Az Apple mostanában eléggé ráment a biztonságra - ezt azoknak mondom, akikhez Tim Cook utóbbi fél évben tett nyilatkozatainak egyike sem jutott a fülébe. Nagyon rámentek, hogy az Apple legyen az Adatainkat Legnagyobb Biztonságban Tartó Vállalat.
De ez a mostani fejlesztés azért hagy maga után kívánnivalót. Mindjárt elmondom, miért.
Az iCloudban már korábban is elérhető volt a Two-step verification, vagyis a kétlépéses azonosítás. Ez arról szólt, hogy ha be akartál lépni az adott eszközön a saját Apple ID-dal, SMS-ben vagy a Find My iPhone-on keresztül kaptál egy négyjegyű ellenőrző kódot. Csak akkor léphettél be az eszközön, ha ezt a kódot is beírtad.
Mostantól azonban elérhető iOS 9-ben és OS X El Capitanban a Two-factor authentication is. Ami egy fejlettebb rendszer, bár elsőre nem nagyon látszik, miért.
Ugyanis itt is az történik, hogy ha be akarsz lépni az iCloudban egy eszközön, akkor kapsz egy ellenőrző kódot egy másik eszközre, amit be kell írni. A különbséget ez a cikk magyarázza el elég érthetően, én is megpróbálkozom vele.
Az azonosítás alapvető rétegeit, azokat a tényezőket, amivel egy szoftver azonosítani tud minket, így jellemezhetjük:
- valami, amit tudsz (pl. jelszó)
- valami, amit birtokolsz (pl. egy másik készülék)
- valami, ami vagy (pl. ujjlnyomat)
A kétlépcsős hitelesítés az első lehetőséget duplikálja. Egy általad már ismert információt - a saját jelszavadat - kombinálja egy frissen megszerzett információval, egy gyorsan érvényét veszítő azonosító kóddal. Csakhogy ez egyetlen réteg, és vannak olyan malware-ek, amik képesek megszerezni mindkét információt, amivel már sikeresen belépnek helyetted.
A two-factor authentication - azért írom angolul, mert az Apple magyarul majdnem ugyanúgy fordítja sajnos, kétlépcsős azonosításnak nevezi -, két réteget von be, a jelszavadat, amit tudsz, és egy másik eszközt, amid van. Másik eszköz nélkül nem lehetséges az azonosítás. Ezt lehetne kombinálni a harmadik tényezővel, az ujjlenyomatoddal, így a belépés mindhárom réteget használja, a lehető legmagasabb szintre emelve a belépés biztonságát.
Mindez nagyon informatika így, és az Apple azon dolgozott, hogy mindebből ne nagyon kelljen érteni semmit. Csak bekapcsolni, és kész.
Hogyan lehet bekapcsolni?
Ha eddig be volt kapcsolva a two-step verification, ezt kapcsoljuk ki. Ehhez be kell lépni az Apple ID oldalon, és a Security fül alatt kiiktatni a régi módszert. Ha nem is volt bekapcsolva, most itt nincs dolgunk. Ilyen, ha nem volt bekapcsolva:
Ezután vissza iOS-be. Itt a Beállítások - iCloud alatt nyomjunk az nevünket és email-címünket mutató legfelső gombféleségre, itt pedig a Jelszó és Biztonság gombra. Itt kapcsoljuk be a kétlépéses hitelesítést, ami nevével ellentétben már a two-factor authenticationt jelöli.
Az elmélet az, hogy mostantól egy másik eszköz kap értesítést arról, hogy megpróbálnak épp belépni az Apple ID-jukkal valahová. Először is megjelenik a másik eszközön egy térkép, hogy körülbelül honnan jelentkeztek be.
Ez nálam kábé 50 kilométerre volt a valós helyzetemtől. Már ezt is hibának érzem.
Ekkor eldönthetjük a másik eszközön, hogy egyáltalán engedélyezzük-e a folyamatot, vagy már itt megszakítjuk. Ha engedélyezzük, megjelenik egy hatjegyű - a négy kevés volt - kód, amit be kell írni a kezdeményező eszközön, és kész.
Két baj van ezzel jelenleg.
Az egyik, hogy nem működik mindenhol. Én egyedül az Apple ID weboldalra történő bejelentkezésnél tudtam használni, máshol nem kérte ezt. Simán kikapcsoltam az iCloudot a telefonomon, nem kellett a laptopommal hitelesíteni. Amikor azonban be akartam lépni, jött a meglepetés:
a telefonom úgy értelmezte, hogy a MacBookom akar belépni, és helyben engedélyeztette ezt a lépést, ugyanazon az eszközön. Pedig végig a telefonomat nyomogattam.
Hasonló a probléma, ha az Apple ID odalalra lépnél be: az engedélyező ablak mindkét eszközön megjelenik, tehát a támadó, aki megszerezte a telefonunkat és mondjuk a jelszót is tudja, simán csinálhat bármit, megkap minden információt egy készülékre. Ez az, amit elvileg ezzel az új rendszerrel el akartak kerülni.
Tekintsük úgy, hogy ez egy nagyon korai béta. Várjuk, hogy rendesen működjön, mert akkor lesz csak értelme.
Az Apple új hitelesítésének leírása
Az Apple régi hitelesítésének leírása
szucsadam
2016.02.23. 08:13
Címkék: biztonság privacy fbi security
Egyre több kardsuhintás esik az Apple kontra FBI csatában, ami valójában többről szól, mit egy end-to-end, a szolgáltató számára is (triviálisan) feltörhetetlen titkosítás létjogosultságáról, vagy egy nyugati nagyhatalom harcáról az állampolgárok adataiért, amit az Apple nem akar kiadni.
Az alaptörténet itt olvasható.
A harcban az a nagyon érdekes, hogy évek óta nemcsak minden valamirevaló összeesküvéselmélet-gyártó, de még a sima átlagos utcán sétáló is azt állította legyintve, hogy ugyan, ez a csata már a a dinoszauruszok születése előtt eldőlt, a mobilgyártók kutyák, és mindenben kiszolgálják a szerveket, lehetőséget adva nekik arra, hogy bármikor bárkinek a bármilyével csináljanak bármit.
Erre most egy tech-cég vitatkozik az FBI-jal arról, hogy bírósági döntés _megléte_ esetén segítsenek-e egy hátsó kapu megnyitásával feltörni egy gyilkos telefonját, esetleg nem.
Apple: ha egy készüléken lehetőséget adunk, hogy könnyebben behatoljanak, akkor azon az ajtón mások is bejöhetnek majd.
FBI: így nem tudják megvédeni az embereket úgy, ahogy az emberek azt igénylik és megérdemlik.
A tét valójában nem is a San Bernardino-i lövöldözés megelőzése, az elszigetelt esetek Tom Cruise-i értelemben vett pre-crime-rendszerének kialakítása. Az FBI meg tud szerezni minden egyes bitet arról a telefonról, csak épp költséges és veszélyes módon. A tét az - és erről egyelőre kevesen beszélnek -, hogy az Iszlám Állam féle terrorizmus nemzetközi, szigetszerű csoportokra esik épp szét, akik belső csapásokkal, öngyilkos-akciókkal és hasonlókkal készülnek teljesen véletlenszerűen, és ennek megtárgyalására - belső ajánlásuk szerint - leginkább iMessage-et használnak. Hiszen azt az Apple sem láthatja.
Borzasztó fontos kérdés ez, ami több más területen is megfigyelhetünk, ahol elkezd összeérni a terrorizmus és a nyugati világ. A kérdés így szól.
A félelem hatására megváltoztatjuk-e az utunkat azért, mert akkor nagyobb biztonságban érezzük magunkat, vagy az aquila non captat muscas elv szerint a fenyegetettségtől nem zökkenünk ki a saját ritmusunkból, mert nem ér annyit, hiszen a bajt a felsőbbrendűség teljes erejével kell tudnunk kezelni, ahogyan egy óriás söpri le a legyeket a válláról?
Apropó felsőbbrendűség. Donald Trump is nagy elánnal vetette bele magát a témába, természetesen azon az oldalon, ahol lehetőséget látott a gyűlölet- vagy félelemkeltésre. Bojkottra szólított fel az Apple termékek ellen, amíg nem működnek együtt a hatóságokkal, maga is gyorsan lecserélte az iPhone-ját egy androidos készülékre. Ebből persze ne vonjunk le messzemenő következtetéseket: igaz, hogy ha Donald Trump valami mellett kiáll, az vagy ijesztő, vagy csak szimplán nem civilizált, de ez még nem jelenti, hogy zsigerből el kell utasítani. Valójában, ebben a mostani helyzetben nagyon nem egyszerű válaszolni a fent feltett kérdésre.
Az Apple nemrég egy Gyakori Kérdések aloldalt is létrehozott az Apple.com-on, ahol elmagyarázza, miért lenne veszélyes egy backdoort nyitni a rendszerre, és miként lehetne azzal visszaélni. Érdemes elolvasni.