密码安全建议
iOS、iPadOS、macOS 和 visionOS 中“自动填充密码”的密码列表会指示用户已存储的哪些密码在其他网站上重复使用、哪些密码强度太弱以及哪些密码在数据泄露中被盗。
概览
在不同服务上使用同一个密码可能会让账户容易受到撞库攻击。如果服务被攻破并且密码外泄,攻击者可能在其他服务上尝试相同的凭证,导致更多账户被盗。
如果已存储的密码在不同域间多次重复使用,则密码会被标记为重复使用。
如果密码很容易被攻击者猜到,则会标记为强度太弱。iOS、iPadOS、macOS 和 visionOS 会检测用于创建容易记住密码的常见规律,如使用在词典里找到的字词、替换常见字母(如用“p4ssw0rd”代替“password”)、使用在键盘上找到的规律(如 QWERTY 键盘上的“q12we34r”)或重复的序列(如“123123”)。这些规律经常用于创建满足服务最低密码要求的密码,但也常被攻击者用于尝试通过暴力获取密码。
许多服务特别要求使用 4 位或 6 位的数字 PIN 码,因此这些短密码会通过不同的规则进行评估。如果 PIN 码是最常用的 PIN 码之一,或为升序或降序的序列(如“1234”或“8765”),或者遵循重复的规律(如“123123”或“123321”),则其强度会被视为太弱。
如果“密码监视”功能显示密码在数据泄露中出现过,则密码会被标记为已泄露。有关更多信息,请参阅密码监视。
强度较弱、重复使用和已泄露的密码会在密码列表 (macOS) 中标识出来,或者显示在专门的“安全建议”界面(iOS、iPadOS 和 visionOS)。如果用户在 Safari 浏览器中使用以前存储的弱强度密码或在数据泄露中出现过的密码登录网站,则会出现提示,强烈建议用户升级到自动强密码。
在 iOS、iPadOS 和 visionOS 中升级账户认证安全性
采用账户认证修改扩展(在“认证服务”框架中)的 App 让你轻点一下按钮,即可将基于密码的账户轻松升级以切换为“通过 Apple 登录”或使用自动强密码。此扩展点可在 iOS、iPadOS 和 visionOS 中使用。
如果 App 已经采用了该扩展点并安装在设备上,用户在“设置”的 iCloud 钥匙串密码管理器中查看与该 App 相关联凭证的“安全建议”时,会看到扩展升级选项。当用户通过存在风险的凭证登录 App 时,也会看到升级选项。App 能够告诉系统在用户登录后不显示升级选项。通过使用全新的 AuthenticationServices API,App 还可以调用自己的扩展,并在理想情况下在 App 的账户设置或账户管理屏幕中自行升级。
App 可以选择支持强密码升级,“通过 Apple 登录”升级或者同时支持二者。在强密码升级过程中,系统会为用户生成自动强密码。如有需要,在生成新密码时,App 可提供自定义密码规则供用户遵循。如果用户将账户从使用密码切换为使用“通过 Apple 登录”,系统会为该扩展提供新的“通过 Apple 登录”凭证以与该账户关联。用户的 Apple 账户电子邮件不会作为凭证的一部分提供。“通过 Apple 登录”升级成功后,系统会从用户的钥匙串中删除之前所使用的密码凭证(如果凭证存储在此处)。
账户认证修改扩展可以在执行升级前选择执行额外的用户认证。对于在密码管理器中或登录 App 后发起的升级,扩展会提供账户的用户名和密码进行升级。对于 App 内升级,则只会提供用户名。如果扩展要求进行进一步用户认证,可以请求在升级前显示自定义用户界面。显示此用户界面的预期用例是让用户输入认证的第二个因素来认证升级。