إذا كنت تستخدم iCloud للبريد الإلكتروني أو أحداث التقويم أو جهات الاتصال مع أي تطبيقات بخلاف تلك التي صنعتها Apple ، ولم تقم بذلك ترقية الأمان في حسابك لاستخدام المصادقة الثنائية (2FA) ، وستفشل المزامنة والتفاعلات الأخرى في البدء 15 يونيو. هذا هو الوقت الذي تفرض فيه Apple متطلبات أمان جديدة تتطلب كلمات مرور فريدة لجميع برامج الجهات الخارجية التي تعمل مع حسابات iCloud. يتضمن ذلك تطبيقات مثل BusyContacts و Fantastical و Thunderbird ، على سبيل المثال لا الحصر ، بالإضافة إلى الخدمات عبر الإنترنت التي تتزامن مع iCloud أو استرداد البريد الإلكتروني.
يبدو ذلك أكثر أمانًا ، ولكن هناك القليل مما تراه العين. تحتوي طريقة Apple للسماح بالوصول إلى جهات خارجية على عيوب كبيرة في احتواء إساءة الاستخدام في حالة اكتشاف إحدى كلمات المرور الفريدة هذه. هناك طريقة أفضل مع مجموعة المشاكل الخاصة بها ، ولكن لا يبدو أن شركة Apple تتحرك في هذا الاتجاه. (ها هي دليل كيفية إعداد iCloud / Apple ID 2FA.)
منع اختطاف الحساب بسهولة
2FA هي طريقة بسيطة تجعل من الصعب على أي شخص الوصول إلى حسابك بكلمة مرورك فقط من أي مكان في العالم. العامل الأول الخاص بك هو كلمة مرور ، ومع الحسابات التي تتطلب حسابًا وهذا العنصر فقط ، يمكن للخاطف تسجيل الدخول عادةً في أي مكان. (تنبه بعض الخدمات ، مثل Gmail ، المستخدمين إلى مواقع تسجيل الدخول الجغرافية الفردية ، أو حتى تمنع الوصول دون تأكيد إضافي.)
ينبهك نظام Apple 2FA إلى تسجيلات الدخول الجديدة حسب الموقع التقريبي قبل المتابعة لتقديم رمز كعامل ثانٍ.
كلمة المرور هي "شيء تعرفه" في دليل المصادقة. أضف شيئًا أنت ، مثل بصمة الإصبع ، أو شيئًا لديك ، مثل تطبيق مصادقة على هاتف ذكي ، و يتعين على شخص ما إما الوصول الفعلي إليك أو إلى أجهزتك أو اختراق هذه المعدات عن بُعد من خلال البرامج الضارة. يعد الرمز الذي يتم إرساله عبر الرسائل القصيرة أيضًا خيارًا لمعظم أنظمة 2FA ، بما في ذلك أنظمة Apple ، ولكن الرسائل القصيرة ليست آمنة: يمكن أن تكون يتم اعتراضها ، يمكن نقل رقم الهاتف إلى جهاز آخر ، ولا تتطلب الرسائل القصيرة برنامجًا خاصًا أو حسابًا تسلم. تظهر رسائل SMS أيضًا بشكل افتراضي على الشاشات المقفلة ما لم تقم بإعادة تكوين خيارات iOS و Android.
المشكلة مع 2FA هي أنه عادة ما يعمل فقط داخل نظام بيئي تديره الشركة التي تقدم الخدمات. لذا يمكنك استخدام 2FA من Apple مع iOS و macOS و iCloud.com و iTunes ومواقع وخدمات Apple الأخرى. ولكن ماذا لو كنت تريد استخدام برنامج تابع لجهة خارجية للعناصر المحدودة التي تعرضها Apple؟
في هذه الحالة ، كما هو الحال مع أنظمة 2FA الأخرى ، لديك خيار إنشاء كلمة مرور خاصة بالتطبيق. في بعض الأنظمة ، يمكنك زيادة الحد. على سبيل المثال ، باستخدام Fastmail ، يمكنك تحديد أن كلمة المرور تسمح فقط بـ SMTP (البريد الإلكتروني الصادر). بالنسبة إلى Apple و Google ، يمكن استخدام كلمات المرور هذه على نطاق واسع للبريد الإلكتروني وأحداث التقويم وجهات الاتصال بدون قيود. ها هي دليل موجز لإعداد كلمات المرور الخاصة بالتطبيقات باستخدام Apple ID.
توفر كلمة المرور الخاصة بالتطبيقات الوصول إلى العديد من خدمات iCloud ، ويمكن إبطالها (كما فعلت مع هذه الخدمة).
وهذا يعني أن أضعف رابط لك لتلك الأجزاء الحرجة من حياتك - معلوماتك الخاصة التي لم تفعلها بذل جهد إضافي للتشفير - يمكن الوصول إليه وتغييره من قبل أي شخص يكتسب أيًا من تطبيقاتك الخاصة كلمات المرور. يمكنهم إعادة تعيين كلمات المرور في الخدمات الأخرى واعتراض البريد الإلكتروني الوارد باستخدام رابط إعادة التعيين ، وإرسال البريد الإلكتروني العشوائي لجميع جهات الاتصال الخاصة بك ، وما إلى ذلك. (لا تتأثر iCloud Keychain بهذا. لا يمكن للأطراف الثالثة الوصول ، وقد طورت Apple عملية تشفير وتأكيد قوية.)
الحل لتجنب ضعف كلمة المرور الخاص بالتطبيق هذا هو OAuth ، وهو معيار يستخدم على نطاق واسع من قبل مواقع مثل Facebook ، يسمح Twitter و Google بالسماح لخدمات الجهات الخارجية بالوصول المحدود إلى الميزات والبيانات داخل صوامع تلك الشركات بالنيابة عن مستخدم.
يبني بروتوكول OAuth على قيود الوصول
بدلاً من كلمة المرور التي يمكن الوصول إليها كل شىء المتاح ، يسمح OAuth لخدمة أو تطبيق تابع لجهة خارجية بتعداد نوع البيانات بالضبط الاحتياجات (مثل النشر نيابة عنك أو استرداد جهات الاتصال الخاصة بك) وكيف ستتفاعل مع ذلك معلومات. يتقدم المطورون بطلب للحصول على موافقة الشركة التي تدير النظام البيئي. عندما يسجل المستخدم الدخول إلى نظام OAuth ، يمر الطرف الثالث عبر شاشة تسجيل الدخول أو مربع حوار يتم تشغيله بالكامل بواسطة الخدمة الرئيسية ، مما يسمح بكلمة المرور فقط أو 2FA. لا يتلقى الطرف الثالث سوى رمز التفويض الذي يمكن إلغاؤه. (يمكنك أيضًا إبطال كلمات المرور الخاصة بالتطبيقات ، حتى لا تكون هذه ميزة محددة.)
يتيح OAuth لخدمة مثل Google تحديد كل مطور تابع لجهة خارجية بمعرف فريد ، ويتم إصدار الرموز المميزة للمستخدمين المرتبطين بهذا المعرف. وهكذا ، كما هو الحال مع الهجوم الأخير الذي لم يكن فيه عمل جيد أنشأ تطبيقًا زائفًا يسمى مستندات Googleبمجرد اكتشافها ، يمكن أن تغلق Google جميع الرموز المميزة المرتبطة بها دون التأثير على أي خدمات خارجية أخرى.
جون تشافي BusyMac، صانعي BusyCal و BusyContacts ، يحاولون جذب الانتباه لهذه المشكلة لبعض الوقت. لقد كان محبطًا كمطور من جهة خارجية حول مدى تعقيد المستخدمين النهائيين في إعداد كلمات المرور الخاصة بالتطبيقات ومشكلة الأمان. وهو يفضل OAuth ، التي تديرها تطبيقاته بالفعل مع خدمات أخرى.
"أعتقد أن 99 في المائة من المستخدمين ليس لديهم أدنى فكرة عن كلمات المرور الخاصة بالتطبيقات ، ولا تفعل Apple سوى القليل جدًا لمساعدتهم على اكتشافها. الغالبية العظمى من طلبات الدعم الفني لدينا تأتي من المستخدمين غير القادرين على الاتصال بـ iCloud وليس لديهم أي فكرة عن السبب.
اجعله أسهل للمستخدمين وأكثر أمانًا
من المثير للإعجاب أن Apple تريد إبعاد المستخدمين عن إدخال كلمة مرور Apple ID / iCloud مباشرة إلى تطبيقات الطرف الثالث ، والترحيل إلى نظام يتم فيه تقليل المخاطر مع التطبيق الخاص منها. لكن هذا ليس كافيا. يواجه بروتوكول OAuth العديد من المشاكل ، بما في ذلك القدرة على التحايل على المستخدمين الذين لا ينتبهون.
ولكن نظرًا لأنها تقسم نقاط الضعف الأمنية ، فإنها لا تزال متفوقة كثيرًا على كلمات المرور الخاصة بالتطبيقات. لا يهم ما إذا كانت قلعتك مغلقة بإحكام إذا كان بإمكان أي شخص الحصول على مفاتيح الغرف التي تحتفظ فيها ببعض أغلى الأشياء الثمينة. يشبه بروتوكول OAuth حارسًا في كل معرّف التحقق من غرفة التخزين ، وهي طريقة معقولة لحماية مستخدمي iCloud بشكل أفضل.