Az Apple mostanában eléggé ráment a biztonságra - ezt azoknak mondom, akikhez Tim Cook utóbbi fél évben tett nyilatkozatainak egyike sem jutott a fülébe. Nagyon rámentek, hogy az Apple legyen az Adatainkat Legnagyobb Biztonságban Tartó Vállalat.
De ez a mostani fejlesztés azért hagy maga után kívánnivalót. Mindjárt elmondom, miért.
Az iCloudban már korábban is elérhető volt a Two-step verification, vagyis a kétlépéses azonosítás. Ez arról szólt, hogy ha be akartál lépni az adott eszközön a saját Apple ID-dal, SMS-ben vagy a Find My iPhone-on keresztül kaptál egy négyjegyű ellenőrző kódot. Csak akkor léphettél be az eszközön, ha ezt a kódot is beírtad.
Mostantól azonban elérhető iOS 9-ben és OS X El Capitanban a Two-factor authentication is. Ami egy fejlettebb rendszer, bár elsőre nem nagyon látszik, miért.
Ugyanis itt is az történik, hogy ha be akarsz lépni az iCloudban egy eszközön, akkor kapsz egy ellenőrző kódot egy másik eszközre, amit be kell írni. A különbséget ez a cikk magyarázza el elég érthetően, én is megpróbálkozom vele.
Az azonosítás alapvető rétegeit, azokat a tényezőket, amivel egy szoftver azonosítani tud minket, így jellemezhetjük:
- valami, amit tudsz (pl. jelszó)
- valami, amit birtokolsz (pl. egy másik készülék)
- valami, ami vagy (pl. ujjlnyomat)
A kétlépcsős hitelesítés az első lehetőséget duplikálja. Egy általad már ismert információt - a saját jelszavadat - kombinálja egy frissen megszerzett információval, egy gyorsan érvényét veszítő azonosító kóddal. Csakhogy ez egyetlen réteg, és vannak olyan malware-ek, amik képesek megszerezni mindkét információt, amivel már sikeresen belépnek helyetted.
A two-factor authentication - azért írom angolul, mert az Apple magyarul majdnem ugyanúgy fordítja sajnos, kétlépcsős azonosításnak nevezi -, két réteget von be, a jelszavadat, amit tudsz, és egy másik eszközt, amid van. Másik eszköz nélkül nem lehetséges az azonosítás. Ezt lehetne kombinálni a harmadik tényezővel, az ujjlenyomatoddal, így a belépés mindhárom réteget használja, a lehető legmagasabb szintre emelve a belépés biztonságát.
Mindez nagyon informatika így, és az Apple azon dolgozott, hogy mindebből ne nagyon kelljen érteni semmit. Csak bekapcsolni, és kész.
Hogyan lehet bekapcsolni?
Ha eddig be volt kapcsolva a two-step verification, ezt kapcsoljuk ki. Ehhez be kell lépni az Apple ID oldalon, és a Security fül alatt kiiktatni a régi módszert. Ha nem is volt bekapcsolva, most itt nincs dolgunk. Ilyen, ha nem volt bekapcsolva:
Ezután vissza iOS-be. Itt a Beállítások - iCloud alatt nyomjunk az nevünket és email-címünket mutató legfelső gombféleségre, itt pedig a Jelszó és Biztonság gombra. Itt kapcsoljuk be a kétlépéses hitelesítést, ami nevével ellentétben már a two-factor authenticationt jelöli.
Az elmélet az, hogy mostantól egy másik eszköz kap értesítést arról, hogy megpróbálnak épp belépni az Apple ID-jukkal valahová. Először is megjelenik a másik eszközön egy térkép, hogy körülbelül honnan jelentkeztek be.
Ez nálam kábé 50 kilométerre volt a valós helyzetemtől. Már ezt is hibának érzem.
Ekkor eldönthetjük a másik eszközön, hogy egyáltalán engedélyezzük-e a folyamatot, vagy már itt megszakítjuk. Ha engedélyezzük, megjelenik egy hatjegyű - a négy kevés volt - kód, amit be kell írni a kezdeményező eszközön, és kész.
Két baj van ezzel jelenleg.
Az egyik, hogy nem működik mindenhol. Én egyedül az Apple ID weboldalra történő bejelentkezésnél tudtam használni, máshol nem kérte ezt. Simán kikapcsoltam az iCloudot a telefonomon, nem kellett a laptopommal hitelesíteni. Amikor azonban be akartam lépni, jött a meglepetés:
a telefonom úgy értelmezte, hogy a MacBookom akar belépni, és helyben engedélyeztette ezt a lépést, ugyanazon az eszközön. Pedig végig a telefonomat nyomogattam.
Hasonló a probléma, ha az Apple ID odalalra lépnél be: az engedélyező ablak mindkét eszközön megjelenik, tehát a támadó, aki megszerezte a telefonunkat és mondjuk a jelszót is tudja, simán csinálhat bármit, megkap minden információt egy készülékre. Ez az, amit elvileg ezzel az új rendszerrel el akartak kerülni.
Tekintsük úgy, hogy ez egy nagyon korai béta. Várjuk, hogy rendesen működjön, mert akkor lesz csak értelme.
Az Apple új hitelesítésének leírása
Az Apple régi hitelesítésének leírása