Apple gjorde SMS-inloggning säkrare i iOS 14

Apple gjorde SMS-inloggning säkrare i iOS 14

I år föreslog Apples iOS-säkerhetsteam att ändra formatet på SMS Engångslösenord för att göra det säkrare att logga in med tvåfaktorsautentisering. Implementeringen av funktionen lät inte vänta på sig: Apple har bekräftat att ändringarna kommer att visas redan i iOS 14 och macOS Big Sur. Med deras hjälp blir det svårt för användare att komma in på nätfiskesidor, även om de helt imiterar riktiga. Och allt eftersom koderna skickas via SMS för att komma in med tvåfaktorsautentisering, kommer att länkas till en specifik domän på internet.

IOS 14 säkerhet

V iOS 14 och macOS Big Sur Kod för automatisk ifyllning av tvåstegsverifiering erbjuds endast om webbplatsen som uppmanar dig att ange koden eller appen matchar den länkade domänen. Låt oss säga att du fick en SMS-kod kopplad till twitter.com-domänen för att logga in på Twitter. I iOS 14 och macOS Big Sur kan denna kod endast fyllas i automatiskt i den officiella appen eller Twitter-webbplatsen.

Detta är ett annat sätt att skydda sig mot hackare som ofta lurar användare genom att skapa falska (nätfiske)sidor. De lockar först användarnamnet och lösenordet och sedan koden från tvåfaktorsautentisering. Om koden inte automatiskt fylls i på sajten kommer användaren att förstå att detta inte är en riktig sida, utan en falsk.

Till exempel om du fått ett SMS som är kopplat till en webbplats exempel.com, kommer autoslutförande bara att fungera på den här webbplatsen, såväl som på alla underdomäner eller applikationer som är länkade till exempel.com. Om sms:et nämner en sida som exempel.net, fyll i koden från tvåfaktorsautentisering kommer inte att fungera längre

Nu √§r det upp till utvecklarna ‚Äď de beh√∂ver binda koderna till sina dom√§ner och applikationer i enlighet med Apples dokumentation. Medan vanliga tv√•faktorsautentiseringskoder kommer att forts√§tta att fungera rekommenderar Apple att utvecklare uppdatera koder till ny standard

Ett annat sätt som bedragare lockar till sig användarnamn och lösenord är nätfiske-e-post. Användaren får ett brev från Apple, han är auktoriserad och angriparna får tillgång till hans Apple-ID. Tvåfaktorsautentisering kan skydda mot detta. I vilket fall som helst bör du vara försiktig, om du spenderar minst 30 sekunder på att studera brevet kan du omedelbart identifiera bedragare. Här har vi beskrivit hur du kan göra detta.

N√§r du f√•r s√•dana brev, vidarebefordra dem till [email protected]

Kan lösenord tas bort?

I år gick Apple med i Fido Alliance, en organisation som vill bli av med lösenord. Fidos förslag är att betrodda enheter bör ersätta lösenord i framtiden. Detta kommer att fungera på samma sätt som tvåfaktorsautentisering (2FA) med Apple-enheter. När du försöker logga in på en ny Apple-enhet med ditt Apple-ID skickar företaget en kod till den betrodda enheten och du anger den koden.

Endast en av dina betrodda enheter kan be om autentisering, och endast en av dina betrodda enheter kan bekräfta denna begäran. En angripare som vill utge sig för att vara dig måste få tillgång till båda prylarna (och deras lösenord!) på en gång. Till exempel behöver de din iPhone och dess lösenord, och din Mac och dess lösenord.

Medan Apples ekosystem är begränsat till sina egna enheter, vill alliansen att alla tillverkare ska ansluta sig till rörelsen. Därför kan du också logga in på din Android-smarttelefon, Android-surfplatta, Chromebook, Windows PC eller någon annan betrodd enhet. En annan styrelseledamot i Fido, Nok Nok Labs, erbjuder redan en SDK för Apple Watch.