Несколько тревожных сообщений показали, насколько легко преступные группировки могли использовать украденные iPhone для доступа к банковским счетам владельца. В первоначальном отчете не объяснялся использованный метод, но в последующем был объяснен: замена SIM-карты на новое устройство для сброса пароля Apple ID.
Apple уже работает над одной мерой безопасности — облегчая пользователям удаленное стирание данных с украденного iPhone — но в отчетах также подчеркивается слабость безопасности, которая кажется тревожно распространенной среди нетехнических специалистов: использование приложения Notes для хранения паролей …
Барбейро говорит, что самый простой способ, которым преступники могут найти пароли, — это заглянуть в приложение Notes, поскольку многие пользователи, похоже, хранят там пароли банков и кредитных карт. […]
Когда они загружают данные из облака на новое устройство, они ищут информацию, связанную со словом «пароль», и, по их словам, обычно получают то, что им нужно для доступа к банковским счетам жертвы.
Это современный эквивалент людей, которые записывают свои пароли в бумажном блокноте и хранят его в ящике стола.
Конечно, и iOS, и macOS позволяют блокировать заметки, поэтому для их чтения требуется пароль. Но опять же, похоже, что большинство нетехнических пользователей об этом не подозревают.
Как предположил мой коллега Филипе Эспосито, эту проблему Apple могла бы решить, создав автономное приложение iOS Keychain, вместо того, чтобы скрывать эту функцию в настройках. Это позволило бы достичь двух вещей.
Во-первых, все, что там хранится, будет автоматически защищено паролем. В отличие от Notes, пользователям не нужно знать, что функция блокировки существует, и не забывать ее использовать. А благодаря Face ID / Touch ID пользоваться по-прежнему будет удобно.
Во-вторых, само существование приложения привлекает внимание к необходимости проявлять осторожность при защите конфиденциальной информации.
Приложение должно быть намного удобнее, чем приложение для Mac! У него заведомо недружелюбный пользовательский интерфейс, а возможность хранить безопасные заметки похоронена.
Еще одно преимущество наличия специального приложения для iOS заключается в том, что оно также может помочь в обучении пользователей. Я сомневаюсь, что любой технически подкованный человек хранит где-либо свой банковский пароль. Мы знаем, что ни одна система безопасности не идеальна, и самое безопасное место для хранения действительно конфиденциальных паролей, таких как банковские и другие финансовые, находится в наших головах. Существует множество методов запоминания, которые можно использовать для надежного запоминания действительно сложных паролей.
Таким образом, удобное для пользователя приложение «Связка ключей» может включать предупреждение при первом открытии, что самый безопасный способ хранить финансовые пароли — это запоминать их. (Возможно, это выдавать желаемое за действительное — просить Apple отметить, что даже ее собственное безопасное приложение не на 100% защищено — но эй, эти запросы функций являются списками желаний …)
А для остальных из нас это обеспечит более удобный доступ к нашим элементам связки ключей при использовании iPhone и iPad. Мы все сталкивались со случаями, когда Keychain не распознавал конкретный веб-сайт, и нам приходилось копаться в Keychain Access на Mac, чтобы получить его. Это предоставит простой способ сделать то же самое на iDevices.
Каково ваше мнение? Вы бы хотели увидеть специальное и удобное приложение «Связка ключей для iOS»? Примите участие в нашем опросе и поделитесь своими мыслями в комментариях.
Изображение: Мохамед Хасан / PxHere
