iCloudissa on hyvä suojaus
Yhdysvaltain kyberturvallisuusviranomainen kiitti Applen iCloud-tietoturvaa ja uskoo, että Twitterin ja Microsoftin tulisi etsiä Cupertinolta inspiraatiota sen toteuttamiseen.
Puheessa, joka pidettiin maanantaina Carnegie Mellonin yliopistossa, kyberturvallisuus ja infrastruktuuri Turvallisuusviraston johtaja Jen Easterly mainitsi Applen hyvänä esimerkkinä vastuullisuudesta ja läpinäkyvyydestä turvallisuuden alalla. Hän viittasi esimerkiksi Applen lausuntoon, jonka mukaan 95 prosentilla iCloudin käyttäjistä on monitekijätodennus (MFA) käytössä, CNBC:n mukaan.
MFA on suositeltu suojausominaisuus, jossa käyttäjien on tietyissä olosuhteissa syötettävä Apple-laitteilleen lähetetty yksilöllinen koodi kirjautuessaan sisään Apple ID:llä. Esimerkiksi Apple edellyttää MFA:n ottamista käyttöön ominaisuuksille ja palveluille, kuten Apple Pay ja Kirjaudu sisään Applella.
Easterlyn mukaan Applen tekeminen MFA:n oletusasetukseksi on syy korkeaan käyttöönottoasteeseen. Tämän seurauksena”Apple ottaa vastuun käyttäjiensä turvallisuustuloksista”, hän sanoi.
Vertailuksi Easterly sanoi, että Microsoftilla ja Twitterillä oli alhainen MFA-käyttöaste käyttäjien keskuudessa. Noin neljännes Microsoftin yritysasiakkaista käyttää MFA:ta, kun taas alle 3 % Twitterin käyttäjistä ottaa sen käyttöön, tulokset olivat hänen mukaansa”pettymys”.
Twitter asetti helmikuussa jopa SMS-suojaustodennusominaisuuden maksullisen Twitter Blue-tilauksensa taakse – vaikka ilmaiset käyttäjät voivat silti ottaa MFA:n käyttöön todennussovelluksen tai suojausavaimen kautta, jotka ovat joka tapauksessa turvallisempia kuin tekstiviestitodennus.
Easterly kuitenkin kiitti kahta yritystä avoimuudesta adoptiolukujen paljastamisessa.
“Tarjoamalla radikaalia avoimuutta MFA:n käyttöönotossa nämä organisaatiot auttavat valaisemaan oletusarvoisen turvallisuuden tarpeen”, hän sanoi.”Enemmän pitäisi seurata heidän esimerkkiään-itse asiassa jokaisen organisaation tulisi vaatia avoimuutta teknologian toimittajien hyväksymien käytäntöjen ja kontrollien suhteen ja sitten vaatia tällaisten käytäntöjen hyväksymistä hyväksyttävyyden peruskriteereinä ennen hankintaa tai käyttöä.”
Easterly huomautti lisäksi, että uuden lainsäädännön pitäisi”estää teknologian valmistajia luopumasta vastuusta sopimuksella, luomasta korkeampia huoltostandardeja tietyissä kriittisen infrastruktuurin yksiköissä ja ohjaamasta safe harbor-kehyksen kehittämistä vastuulta suojautumiseksi yritykset, jotka kehittävät ja ylläpitävät ohjelmistotuotteitaan ja palveluitaan turvallisesti.”
Applen laitteissa ja palveluissa on enemmän suojaustasoja kuin pelkkä monitekijätodennus. Se esimerkiksi lisäsi päästä päähän-salauksen useimpiin palveluihinsa vuonna 2022, kun se julkaisi Advanced Data Protection-sovelluksen.
Ja osana ADP:tä käyttäjillä on uusi MFA-vaihtoehto fyysisillä suojausavaimilla, jotka ovat pieniä USB-laitteita, jotka voidaan liittää tietokoneeseen tai langattomasti yhdistää laitteeseen NFC:n tai Bluetoothin avulla. Sitten se voi todentaa Apple ID:n tai muun online-kirjautumisen käyttämällä laitetta kertakäyttöisen salasanan sijaan.