Recomendações de segurança de senha
A lista de senhas do Preenchimento Automático de Senha no iOS, iPadOS e macOS indica quais senhas salvas do usuário serão reutilizadas em outros sites, as senhas que são consideradas fracas e as senhas que foram comprometidas por um vazamento de dados.
Visão geral
O uso da mesma senha em mais de um serviço pode tornar essas contas vulneráveis a um ataque de inserção em massa de credenciais. Se um serviço for violado e senhas vazarem, os invasores podem tentar usar as mesmas credenciais em outros serviços para atacar outras contas.
Senhas são marcadas como reutilizadas se a mesma senha for vista mais de uma vez em domínios diferentes.
Senhas são marcadas como fracas se puderem ser adivinhadas com facilidade por um invasor. O iOS, iPadOS e macOS detectam padrões comuns usados na criação de senhas fáceis de memorizar, como o uso de palavras encontradas em um dicionário, substituições comuns de caracteres (como usar “s3nh4” em vez de “senha”), padrões encontrados em um teclado (como “q12we34r” em um teclado QWERTY) ou sequências repetidas (como “123123”). Esses padrões são usados com frequência para criar senhas que satisfaçam requisitos mínimos de serviços, mas também são comumente usados por invasores ao tentar obter uma senha através de força bruta.
Como muitos serviços exigem especificamente um código PIN de quatro ou seis dígitos, essas senhas curtas são avaliadas com regras diferentes. Os códigos PIN são considerados fracos se estiverem entre os códigos PIN mais comuns, se forem uma sequência crescente ou decrescente como “1234” ou “8765” ou se seguirem um padrão repetitivo, como “123123” ou “123321”.
Senhas são marcadas como vazadas se o recurso de Monitoração de Senhas puder comprovar sua presença em um vazamento de dados. Para obter mais informações, consulte Monitoração de Senhas.
Senhas fracas, reutilizadas e vazadas são indicadas na lista de senhas (macOS) ou constam da interface dedicada de Recomendações de Segurança (iOS e iPadOS). Se o usuário usar uma senha muito fraca ou que tenha sido comprometida por um vazamento de dados para iniciar a sessão em um site no Safari, ele recebe um alerta que o encoraja a atualizá-la para uma senha automática forte.
Atualização da segurança de autenticação de contas no iOS e iPadOS
Apps que implementam uma Extensão de Modificação de Autenticação de Conta (na estrutura Serviço de Autenticação) podem oferecer, facilmente e com o toque de um botão, atualizações de contas baseadas em senhas; especificamente, eles podem mudá-las para usar o recurso Iniciar sessão com a Apple ou para que usem uma senha automática forte. Esse ponto de extensão está disponível no iOS e iPadOS.
Se um app tiver implementado o ponto de extensão e estiver instalado no dispositivo, o usuário vê opções de atualização da extensão ao visualizar as Recomendações de Segurança das credenciais associadas ao app no gerenciador de senhas das Chaves do iCloud nos Ajustes. As atualizações também são oferecidas quando o usuário inicia a sessão no app sob risco de ataque às credenciais. Apps têm a capacidade de dizer ao sistema para não avisar usuários sobre as opções de atualização depois de iniciar a sessão. Com a nova API AuthenticationServices, apps também podem chamar suas extensões e realizar atualizações por conta própria, idealmente, a partir de uma tela de ajustes da conta ou de gerenciamento da conta no app.
Apps também pode optar pela compatibilidade com atualizações de senha forte, atualizações com o recurso Iniciar sessão com a Apple ou ambos. Em uma atualização de senha forte, o sistema gera uma senha automática forte para o usuário. Se necessário, o app pode fornecer regras personalizadas de senha que devem ser seguidas ao gerar a senha nova. Quando um usuário muda uma conta para que ela use o recurso Iniciar sessão com a Apple, o sistema fornece uma nova credencial do recurso Iniciar sessão com a Apple à extensão para associação com a conta. O e‑mail do ID Apple do usuário não é fornecido como parte da credencial. Depois da atualização bem-sucedida para o recurso Iniciar sessão com a Apple, o sistema apaga das chaves do usuário as credenciais de senha usadas anteriormente, caso elas estejam salvas nesse local.
As Extensões de Modificação de Autenticação de Conta têm a oportunidade de realizar autenticações de usuário adicionais antes de realizar uma atualização. Para atualizações iniciadas dentro do gerenciador de senhas ou depois de iniciar a sessão em um app, a extensão fornece o nome de usuário e a senha para que a conta seja atualizada. Para atualizações dentro de apps, apenas o nome de usuário é fornecido. Se a extensão exigir autenticações adicionais do usuário, ela pode solicitar a exibição de uma interface de usuário personalizada antes de continuar com a atualização. O caso de uso pretendido ao mostrar essa interface de usuário é fazer com que o usuário digite um segundo fator de autenticação para autorizar a atualização.