i nedostupni čak i Appleu (ova izjava se može uzeti samo na temelju vjere).
Koji se podaci pohranjuju u privjesku za ključeve kreditne kartice?
Broj kartice, ime, prezime i rok važenja. Privjesak za ključeve ne sprema CVC kod na poleđini kartice.
Postoje li alternative za Keychain?
Da, postoji mnogo aplikacija. Glavna stvar je pronaći onu koja je popularna i koja se već dugo etablirala. Na primjer, 1Password radi istu stvar kao privjesak za ključeve. Aplikacija se stalno ažurira i ima puno obožavatelja. Keychain Access besplatna je, ugrađena alternativa za Apple korisnike. Ako imate pakete za više platformi, na primjer: iPhone-Windows ili Android-Mac, onda ima smisla odabrati alternativu.
Ponekad Keychain Access od vas traži da generirate lozinku. Zašto ne uvijek?
Prema web stranici Applea, generator lozinki ne radi na svim stranicama.
Sigurno pohranjivanje lozinki i njihovo sinkroniziranje na različitim uređajima nije lak zadatak. Prije otprilike godinu dana, Apple je svijetu predstavio iCloud Keychain, svoju centraliziranu pohranu lozinki za OS X i iOS. Pokušajmo shvatiti gdje i kako se pohranjuju korisničke lozinke, koje potencijalne rizike nosi i može li Apple tehnički pristupiti dešifriranim podacima pohranjenim na njegovim poslužiteljima. Tvrtka tvrdi da je takav pristup nemoguć, ali kako bi to potvrdili ili demantirali, potrebno je razumjeti kako funkcionira iCloud Keychain.
iCloud 101
Zapravo, iCloud nije samo jedna usluga, to je generički marketinški naziv za Appleov raspon usluga u oblaku. To uključuje sinkronizaciju postavki, dokumenata i fotografija te Find My Phone za pronalaženje izgubljenih ili ukradenih uređaja i iCloud Backup za sigurnosno kopiranje u oblak, a sada je ovdje iCloud Keychain za sigurnu sinkronizaciju lozinki i brojeva kreditnih kartica između uređaja koji se temelje na iOS-u i OS X...
Svaka iCloud usluga nalazi se na vlastitoj domeni treće razine, kao što je pXX-keyvalueservice.icloud.com, gdje je XX broj grupe poslužitelja odgovorne za obradu zahtjeva trenutnog korisnika; ovaj broj može biti različit za različite Apple ID-ove; noviji računi obično imaju višu vrijednost za ovaj brojač.
ICloud sigurnosni kod
Prije nego što uđemo u analizu iCloud Keychain-a, pogledajmo kako je ova usluga konfigurirana. Kada je iCloud Keychain uključen, od korisnika se traži da smisli i unese iCloud sigurnosni kod (iCloud Security Code, u daljnjem tekstu - iCSC). Obrazac za unos prema zadanim postavkama omogućuje korištenje četveroznamenkastog numeričkog koda, ali klikom na vezu "Napredne opcije" i dalje možete koristiti složeniji kod ili čak dopustiti uređaju da generira jak nasumični kod.
Sada znamo da su podaci u iCloud Keychainu zaštićeni iCSC-om. Pa, pokušajmo shvatiti kako se točno provodi ova zaštita!
Presretanje prometa ili čovjek u sredini
Prvi korak u analizi mrežnih usluga često je dobivanje pristupa mrežnom prometu između klijenta i poslužitelja. U slučaju iClouda, za nas postoje dvije vijesti: dobra i loša. Loša stvar je što je sav (dobro, ili barem njegov najveći dio) promet zaštićen TLS/SSL-om, odnosno šifriran je i ne može se "pročitati" normalnim pasivnim napadom. Dobra vijest je da je Apple poklonio svima koji žele istraživati iCloud i ne koriste prikačenje certifikata, što olakšava organiziranje napada čovjeka u sredini i dešifriranje presretnutog prometa. Za ovo je dovoljno:
- Postavite eksperimentalni iOS uređaj na istu Wi-Fi mrežu s računalom za presretanje.
- Instalirajte proxy poslužitelj za presretanje (kao što je Burp, Charles Proxy ili bilo koji sličan) na računalo.
- Uvezite TLS / SSL certifikat instaliranog proxy poslužitelja na iOS uređaj (detalji u pomoći određenog proxyja).
- U postavkama Wi-Fi mreže na iOS uređaju (Postavke → Wi-Fi → Naziv mreže → HTTP Proxy) navedite IP adresu računala za presretanje u Wi-Fi mreži i port na kojem proxy poslužitelj sluša.
Ako je sve učinjeno ispravno, sav promet između uređaja i iClouda bit će na prvi pogled. A iz presretanja tog prometa jasno će se vidjeti da je iCloud Keychain izgrađen na temelju dvije iCloud usluge: com.apple.Dataclass.KeyValue i com.apple.Dataclass.KeychainSync - i tijekom početnog i ponovnog uključivanja na drugim iOS uređajima razmjenjuje podatke s tim uslugama.
Prva usluga nije nova i bila je među prvim značajkama iClouda; naširoko ga koriste aplikacije za sinkronizaciju postavki. Drugi je nov i razvijen je, očito, posebno za iCloud Keychain (iako vam njegova funkcionalnost teoretski omogućuje da ga koristite u druge svrhe). Pogledajmo pobliže ove usluge.
com.apple.Dataclass.KeyValue
Kao što je gore navedeno, ovo je jedna od usluga koje koristi iCloud Keychain. Mnoge postojeće aplikacije koriste ga za sinkronizaciju malih količina podataka (postavke, oznake i slično). Svaki unos koji je pohranila ova usluga pridružen je ID-u paketa i nazivu trgovine. Sukladno tome, za primanje pohranjenih podataka od usluge potrebno je i ove identifikatore. Unutar iCloud Keychaina, ova usluga se koristi za sinkronizaciju Keychain zapisa u šifriranom obliku. Ovaj je proces dovoljno detaljno opisan u dokumentu o sigurnosti za iOS pod Sinkronizacija privjeska ključeva i Kako radi sinkronizacija privjeska ključeva.
Sinkronizacija privjeska za ključeve
Kada korisnik prvi put uključi iCloud Keychain, uređaj stvara krug povjerenja i sinkroniziranje identiteta (javni i privatni ključevi) za trenutni uređaj. Javni ključ ovog para stavlja se u "krug povjerenja" i ovaj "krug" se potpisuje dvaput: prvo privatnim ključem za sinkronizaciju uređaja, a zatim asimetričnim ključem (baziranim na eliptičnoj kriptografiji) izvedenom iz korisničke iCloud lozinke . Također, "krug" pohranjuje parametre za izračunavanje ključa iz lozinke, kao što su sol i broj iteracija.
Potpisani "krug" sprema se u pohranu ključeva/vrijednosti. Ne može se pročitati bez poznavanja korisničke iCloud lozinke i ne može se promijeniti bez poznavanja privatnog ključa jednog od uređaja koji je dodan u krug.
Kada korisnik uključi iCloud Keychain na drugom uređaju, taj uređaj pristupa pohrani ključeva/vrijednosti u iCloudu i primjećuje da korisnik već ima “krug povjerenja” i da novi uređaj nije uključen u njega. Uređaj generira ključeve za sinkronizaciju i potvrdu za zahtjev za članstvo u krugu. Potvrda sadrži javni ključ za sinkronizaciju uređaja i potpisana je ključem dobivenim iz korisničke iCloud lozinke pomoću parametara generiranja ključeva dobivenih iz pohrane ključeva/vrijednosti. Potpisana potvrda se zatim stavlja u pohranu ključeva/vrijednosti.
Prvi uređaj vidi novi račun i pokazuje korisniku poruku da novi uređaj traži da bude dodat u krug povjerenja. Korisnik upisuje iCloud lozinku i provjerava se ispravnost potpisa potvrde. To dokazuje da je korisnik koji je generirao zahtjev za dodavanje uređaja unio ispravnu lozinku prilikom izrade računa.
Nakon što korisnik potvrdi dodavanje uređaja u krug, prvi uređaj dodaje javni ključ za sinkronizaciju novog uređaja u krug i dvaput ga ponovno potpisuje koristeći svoj privatni ključ za sinkronizaciju i pomoću ključa dobivenog iz korisničke iCloud lozinke. Novi "krug" sprema se u iCloud, a novi uređaj ga potpisuje na isti način.
Kako funkcionira sinkronizacija privjesaka
Sada su u "krugu povjerenja" dva uređaja, a svaki od njih poznaje javne ključeve za sinkronizaciju drugih uređaja. Počinju razmjenjivati Keychain zapise putem iCloud Key/Value pohrane. Ako je isti zapis prisutan na oba uređaja, prioritet će imati kasnija izmjena. Ako je vrijeme izmjene snimke u iCloudu i na uređaju isto, tada se snimanje ne sinkronizira. Svaki sinkronizirani unos je šifriran posebno za ciljni uređaj; ne mogu ga dešifrirati drugi uređaji ili Apple. Osim toga, snimka nije trajno pohranjena u iCloud - prebrisana je novim sinkroniziranim snimkama.
Ovaj se postupak ponavlja za svaki novi uređaj dodan u krug povjerenja. Na primjer, ako se u krug doda treći uređaj, tada će se zahtjev za potvrdu prikazati na druga dva uređaja. Korisnik može potvrditi dodavanje na bilo kojem od njih. Kako se dodaju novi uređaji, svaki uređaj u krugu sinkronizira se s novim kako bi se osiguralo da je skup unosa isti na svim uređajima.
Treba napomenuti da cijeli Keychain nije sinkroniziran. Neki unosi su vezani uz uređaj (kao što su VPN računi) i ne bi trebali napustiti uređaj. Sinkroniziraju se samo zapisi koji imaju atribut kSecAttrSynchronizable. Apple je postavio ovaj atribut za Safari korisničke podatke (uključujući korisnička imena, lozinke i brojeve kreditnih kartica) i za Wi-Fi lozinke.
Također se prema zadanim postavkama ne sinkroniziraju ni snimke iz aplikacija trećih strana. Da bi ih sinkronizirali, programeri moraju eksplicitno postaviti atribut kSecAttrSynchronizable kada dodaju unos u Keychain.
iCloud Keychain radi s dvije pohrane:
- com.apple.security.cloudkeychainproxy3
- com.apple.sbd3
Prva trgovina navodno se koristi za održavanje popisa pouzdanih uređaja (uređaja u "krugu povjerenja" između kojih je sinkronizacija lozinki dopuštena), za dodavanje novih uređaja na ovaj popis i za sinkronizaciju unosa između uređaja (u skladu s mehanizmom opisano iznad).
Druga pohrana namijenjena je za sigurnosno kopiranje i vraćanje Keychain zapisa na nove uređaje (na primjer, kada nema drugih uređaja u "krugu povjerenja") i sadrži šifrirane Keychain zapise i povezane informacije.
Stoga se zapisi Keychain-a pohranjuju u uobičajenu pohranu ključeva/vrijednosti (com.apple.securebackup.record). Ovi zapisi su šifrirani pomoću skupa ključeva koji su tamo pohranjeni (BackupKeybag). Ali ovaj skup ključeva zaštićen je lozinkom. Odakle dolazi ova lozinka? Što je Appleova usluga deponiranja lozinke? Zatim ćemo to pokušati shvatiti.
apple.Dataclass.KeychainSync
Ovo je nova usluga, nastala je relativno nedavno: njezina se podrška prvi put pojavila u beta verzijama iOS-a 7, zatim je izostala u iOS-u 7.0–7.0.2 i ponovno je dodana u iOS-u 7.0.3, koji je objavljen. istodobno s izdavanjem OS X Mavericks. Ovo je gore spomenuta usluga escrow lozinke (adresa usluge je pXX-escrowproxy.icloud.com).
Usluga je dizajnirana za sigurno pohranjivanje korisničkih tajni i omogućuje korisniku da povrati te tajne nakon uspješne provjere autentičnosti. Za uspješnu autentifikaciju potrebno vam je sljedeće:
- iCloud token za autentifikaciju, dobiven u zamjenu za Apple ID i lozinku tijekom početne provjere autentičnosti na iCloud (standardna metoda provjere autentičnosti za većinu iCloud usluga);
- iCloud sigurnosni kod (iCSC);
- šesteroznamenkasti brojčani kod koji Appleovi poslužitelji šalju na broj mobitela koji je povezan s korisnikom.
Ovo izgleda dobro u teoriji, ali da bismo utvrdili je li teorija isto što i praksa, moramo izvršiti reviziju programa klijenta escrow-a. Na iOS-u i OS X-u ovaj se program zove com.apple.lakitu. Opis procesa njegovog poništavanja i revizije je izvan okvira članka, pa idemo odmah na rezultate.
Dostupne naredbe
Revizija com.apple.lakitu omogućuje vam definiranje popisa naredbi koje implementira escrow usluga. Odgovarajuća snimka zaslona prikazuje naredbe i njihove opise. Posebno bih se želio zadržati na posljednjoj naredbi - uz njenu pomoć moguće je promijeniti telefonski broj povezan s tekućim računom. Prisutnost ove naredbe čini višefaktorsku autentifikaciju koja se koristi za oporavak iCloud Keychain-a (Apple ID lozinka + iCSC + uređaj) osjetno manje pouzdanom, jer eliminira jedan od čimbenika. Zanimljivo je da iOS korisničko sučelje ne dopušta izvršavanje ove naredbe - jednostavno nema takvu opciju (barem je nisam našao).
Posebnost ove naredbe, koja je razlikuje od svih ostalih, je u tome što zahtijeva autentifikaciju pomoću Apple ID lozinke i neće raditi ako se za autentifikaciju koristi iCloud token (ostale naredbe rade s tokenom autentifikacijom). To služi kao dodatna zaštita za tim i ukazuje na to da su dizajneri sustava poduzeli korake za poboljšanje njegove sigurnosti. No, nije sasvim jasno zašto je ova naredba uopće prisutna u sustavu.
Oporavak pohranjenih podataka
Za primanje pohranjenih podataka provodi se sljedeći protokol:
- Klijent traži popis deponiranih zapisa (/get_records).
- Klijent traži pridruženi telefonski broj na koji će poslužitelj poslati kod za potvrdu (/get_sms_targets).
- Klijent inicira generiranje i isporuku koda za potvrdu (/generation_sms_challenge).
- Nakon što korisnik unese iCSC i SMS potvrdni kod, klijent pokreće pokušaj autentifikacije koristeći SRP-6a protokol (/srp_init).
- Nakon zaprimanja odgovora od poslužitelja, klijent obavlja izračune propisane protokolom SRP-6a i traži escrowed podatke (/oporavak).
- Ako je klijent uspješno autentificiran, poslužitelj vraća pohranjene podatke, nakon što ih je prethodno šifrirao na ključu generiranom tijekom rada protokola SRP-6a (ako je protokol uspješno radio, tada su i poslužitelj i klijent izračunali taj zajednički ključ).
Važno je napomenuti da se telefonski broj dobiven u koraku 2 koristi isključivo za potrebe korisničkog sučelja, odnosno da korisniku pokaže broj na koji će biti poslan potvrdni kod, a u koraku 3 klijent ne poslati poslužitelju broj na koji treba poslati kod za potvrdu.
Sigurna daljinska lozinka
U koraku 4, klijent pokreće SRP-6a protokol. Secure Remote Password (SRP) je protokol za provjeru autentičnosti lozinke koji je zaštićen od prisluškivanja i napada čovjeka u sredini. Tako je, na primjer, kada se koristi ovaj protokol, nemoguće je presresti hash lozinke i zatim ga pokušati oporaviti, jednostavno zato što se hash ne prenosi.
Apple koristi najnapredniju verziju protokola, SRP-6a. Ova opcija upućuje na prekid veze ako provjera autentičnosti ne uspije. Osim toga, Apple dopušta samo deset neuspjelih pokušaja provjere autentičnosti za određenu uslugu, nakon čega se svi naredni pokušaji blokiraju.
Detaljan opis SRP protokola i njegovih matematičkih temelja je izvan dosega ovog članka, ali radi potpunosti, u nastavku je privatna verzija koju koristi usluga com.apple.Dataclass.KeychainSync.
SHA-256 se koristi kao hash funkcija H, a 2048-bitna grupa iz RFC 5054 "Using the Secure Remote Password (SRP) Protocol for TLS Authentication" koristi se kao grupa (N, g). Protokol radi kako slijedi:
- Uređaj generira slučajnu vrijednost a, izračunava A = g ^ a mod N, gdje su N i g parametri 2048-bitne grupe iz RFC 5054, i šalje poruku poslužitelju koja sadrži korisnički ID, izračunatu vrijednost A i SMS potvrdni kod. Vrijednost DsID, jedinstveni brojčani identifikator korisnika, koristi se kao identifikator korisnika.
- Nakon primitka poruke, poslužitelj generira slučajnu vrijednost b i izračunava B = k * v + g ^ b mod N, gdje je k faktor definiran u SRP-6a kao k = H (N, g), v = g ^ H (Salt, iCSC) mod N je verifikator lozinke pohranjen na poslužitelju (analog hash lozinke), Salt je nasumična sol koja se generira prilikom kreiranja računa. Poslužitelj šalje poruku klijentu koja sadrži B i Salt.
- Pomoću jednostavnih matematičkih transformacija, klijent i poslužitelj izračunavaju zajednički ključ sesije K. Time je završen prvi dio protokola – generiranje ključa – i sada klijent i poslužitelj moraju osigurati da dobiju istu K vrijednost.
- Klijent izračunava M = H (H (N) XOR H (g) | H (ID) | Salt | A | B | K), dokaz da zna K, i šalje M i SMS potvrdni kod poslužitelju. Poslužitelj također izračunava M i uspoređuje primljenu od klijenta i izračunatu vrijednost; ako se ne podudaraju, poslužitelj prekida izvršavanje protokola i prekida vezu.
- Poslužitelj dokazuje klijentu poznavanje K tako što izračunava i šalje H (A, M, K). Sada su obje strane u protokolu ne samo razradile zajednički ključ, već su se i pobrinule da taj ključ bude isti za obje strane. U slučaju escrow usluge, poslužitelj također vraća nasumični vektor inicijalizacije IV i escrow zapis šifriran na zajedničkom ključu K korištenjem AES algoritma u CBC načinu.
Korištenje SRP-a za dodatnu zaštitu korisničkih podataka, po mom mišljenju, značajno poboljšava sigurnost sustava od vanjskih napada, makar samo zato što vam omogućuje da se učinkovito oduprete pokušajima grube sile iCSC-a: možete isprobati samo jednu zaporku po vezi s uslugom . Nakon nekoliko neuspješnih pokušaja, račun (u okviru rada s escrow uslugom) prelazi u stanje soft lock i privremeno se blokira, a nakon deset neuspješnih pokušaja račun se potpuno zaključava i daljnji rad s escrow uslugom moguć je samo nakon što se iCSC za račun resetuje.
Istodobno, korištenje SRP-a ni na koji način ne štiti od unutarnjih prijetnji. Pohranjena lozinka pohranjena je na Appleovim poslužiteljima, pa se može pretpostaviti da joj Apple može pristupiti ako je potrebno. U tom slučaju, ako lozinka nije bila zaštićena (na primjer, šifrirana) prije escrow-a, to može dovesti do potpunog kompromitiranja Keychain unosa pohranjenih u iCloud, budući da će escrowed lozinka omogućiti dešifriranje ključeva za šifriranje, a oni - Keychain unosa (pogledajte com. apple.Dataclass.KeyValue).
Međutim, u dokumentu o sigurnosti za iOS, Apple navodi da se specijalizirani hardverski sigurnosni moduli (HSM) koriste za pohranjivanje deponiranih zapisa i da se ne može pristupiti podacima o escrowu.
Escrow sigurnost
iCloud pruža sigurnu infrastrukturu za Keychain escrow, osiguravajući da Keychain vraćaju samo ovlašteni korisnici i uređaji. HSM klasteri štite deponirane zapise. Svaki klaster ima svoj vlastiti ključ za šifriranje koji se koristi za zaštitu zapisa.
Za oporavak Keychain-a, korisnik se mora autentificirati s iCloud korisničkim imenom i lozinkom te odgovoriti na poslani SMS. Kada je to učinjeno, korisnik mora unijeti iCloud sigurnosni kod (iCSC). HSM klaster provjerava ispravnost iCSC-a koristeći SRP protokol; iCSC se ne prenosi na Apple poslužitelje. Svaki čvor u klasteru, neovisno o ostalima, provjerava je li korisnik premašio maksimalni broj pokušaja dohvaćanja podataka. Ako je provjera uspješna na većini čvorova, klaster dešifrira escrowed zapis i vraća ga korisniku.
Uređaj zatim koristi iCSC za dešifriranje escrowed zapisa i dobivanje lozinke koja se koristi za šifriranje Keychain zapisa. Korištenjem ove lozinke, privjesak ključeva dobiven iz pohrane ključeva/vrijednosti dešifrira se i vraća na uređaj. Dopušteno je samo deset pokušaja provjere autentičnosti i dohvaćanja pohranjenih podataka. Nakon nekoliko neuspješnih pokušaja, snimka je blokirana i korisnik mora kontaktirati podršku kako bi je deblokirao. Nakon desetog neuspješnog pokušaja, HSM klaster uništava deponirani zapis. To pruža zaštitu od napada grubom silom s ciljem dobivanja zapisa.
Nažalost, nije moguće provjeriti koriste li se HSM-ovi stvarno. Ako je sve točno i HSM ne dopušta čitanje podataka pohranjenih u njima, onda se može tvrditi da su podaci iCloud Keychain-a zaštićeni od internih prijetnji. No, opet, nažalost, nemoguće je dokazati ili opovrgnuti korištenje HSM-a i nemogućnost čitanja podataka iz njih.
Ostaje još jedan način zaštite podataka od interne prijetnje - zaštita deponiranih podataka na uređaju prije prijenosa na Appleove poslužitelje. Iz Appleovog opisa proizlazi (a preokret to potvrđuje) da je takva zaštita primijenjena - pohranjena lozinka je unaprijed šifrirana pomoću iCSC-a. Očito, u ovom slučaju, razina sigurnosti (od interne prijetnje) izravno ovisi o složenosti iCSC-a, a zadani iCSC od četiri znaka ne pruža dovoljnu zaštitu.
Dakle, shvatili smo kako funkcioniraju pojedini elementi sustava i sada je vrijeme da pogledamo cijeli sustav.
Stavljajući sve zajedno
Dijagram prikazuje rad iCloud Keychaina u smislu polaganja i vraćanja Keychain zapisa. Sustav radi na sljedeći način:
- Uređaj generira skup nasumičnih ključeva (u Appleovoj terminologiji - torbica za ključeve) za šifriranje Keychain zapisa.
- Uređaj šifrira unose Keychain-a (sa skupom atributa kSecAttrSynchronizable) pomoću skupa ključeva generiranog u prethodnom koraku i pohranjuje šifrirane unose u pohranu ključeva/vrijednosti com.apple.sbd3 (ključ com.apple.securebackup.record).
- Uređaj generira slučajnu lozinku koja se sastoji od šest grupa od po četiri znaka (entropija takve lozinke je oko 124 bita), šifrira skup ključeva generiranih u koraku 1 ovom lozinkom i pohranjuje šifrirani skup ključeva u ključ / Pohrana vrijednosti com.apple.sbd3 (BackupKeybag).
- Uređaj šifrira slučajnu lozinku generiranu u prethodnom koraku pomoću ključa dobivenog iz korisničkog iCloud sigurnosnog koda i deponira šifriranu lozinku na uslugu com.apple.Dataclass.KeychainSync.
Prilikom postavljanja iCloud Keychain-a, korisnik može koristiti složeni ili nasumični iCSC umjesto zadanog četveroznamenkastog koda. Ako se koristi složena šifra, mehanizam depozitnog sustava se ne mijenja; jedina razlika je u tome što se ključ za šifriranje slučajne lozinke neće izračunati iz četveroznamenkastog iCSC-a, već iz složenijeg koji je unio korisnik.
S slučajnim kodom, podsustav deponiranja lozinke uopće se ne koristi. U ovom slučaju, slučajna lozinka koju generira sustav je iCSC, a korisnikov zadatak je zapamtiti je i sigurno pohraniti. Unosi privjesaka ključeva i dalje su šifrirani i pohranjeni u pohrani ključeva/vrijednosti com.apple.sbd3, ali se usluga com.apple.Dataclass.KeychainSync ne koristi.
zaključke
Možemo sa sigurnošću reći da je s tehničke točke gledišta (odnosno, ne razmatramo društveni inženjering) i u odnosu na vanjske prijetnje (to jest, ne Apple), sigurnost usluge iCloud Keychain escrow usluge na dovoljnoj razini: zahvaljujući korištenju SRP protokola, čak i ako je iCloud lozinka ugrožena, napadač neće moći pristupiti zapisima Keychain-a, jer to dodatno zahtijeva iCloud sigurnosni kod, a iteracija kroz taj kod je značajno otežana.
Istodobno, koristeći drugi mehanizam iCloud Keychain-a - sinkronizaciju lozinke, napadač koji je kompromitirao iCloud lozinku i ima kratak fizički pristup jednom od korisnikovih uređaja može u potpunosti kompromitirati iCloud Keychain: za to je dovoljno dodati napadačevu uređaj u “krug povjerenja” uređaja korisnika, a za to je dovoljno znati iCloud lozinku i imati kratkoročni pristup korisnikovom uređaju za potvrdu zahtjeva za dodavanje novog uređaja u “krug”.
Ako uzmemo u obzir zaštitu od internih prijetnji (odnosno Applea ili nekoga tko ima pristup Appleovim poslužiteljima), onda u ovom slučaju sigurnost escrow usluge ne izgleda tako ružičasto. Appleove tvrdnje o korištenju HSM-a i nemogućnosti čitanja podataka s njih nemaju uvjerljive dokaze, a kriptografska zaštita deponiranih podataka vezana je uz iCloud sigurnosni kod, sa zadanim postavkama izrazito slaba i omogućuje svakome tko je u mogućnosti izvadite pohranjene zapise s Apple poslužitelja (ili HSM-ova), gotovo odmah oporavite svoj četveroznamenkasti iCloud sigurnosni kod.
U slučaju složenog alfanumeričkog koda, ovaj napad postaje teži kako se broj mogućih lozinki povećava. Ako je iCloud Keychain konfiguriran da koristi nasumični kod, tada usluga escrow uopće nije uključena, što zapravo čini ovaj vektor napada nemogućim.
Maksimalna razina sigurnosti (ne računajući, naravno, potpuno gašenje iCloud Keychaina) osigurana je korištenjem slučajnog koda - i to ne toliko zato što je takav kod teže pronaći, već zato što nije uključen podsustav escrow lozinke , te je stoga površina napada smanjena. Ali praktičnost ove opcije, naravno, ostavlja mnogo da se poželi.
Napredni korisnici Apple uređaja upoznati su s funkcijom " ICloud privjesak za ključeve»(Postoje i drugi privjesci ključeva, na primjer, Login, System, itd., dostupni na Macu), što uvelike pojednostavljuje rad s lozinkama i drugim osobnim podacima na uređajima koji koriste iOS i macOS. U ovom članku ćemo vam detaljno reći o procesu postavljanja usluge, kao i odgovoriti na često postavljana pitanja.
U kontaktu s
Što je iCloud Keychain Access i zašto vam je potreban?
Keychain Access je upravitelj lozinki za iPhone, iPod Touch, iPad i Mac koji pohranjuje vaše vjerodajnice za prijavu na Safari, podatke o platnim karticama i Wi-Fi informacije iz svih odobrenih iOS gadgeta 7.0.3, OS X Mavericks 10.9 i novijih izdanja Apple OS-a .
Osim toga, u " ICloud privjesak za ključeve"Za Mac također pohranjuje podatke o računu koji se koriste u standardnim aplikacijama kao što su" Kalendar», « Kontakti», « pošta"i" Objave". Kada se korisnik prijavi na društvenu mrežu ili otvori stranicu na kojoj je registriran, usluga automatski dodaje podatke računa svim povezanim uređajima.
Funkcija je vrlo zgodan alat za vlasnike više Apple uređaja.
Radi li Keychain Access u svim zemljama?
Da. " Hrpa ključeva»Može se postaviti i koristiti u bilo kojoj zemlji na bilo kojem kompatibilnom uređaju. Međutim, u nekim zemljama usluga radi bez mogućnosti korištenja " ICloud sigurnosni kod"(Više pojedinosti u nastavku).
Na primjer, prilikom postavljanja “ Grupe ključeva"U Rusiji korisnik može (ako je potrebno) zaštititi osobne podatke korištenjem" ICloud sigurnosni kod»(Podešavanje putem SMS-a), čime se spremaju svi servisni podaci na Apple poslužiteljima(više o tome pročitajte u nastavku).
Bilješka: Ako koristite dvofaktorsku autentifikaciju, tada se uređaj smatra pouzdanim kada se prijavite - tj. ICloud sigurnosni kod nije obavezno.
- Postavke i idi u odjeljak Apple ID [korisničko ime] -> lozinka i sigurnost.
- na Macu idi stazom "Postavke sustava" → iCloud → Račun → Sigurnost.
Kako mogu postaviti iCloud Keychain Access na svom Macu, iPhoneu ili iPadu?
Na iPhoneu ili iPadu:
Nakon instaliranja ažuriranja mobilnog operativnog sustava, pomoćnik za postavljanje traži od vas da konfigurirate " ICloud privjesak za ključeve". Ako to niste učinili odmah, ne brinite, funkciju možete postaviti u bilo koje vrijeme koje vam odgovara. Za ovo:
- Na iOS 10.3 i novijim, otvorite " Postavke", Odaberite svoje ime (na samom vrhu) i uđite u odjeljak iCloud (na uređajima koji koriste stariju verziju iOS-a, ovaj odjeljak se nalazi duž puta:" Postavke» -> iCloud).
- Idi na odjeljak .
- Aktivirajte prekidač ... Unesite lozinku svog računa i slijedite daljnje upute na zaslonu.
Na Mac računalima:
- Kliknite izbornik Apple (), odaberite " Postavke sustava».
- Odaberite odjeljak iCloud i aktivirajte prekidač " ICloud privjesak za ključeve”, Nakon čega morate unijeti svoj Apple ID i lozinku te slijediti upute koje se pojavljuju.
Dodavanje dodatnih uređaja
Ako želite dodati dodatne uređaje, " ICloud privjesak za ključeve"Mora biti omogućen na svakom od njih. Kada se funkcija aktivira na novom uređaju, svaki uređaj na kojem je konfiguriran dobit će zahtjev za potvrdu.
Na primjer, kada uključite Keychain Access u iPhoneu na Mac zaslonu koristeći isti Apple ID (iCloud) račun, vidjet ćete poruku poput ove:
Kliknite "Nastavi", što će otvoriti postavke iClouda, gdje trebate unijeti svoju Apple ID lozinku i time dopustiti uređaju da koristi Hrpa ključeva.
Obrnuti postupak - uključite Hrpa ključeva na Macu - obavijest stiže na iPhone.
Nakon potvrde, informacije o novom gadgetu automatski će se ažurirati ako je uređaj na internetu.
Bilješka: S omogućenom dvofaktorskom provjerom autentičnosti uključuje se bez primanja potvrde od drugog uređaja.
Da biste provjerili je li na uređaju omogućena dvofaktorska provjera autentičnosti:
- na iPhoneu ili iPadu otvorite aplikaciju Postavke i idi u odjeljak Apple ID [korisničko ime] -> lozinka i sigurnost.
- na Macu idi stazom "Postavke sustava" -> iCloud -> Račun -> Sigurnost.
Sigurnosni kod prilikom konfiguriranja Keychain-a. Što je?
Bilješka: Ako koristite dvofaktorsku autentifikaciju onda ICloud sigurnosni kod nije obavezno.
Sigurnosni kod je skup od šest brojeva ili kombinacija brojeva i slova koji se koriste za identifikaciju korisnika i pristup drugim značajkama " ICloud privjesak za ključeve". Na primjer, ako ste izgubili svoje uređaje, pomoću koda možete vratiti podatke spremljene u njemu. Korištenje ICloud sigurnosni kod svi servisni podaci pohranjeni su na Apple poslužiteljima. Za primanje sigurnosnog koda morate primiti SMS na telefonski broj registriran u zemlji u kojoj službeno podržan.
Sukladno tome, ako ne koristite ICloud sigurnosni kod, zatim podatke iz Grupe ključeva pohranjuju se i sinkroniziraju samo između odobrenih uređaja.
Ponovimo to Sigurnosni kod omogućuje vam da aktivirate " ICloud privjesak za ključeve»Bez potrebe za dobivanjem odobrenja od drugih uređaja, ali za to mora biti omogućen. Samo uključite prekidač kao što je gore opisano i unesite lozinku i sigurnosni kod koji se automatski prikazuju na pouzdanim gadgetima.
Kako vidjeti lozinke za web-mjesta u iCloud Keychain-u na iPhoneu ili iPadu
Kada je iCloud Keychain aktiviran, "Automatsko dovršavanje" od samog Applea unosi vjerodajnice za autorizaciju korisnika u odgovarajuća polja na web stranicama ili aplikacijama. Međutim, neke stranice zabranjuju automatski unos podataka. U takvim slučajevima morate ručno kopirati i zalijepiti svoje korisničko ime i lozinku. To se radi na sljedeći način:
1. Otvorite aplikaciju "Postavke";
2. Odaberite "Računi i lozinke";
3. Odaberite "Lozinke za programe i stranice" i, ako je potrebno, proći kroz korisničku provjeru koristeći Touch ID ili Face ID;
4. Odaberite odgovarajući unos s popisa ili pomoću polja za pretraživanje na vrhu zaslona "Lozinke", unesite naziv aplikacije ili web stranice za koju trebate unijeti vjerodajnice;
5. Pritisnite i držite opciju Korisničko ime / Lozinka, a zatim odaberite "Kopirati";
6. Otvorite odgovarajuću aplikaciju ili web stranicu, pritisnite i držite polje korisničkog imena i lozinke, a zatim odaberite opciju "Umetnuti".
7. Možete izbrisati vjerodajnice pomoću parametra "Promijeniti" u gornjem desnom kutu zaslona "Lozinke"... Osim toga, ovaj se parametar može koristiti za promjenu vjerodajnica za odgovarajuća web-mjesta.
Kako vidjeti prijave i lozinke na web-mjestu u iCloud Keychain-u na Macu
1. Pokrenite preglednik Safari.
2. Otvorite postavke aplikacije ( Safari → Postavke).
3. Idite na karticu Lozinke.
4. Unesite administratorsku lozinku.
5. Odaberite željeno mjesto (možete koristiti pretragu). Naprotiv, bit će naznačeni prijava (korisničko ime) i lozinka.
Možete dodati osobne podatke i podatke o kreditnoj kartici u iCloud Keychain u bilo kojem trenutku koristeći svoj iPhone ili iPad i tada će oni biti dostupni na svim vašim uređajima. Da biste to učinili, morate učiniti sljedeće:
1. Otvorite aplikaciju "Postavke";
2. Odaberite odjeljak Safari;
3. Odaberite "Automatsko dovršavanje";
4. Za dodavanje osobnih podataka odaberite "Moji podaci" i odaberite svoj kontakt s popisa. Za dodavanje podataka karte kliknite "Spremljene kreditne kartice" a zatim odaberite "Dodaj kreditnu karticu".
Može li Apple podrška oporaviti iCloud sigurnosni kod za pristup privjescima za ključeve?
Pokušajte dobro zapamtiti kod ili ga zapišite na sigurno mjesto, jer ako ga zaboravite, Apple Support neće vam moći pomoći da vratite kod... Osim toga, treba imati na umu da je broj netočnih pokušaja unosa koda ograničen, a nakon prekoračenja ograničenja, pristup " ICloud privjesak za ključeve“Bit će blokiran. U tom slučaju morate se obratiti Apple tehničkoj podršci i nakon uspješne identifikacije osobe korisniku će biti omogućeni dodatni pokušaji unosa koda. Ako je i u ovom slučaju navedena pogrešna kombinacija, Apple će trajno izbrisati " ICloud privjesak za ključeve»S njihovih poslužitelja (naravno, svi će osobni podaci biti izgubljeni).
Mogu li postaviti Keychain Access bez sigurnosnog koda (bez telefonskog broja s omogućenom SMS-om)?
Limenka. Postavljanje sigurnosnog koda prilikom konfiguriranja funkcije uopće nije potrebno. Ali u ovom slučaju vaši podaci neće biti pohranjeni na poslužitelju, već na samim uređajima. Ovaj pristup pretpostavlja veću kontrolu korisnika nad njihovim podacima, ali ima značajan nedostatak - Apple neće moći pružiti pomoć u oporavku " ICloud privjesci za ključeve».
Ako je odjednom za vašu zemlju moguće prilagoditi " ICloud privjesak za ključeve„Nema SMS-a, ne brinite, i dalje ćete moći aktivirati funkciju. Da biste to učinili, prilikom postavljanja (gore upute za postavljanje) usluge na iOS uređajima nemojte odabrati " Potvrdite kodom"na jelovniku" Dodaci«:
Na Mac računalima idite na " Dodatne opcije"I odaberite stavku" Nemojte generirati sigurnosni kod«.
Ponavljamo da u ovom slučaju “ ICloud privjesak za ključeve»Bit će pohranjen samo na uređaju, ne i na Apple poslužitelju i ažurirat će se samo na odobrenim gadgetima. Dovršite postavljanje slijedeći upute na zaslonu.
Obilježio je nastanak još jedne sjajne usluge unutar iClouda za korisnike Apple tehnologije – sinkronizacije lozinki pomoću „iCloud Keychain-a“. Apple se jako potrudio da olakša postavljanje i korištenje ove značajke, ali naši čitatelji i dalje imaju puno pitanja o ovom novom proizvodu.
Što može iCloud Keychain?
ICloud Keychain nudi:
- sinkronizirati prijave, lozinke i podatke iz Safari obrazaca
- sinkronizirati podatke kreditne kartice
- sinkronizirati Wi-Fi lozinke
Sinkronizacija radi na Mac računalima s OS X 10.9, iPhone, iPod touch i iPad s iOS 7.0.3. Kada aktivirate privjesak za ključeve u iCloudu, stvara se jedna pohrana u oblaku u kojoj se prikupljaju SVE vaše lozinke. Svi su oni istovremeno dostupni sa svih vaših uređaja povezanih na isti iCloud račun.
Imajte na umu - iCloud Keychain radi samo sa Safarijem na Mac računalima! Za korisnike Chromea, Firefoxa ili Opera, nova Apple značajka je od male koristi, jer ne postoje dodaci koji dodaju podršku za ove preglednike i neće biti. Ni u ovom slučaju nema alternative Safariju na iOS-u.
Postavljanje iCloud Keychain na Mac po prvi put
Recimo odmah - za stanovnike Ukrajine, Bjelorusije i drugih zemalja ZND-a koje nisu navedene na ovom popisu, aktiviranje Keychain Access-a s Mac-a jedini je način da ispravno konfigurirate ovu funkciju.
Otvorite Mac postavke, idite na daljinski upravljač za iCloud, uključite potvrdni okvir "Keychain Access":
Mac vas ustrajno traži da omogućite zahtjev za zaporkom s korisničkog računa odmah nakon buđenja iz stanja mirovanja ili otključavanja zaslona - naravno, radi dodatne sigurnosti. Ovaj prijedlog se može zanemariti.
Zatim će se od vas tražiti da kreirate PIN za privjesak ključeva. Prema zadanim postavkama, ovo je četveroznamenkasti broj koji morate zapamtiti i unijeti kada povezujete svaki novi uređaj na svoj privjesak za ključeve:
Ali ni to nije potrebno. Obratite pažnju na gumb "Napredno". Otvara nekoliko opcija u vezi s PIN-om:
Prvi će omogućiti paranoiku da postavi kod bilo koje duljine koristeći bilo koje znakove, a ne samo brojeve. Drugi će automatski generirati kod. Treći će vam omogućiti da potpuno napustite sigurnosni kod. No, kako će se u ovom slučaju odvijati potvrda novih uređaja? Vrlo je jednostavno - uz pomoć vaših drugih uređaja.
Nakon kreiranja ili otkazivanja PIN-a, postavljanje je dovršeno.
Početna postavka Keychaina na iOS-u je slična - idite na izbornik "Postavke-iCloud" i omogućite potvrdni okvir "Keychain", a zatim kreirajte PIN. Problem je u tome što ćete biti prisiljeni unijeti broj mobilnog telefona, a iz zemalja ZND-a podržana je samo Rusija.
Sada razgovarajmo o povezivanju novih uređaja na iCloud Keychain.
Povežite novi iOS uređaj na iCloud Keychain
Idite na gore spomenuti izbornik "Postavke-iCloud" i odaberite "Keychain":
Slažem se da omogućite značajku:
Svakako ćete morati unijeti zaporku svog iCloud računa:
Nakon toga, Keychain će prijeći u stanje pripravnosti za aktivaciju.
Kao što smo rekli, kada dodajete novi uređaj na svoj iCloud Keychain, imate dvije alternative:
- unesite PIN
- potvrdite vezu s drugog uređaja
Na iOS uređaju vidjet ćete gumb "Potvrdi kodom", klikom na koji možete unijeti svoj PIN i odmah aktivirati funkciju:
Zamjena je potvrda s drugog uređaja. Čim pokušate uključiti iCloud Keychain na jednom od svojih uređaja, svi ostali gadgeti povezani na isti iCloud račun i isti Keychain dobit će obavijesti:
Ali ovo nije samo obavijest. Klikom na banner bit ćete preusmjereni na iCloud postavke, gdje će se od vas tražiti da unesete lozinku svog računa kao potvrdu pristanka za dodavanje novog uređaja u vaš Keychain. Nakon unosa lozinke na bilo koji od vaših drugih uređaja, smatra se da je novi gadget trajno povezan, te će započeti sinkronizacija lozinke putem iCloud Keychain-a.
Povežite svoj novi Mac na iCloud Keychain
Proces je identičan onom opisanom u prethodnom poglavlju pregleda. Idite na OS X postavke, iCloud Remote i uključite Keychain Access. Unesite svoju iCloud lozinku.
Za unos PIN-a nisu potrebna posebna objašnjenja:
Ako ne želite unijeti svoj PIN, Mac će ostati u stanju pripravnosti za aktivaciju:
Prilično je teško propustiti obavijest o potrebi potvrde novog uređaja - u OS X i iOS-u će visjeti na vidiku:
