¿Cómo se almacena el código de acceso en la nube?

Desde iOS11, uno está obligado a usar 2FA, a menos que quiera prescindir de un segundo factor. Pero 2FA tiene la desventaja de que el código de acceso se transmite a iCloud. Pero no sé cuando este es el caso. Entonces, me gustaría saber cuándo y cómo sucede esto.

Lo que sé es que no me gusta y no lo necesito. ¿Alguien puede ayudarme a sentirme menos incómodo con esto?

Otra pregunta relacionada con el código de acceso es ¿por qué el teléfono/la nube guarda el último intento?

Editar : encontré la documentación. HT202303 dice: "Para acceder a sus datos en un nuevo dispositivo, es posible que deba ingresar el código de acceso de un dispositivo existente o anterior".

Esto significa que cuando activo 2FA, mi contraseña se carga en la nube. Y para un código de acceso de 6 dígitos no hay "cifrado" o lo que sea. Es super simple de fuerza bruta.

Ahora que estas claves se transfieren a China , ¿cómo puedo estar seguro de que la seguridad de mi iPhone no está totalmente comprometida al usar 2FA?

No está muy claro cuál es su preocupación específica aquí. ¿Qué contraseña le preocupa que se transmita a iCloud?
Por código de acceso me refiero al secreto que se solicita al desbloquear el teléfono.

Respuestas (1)

Que yo sepa, no se envían a ningún lado los códigos de acceso que usa para desbloquear su teléfono. Con 2FA, inicia sesión en algo con su código de acceso como de costumbre, y luego se envía un código de desafío a los dispositivos autorizados para que usted también ingrese. El código de desafío se genera al final de las cosas de Apple y solo se envía a los dispositivos que ya ha confirmado. Consulte la documentación de Apple sobre cómo funciona 2FA.

Edite después de su comentario: Ah, veo la desconexión. La sección a la que te refieres se refiere específicamente a la custodia del llavero. Esta es una función opcional al configurar la sincronización del llavero de iCloud que permite a Apple mantener una copia secundaria de su llavero. De forma predeterminada, iCloud simplemente sincroniza los llaveros en todos sus dispositivos. Si configura el depósito en garantía con Apple, ellos mantendrán su propia copia de su llavero para sincronizar a medida que sus dispositivos se sincronizan por separado y de forma segura. Esto permite la recuperación de un llavero si se pierde el único (o todos) los dispositivos autorizados de iCloud. Entonces, primero es importante darse cuenta de que esto solo se aplica si configura el depósito en garantía del llavero.

En segundo lugar, aunque el código de acceso de su dispositivo se utilizará de forma predeterminada como su "clave segura" para el depósito en garantía, ese código de acceso no se envía a Apple. En su lugar, se utiliza para cifrar la copia en custodia de su llavero. Específicamente este párrafo (todas las citas tomadas de la Guía de seguridad de iOS de enero de 2018 vinculadas en los comentarios a continuación):

A continuación, el dispositivo iOS exporta una copia del llavero del usuario, lo cifra envuelto con claves en un depósito de claves asimétrico y lo coloca en el área de almacenamiento de valor clave de iCloud del usuario. El depósito de claves está envuelto con el código de seguridad de iCloud del usuario y la clave pública del clúster del módulo de seguridad de hardware (HSM) que almacenará el registro de custodia. Esto se convierte en el registro de depósito en garantía de iCloud del usuario.

Tenga en cuenta que el código de seguridad de iCloud se refiere aquí al código de acceso de su dispositivo o al código que configuró si no tiene habilitado 2FA. Ahora mire cómo el documento explica cómo recuperar un llavero depositado:

Para recuperar un llavero, los usuarios deben autenticarse con su cuenta y contraseña de iCloud y responder a un SMS enviado a su número de teléfono registrado. Una vez hecho esto, los usuarios deben ingresar su código de seguridad de iCloud. El clúster de HSM verifica que un usuario conozca su código de seguridad de iCloud mediante el protocolo de contraseña remota segura (SRP); el código en sí no se envía a Apple. Cada miembro del clúster verifica de forma independiente que el usuario no haya excedido el número máximo de intentos permitidos para recuperar su registro, como se explica a continuación. Si la mayoría está de acuerdo, el clúster abre el registro de custodia y lo envía al dispositivo del usuario.

Así que hay varios pasos aquí:

1) Te autenticas con la información de tu cuenta de iCloud

2) Luego responde a un SMS enviado a su número de teléfono previamente registrado

3) Ingresa su código de seguridad de iCloud (o código de acceso del dispositivo en el caso de 2FA).

Tenga en cuenta que dice específicamente que este código NO se envía a Apple. En su lugar, su código se verifica mediante el protocolo de contraseña remota segura . No soy un experto en criptografía, por lo que no puedo explicarte los detalles, pero lo que es importante tener en cuenta es que SRP permite la verificación de contraseñas sin enviar la contraseña en sí o cualquier dato equivalente.

Una vez hecho esto, su dispositivo ahora obtiene el llavero cifrado y aún debe descifrarlo usando su código de seguridad de iCloud (o código de acceso del dispositivo). Pero todo eso se hace en el dispositivo local.

Para resumir todo, si tiene habilitado 2FA y activa la custodia del llavero cuando habilita la sincronización de su llavero icloud, usará la contraseña de su dispositivo como parte de la seguridad de custodia del llavero, pero esa contraseña nunca sale de su dispositivo.

¿Esto no es verdad? La Guía de seguridad de iOS dice que si 2FA está habilitado, el código de acceso se usará para recuperar un llavero depositado. (pág. 57)
Ah, veo la desconexión, vea la respuesta editada para más detalles.
El punto es "El clúster de HSM verifica que un usuario conozca su código de seguridad de iCloud". Lo que significa que el HSM (Apple) puede decidir si un código de acceso determinado es igual a mi código de acceso.
No quiero compartir mi código de acceso con Apple y me gustaría usar iCloud para connivencia. Y el llavero de iCloud de los tiempos de servicio se encendió automáticamente.
Para mí NO hay razón para no creer que este es un regalo para un líder político que quiere esto....
Aún te faltan dos cosas importantes. La primera es que el código de acceso de su dispositivo solo se usa para la recuperación del llavero depositado, no para el uso general de iCloud/Keychain. No habilite el depósito en garantía y el código de acceso de su dispositivo nunca entrará en la ecuación. El segundo elemento que falta es que la verificación del código de acceso se realice con el protocolo SRP. Lea ese enlace, revise el diagrama de proceso y consulte el código de ejemplo. La contraseña sin procesar y sus equivalentes NUNCA abandonan el dispositivo cliente. El servidor no necesita saber su código de acceso para poder verificar que usted lo sabe.
A lo primero. ¿Qué es la recuperación de llaveros depositados? ¿Cómo lo deshabilito una vez que lo habilité? ¿Cómo puedo comprobar que está deshabilitado? Y segundo: ¿SRP no me ayuda con un código de acceso de 6 dígitos? ¿O dependería de la implementación concreta de la que no conozco ningún detalle?
Apple llama a la privacidad un derecho humano . Así que debería poder saber cómo funciona esto, ¿verdad?
Cuando configuró su llavero en iCloud, ¿configuró un "Código de seguridad de iCloud"? Si es así, entonces ha habilitado el depósito en garantía. Si desea desactivarlo, siga los pasos que Apple proporciona en sus preguntas frecuentes . En cuanto a SRP, no importa qué tipo de código de acceso sea. SRP no se trata de una implementación específica, es un protocolo para usar un servidor remoto para validar una contraseña ingresada localmente sin que el servidor remoto tenga acceso a la contraseña. Para obtener más detalles sobre los detalles de cómo Apple ha implementado esto, probablemente sea mejor que se comunique con ellos directamente.
Si hubiera leído su enlace, sabría que SRP protege de una fuerza bruta de MitM que fuerza la contraseña, pero no el servidor. En un teléfono con algunos intentos, una contraseña de seis dígitos puede ser relativamente segura. Pero si la nube está involucrada, hay muchos más puntos de falla. Al enviar el código de acceso a la nube, tiene que volverse menos seguro...
Habilité llavero una vez, para jugar con homekit, con un iCSC. Luego lo deshabilité. En mi Mac a veces se enciende automáticamente, lo cual es súper horrible. Ahora, con iOS 11, me vi obligado a usar 2FA. Así que lo hice en mi iPad. Y luego en mi iPhone, que solicitó el código de acceso de mi iPad y luego mi MacBook solicitó el código de acceso de mi teléfono. Me aseguré de que apagara el llavero de iCloud. Y cada vez que cambié la contraseña de mi teléfono, mi MacBook lo sabía. Además, a lo sumo un dispositivo no estaba en "modo de vuelo" cuando hice eso.
Solo echa un vistazo a mi edición. No tiene ningún sentido lo que escribiste.
¿Cómo se almacena el código de acceso en la nube?
RespuestasAquíPolítica de privacidad1y, 0v