Come viene memorizzato il passcode nel cloud?

2

Da iOS11 uno è costretto a usare 2FA, a meno che uno non voglia fare a meno di un secondo fattore. Ma 2FA ha lo svantaggio che il passcode è trasmesso a iCloud. Ma non so quando questo è il caso. Quindi mi piacerebbe sapere quando e come succede?

Quello che so è che non mi piace e non ne ho bisogno. Qualcuno può aiutarmi a sentirsi meno a disagio con questo?

Un'altra domanda relativa al passcode è il motivo per cui il telefono / cloud salva l'ultimo tentativo?

Modifica : Ho trovato la documentazione. HT202303 dice: "Per accedere ai tuoi dati su un nuovo dispositivo, ti potrebbe essere richiesto di inserire il passcode per un dispositivo esistente o dispositivo precedente. "

Questo significa che quando si attiva 2FA, il mio passcode viene caricato nel cloud. E per un passcode a 6 cifre non c'è "crittografia" o altro. È super semplice da bruteforce.

Ora queste chiavi sono trasferito in Cina , come posso essere sicuro che la sicurezza del mio iPhone non è totalmente compromessa quando si utilizza 2FA?

    
posta user60589 12.01.2018 - 11:07
fonte

1 risposta

2

Per quanto ne sappia, nessun passcode che utilizzi per sbloccare il tuo telefono viene inviato ovunque. Con 2FA, accedi normalmente a qualcosa con il tuo passcode, quindi viene inviato un codice di verifica ai dispositivi autorizzati per poterlo inserire. Il codice sfida viene generato alla fine di Apple e inviato solo ai dispositivi che hai già confermato. Vedi Documentazione di Apple su come funziona 2FA.

Modifica dopo il tuo commento: Ah, vedo la disconnessione. La sezione a cui ti riferisci riguarda in particolare l'impegno di Keychain. Questa è una funzione opzionale quando si configura la sincronizzazione del portachiavi iCloud che consente a Apple di conservare una copia secondaria del portachiavi. Di default, iCloud sincronizza semplicemente i portachiavi attraverso i tuoi dispositivi. Se imposti l'impegno con Apple, manterrà la propria copia del portachiavi da sincronizzare mentre i dispositivi si sincronizzano separatamente e in modo sicuro. Ciò consente il recupero di un portachiavi se il tuo unico (o tutto) dispositivo iCloud è stato perso. Quindi, per prima cosa è importante rendersi conto che questo si applica solo se si imposta l'impegno del portachiavi.

In secondo luogo, mentre il passcode del dispositivo verrà utilizzato come impostazione predefinita come "chiave sicura" per l'impegno, tale passcode non verrà inviato ad Apple. Viene invece utilizzato per crittografare la copia a garanzia del tuo portachiavi. In particolare questo paragrafo (tutte le citazioni tratte dalla Security Guide di gennaio 2018 collegata nei commenti seguenti):

Next, the iOS device exports a copy of the user’s Keychain, encrypts it wrapped with keys in an asymmetric keybag, and places it in the user’s iCloud key value storage area. The keybag is wrapped with the user’s iCloud Security Code and the public key of the hardware security module (HSM) cluster that will store the escrow record. This becomes the user’s iCloud Escrow Record.

Tieni presente che il codice di sicurezza iCloud fa riferimento qui al tuo passcode del dispositivo o al codice che hai impostato se non hai attivato 2FA. Ora guarda come il documento spiega il recupero di un portachiavi depositato:

To recover a Keychain, users must authenticate with their iCloud account and password and respond to an SMS sent to their registered phone number. Once this is done, users must enter their iCloud Security Code. The HSM cluster verifies that a user knows their iCloud Security Code using the Secure Remote Password (SRP) protocol; the code itself isn’t sent to Apple. Each member of the cluster independently verifies that the user hasn’t exceeded the maximum number of attempts allowed to retrieve their record, as discussed below. If a majority agree, the cluster unwraps the escrow record and sends it to the user’s device.

Quindi ci sono più passaggi qui:

1) Autenticati con le informazioni dell'account iCloud

2) Quindi rispondi a un SMS inviato al tuo numero di telefono registrato in precedenza

3) Immetti il tuo codice di sicurezza iCloud (o il codice di accesso del dispositivo nel caso di 2FA).

Nota in particolare si dice che questo codice NON è stato inviato ad Apple. Invece il tuo codice è verificato usando il protocollo Secure Remote Password . Non sono un esperto di crittografia, quindi non posso spiegarti i dettagli, ma ciò che è importante notare è che SRP consente la verifica delle password senza inviare la password stessa o dati equivalenti.

Una volta eseguita questa operazione, il dispositivo ora riceve il portachiavi crittografato e deve ancora decrittografarlo utilizzando il Codice di sicurezza iCloud (o il codice di accesso del dispositivo). Ma questo è tutto fatto sul dispositivo locale.

Per riassumere tutto, se hai attivato 2FA e attivi l'escrow della chiave di accesso quando attivi la sincronizzazione del portachiavi icloud, utilizzerai il passcode del dispositivo come parte della sicurezza del keychain, ma il passcode non lascia mai il tuo dispositivo.

    
risposta data 12.01.2018 - 15:38
fonte

Leggi altre domande sui tag