Con la actualización del sistema operativo prevista para el otoño de 2020, Apple traerá más funciones para iPhone y iPad para fortalecer la seguridad del usuario. La atención se centra en el administrador de contraseñas y en «Iniciar sesión con Apple».
Apple se ha dedicado a la seguridad de las contraseñas en sus sistemas móviles durante algún tiempo. Con iOS 11, Apple introdujo su propio administrador de contraseñas en iOS por primera vez y lo integró en el teclado QuickType. Desde entonces, ha estado ayudando a ingresar nombres de usuario y contraseñas en sitios web o aplicaciones.
Protección por contraseña en iOS 14
Para ello, el teclado de iOS intenta reconocer si al usuario se le solicita su nombre de usuario y contraseña y los ofrece como QuickType. Si no hay una contraseña disponible, pero dicho campo está identificado, el usuario puede acceder a todos los nombres de usuario y contraseñas en su administrador de contraseñas y seleccionar la combinación adecuada.
Desde iOS 12, también es posible registrar aplicaciones de terceros, como 1Password, como caja fuerte para contraseñas; estas están disponibles para su selección en los cuadros de diálogo correspondientes. Los sitios web y las aplicaciones establecen una relación de confianza de modo que las contraseñas se sugieren automáticamente como ayuda para completar. Esto se implementa al vincular la aplicación y el sitio web. Para hacer esto, el desarrollador almacena el dominio respectivo en la configuración del proyecto en xCode (Dominios asociados). El sitio web almacenado aquí todavía necesita un JSON especial Archivo («apple-app-site-association») en
https: // <dominio completo> / apple-app-site-association
o https: // <dominio completo> /.well-known/ apple-app-site-association
debe ser depositado. Este archivo JSON también contiene una referencia a la aplicación lanzada, a saber:
{«webcredentials»: {«apps»: [«D3KQX62K1A.de.SecureContact.SecureContactX», «D3KQX62K1A.de.SecureContact.SecureContactXPro»]}}
Este archivo «apple-app-site-association» corresponde al archivo JSON conocido desde iOS 8 para intercambiar contraseñas entre aplicaciones y sitios web (a través de Safari). Con iOS 13, todas las configuraciones de dominio asociadas también se pueden establecer a través de MDM: Confíe en el sitio web para la aplicación: almacenamiento de un archivo JSON («apple-app-site-association», el sitio web debe cumplir con ATS (App Transport Security))
https: // <dominio completo> / apple-app-site-association
https: // <dominio completo> /. well-known / apple-app-site-association
«Te han engañado»
Sin embargo, dado que algunos usuarios no usan la función de sugerencia para contraseñas seguras, Apple ahora está haciendo una expansión en el Administrador de contraseñas con iOS 14 : los usuarios ahora son informados automáticamente si su contraseña autoasignada se ha visto comprometida (con el tiempo), es decir, más de una fuga de datos llegó a las manos equivocadas y su cuenta se ha vuelto insegura. El sistema también alerta a los usuarios sobre contraseñas débiles como 1234.
Según Apple, si una contraseña se vuelve (públicamente) visible en caso de una filtración de datos de este tipo, todas las cuentas en las que se utiliza la contraseña están en riesgo. La fuga de datos no significa automáticamente que la cuenta de usuario del usuario apareció allí. Según declaraciones de la sesión de la WWDC de Apple, ya es suficiente que la contraseña en sí esté almacenada en las bases de datos de contraseñas del » chicos malos «. Si este es el caso, el usuario es informado de este hecho a través de un mensaje push y un cuadro de diálogo del administrador de contraseñas. Sin embargo, el mensaje es un poco críptico – aquí sería deseable un poco más de transparencia para que el usuario no el pánico expira inmediatamente.
Para poder comprobar si las contraseñas se han visto comprometidas, Apple utiliza varias técnicas. Sin embargo, Apple enfatiza expresamente que la compañía no tiene información sobre las contraseñas en sí. Más bien, se utilizarían técnicas criptográficas (funciones hash), con la ayuda de las cuales una contraseña de usuario se convierte en un estado que no se puede rastrear. Sin embargo, se desconocen los detalles del procedimiento.
Si Apple informa al usuario que su contraseña se ha visto comprometida, lo ideal es que haga clic en el Administrador de contraseñas directamente en un sitio web afectado para restablecer la contraseña del servicio respectivo. Esto se ofrece si el sitio web ofrece dicha función en https: // <dominio completo> /. Conocido / cambiar contraseña. Para muchos usuarios, sin embargo, este proceso es opaco, engorroso o aterrador.
Pero Apple ofrece otra opción con iOS 14: los desarrolladores de aplicaciones ahora pueden hacer clic en el administrador de contraseñas mediante un ajuste en su aplicación (la llamada extensión). Si una aplicación asociada (para la cuenta registrada) ofrece dicha extensión, el usuario también puede cambiar su contraseña aquí presionando un botón. En este caso, el propio administrador de contraseñas define una contraseña segura para el usuario.
Iniciar sesión con Apple – más opciones
Con » Iniciar sesión con Apple «, Apple ofrece un botón especial desde iOS 13 con el que un usuario puede iniciar sesión en una aplicación o un sitio web de la misma forma que su cuenta de Google, Twitter o Facebook. En otras palabras, los usuarios pueden iniciar sesión en cualquier servicio compatible con su ID de Apple.
En lo que respecta al registro, Apple va un paso más allá: el usuario puede elegir si quiere usar su dirección de correo electrónico o una cuenta de correo electrónico creada al azar. Según Apple, esto garantiza que todos los correos electrónicos sean «redirigidos» en consecuencia y que el proveedor nunca aprenda la dirección real.
Se debe generar una dirección aleatoria separada para cada servicio. Esto solo lo sabe la propia Apple, ya que Apple esencialmente actúa como intermediario entre el servicio y el usuario. Sin embargo, Apple promete proteger la privacidad del usuario y no utilizar los datos para su propia elaboración de perfiles. En general, no se registrará ninguna actividad del usuario en aplicaciones o sitios web. Además, todas las cuentas están protegidas adicionalmente por autenticación de dos factores. El inicio de sesión web no solo funciona en sistemas Apple, sino también en Windows y Android.
Con iOS 14, Apple está agregando más opciones al servicio. Los usuarios ahora pueden convertir una cuenta que no se haya creado (todavía) con «Iniciar sesión con Apple». Apple ofrece a los desarrolladores la opción de expandir sus aplicaciones en consecuencia (también a través de una extensión). También es posible cambiar una cuenta al servicio de inicio de sesión de Apple «Iniciar sesión con Apple» en el administrador de contraseñas. (mb / fm)