رموز الدخول وكلمات السر
لحماية بيانات المستخدم من الهجمات الضارة، تستخدم Apple رموز المرور على الـ iOS و iPadOS وكلمات السر على الـ macOS. كلما زاد طول رموز المرور وكلمات السر، زادت قوتهما—وأصبح من السهل مكافحة هجمات القوة الغاشمة. لزيادة مكافحة الهجمات، تفرض Apple تأخيرًا زمنيًا (لـ iOS و iPadOS) وعددًا محدودًا من محاولات كلمة المرور (لـ Mac).
على iOS و iPadOS، يقوم المستخدم بتمكين حماية البيانات تلقائيًا عند إعداد رمز المرور أو كلمة السر. ويتم تمكين حماية البيانات كذلك على الأجهزة الأخرى التي تدعم نظام Apple على شريحة (SoC)—مثل الـ Mac المزود برقاقات Apple و Apple TV و Apple Watch. على macOS، تستخدم Apple برنامج تشفير وحدة التخزين المضمن لـ خزنة الملفات.
كيف تعمل رموز المرور وكلمات السر القوية على زيادة الأمن
يدعم iOS و iPadOS رموز المرور الأبجدية المكونة من ست خانات وأربع خانات والطويلة بشكل عشوائي. بالإضافة إلى فتح قفل الجهاز، يوفر رمز الدخول أو كلمة السر إنتروبيا لبعض مفاتيح التشفير. وهذا يعني أن المهاجم الذي بحوزته الجهاز لا يمكنه الوصول إلى البيانات في فئات حماية محددة دون رمز الدخول.
يكون رمز الدخول أو كلمة السر متشابكًا مع معرف UID الخاص بالجهاز، لذلك يجب تنفيذ محاولات القوة الغاشمة على الجهاز الذي يتعرض للهجوم. ويتم استخدام عدد تكرار كبير لجعل كل محاولة أبطأ. كما تتم معايرة عدد التكرار بحيث تستغرق المحاولة الواحدة حوالي 80 مللي ثانية. في الواقع، قد يستغرق أكثر من خمس سنوات ونصف لتجربة جميع مجموعات رموز الدخول الأبجدية الرقمية المكونة من ستة أحرف وبها أحرف وأرقام صغيرة.
كلما كان رمز دخول المستخدم أقوى، يصبح مفتاح التشفير أقوى. وباستخدام بصمة الوجه وبصمة الإصبع، يمكن للمستخدم إنشاء رمز مرور أقوى بكثير من وصفه بأنه عملي. يؤدي رمز الدخول القوي إلى زيادة مقدار الإنتروبيا الفعّال الذي يحمي مفاتيح التشفير المستخدمة لحماية البيانات، دون التأثير سلبًا على تجربة المستخدم في فتح قفل الجهاز عدة مرات على مدار اليوم.
إذا تم إدخال كلمة سر طويلة تحتوي على أرقام فقط، يتم عرض لوحة مفاتيح رقمية في شاشة القفل بدلاً من لوحة المفاتيح الكاملة. قد يكون إدخال رمز دخول رقمي أطول أسهل من إدخال رمز دخول أبجدي رقمي أقصر، مع توفير مستوى أمني مماثل.
يمكن للمستخدمين تحديد رمز دخول أبجدي رقمي أطول عن طريق تحديد رمز أبجدي رقمي مخصص في خيارات رمز الدخول في الإعدادات > بصمة الإصبع ورمز الدخول أو بصمة الوجه ورمز الدخول.
كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة (على الـ iOS، iPadOS)
على iOS و iPadOS، لمزيد من مكافحة هجمات القوة الغاشمة على رمز المرور، ثمة تأخيرات زمنية متصاعدة بعد إدخال رمز مرور غير صالح على شاشة القفل، كما هو موضح في الجدول أدناه.
المحاولات | التأخير المفروض |
---|---|
1–4 | لا شيء |
5 | دقيقة واحدة |
6 | 5 دقائق |
7–8 | 15 دقيقة |
9 | ساعة واحدة |
إذا تم تشغيل خيار مسح البيانات (في الإعدادات > بصمة الإصبع ورمز الدخول)، تتم إزالة جميع المحتويات والإعدادات من جهاز التخزين بعد 10 محاولات غير صحيحة متتالية لإدخال رمز الدخول. ولا يتم حساب المحاولات المتتالية لنفس رمز الدخول غير الصحيح في حدود هذا الحد. يتوفر هذا الإعداد أيضًا كسياسة إدارية من خلال حل إدارة جهاز الجوال (MDM) الذي يدعم هذه الميزة وعبر Microsoft Exchange ActiveSync، ويمكن تعيينه على حد أقل.
على الأجهزة التي تحتوي على Secure Enclave، يتم فرض التأخير بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الجهاز أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة (على الـ macOS)
للمساعدة على منع الهجمات بقوة غاشمة، عند بدء تشغيل الـ Mac، لا يُسمح بأكثر من 10 محاولة لكلمة السر في نافذة تسجيل الدخول أو استخدام نمط القرص المستهدف، ويتم فرض تأخيرات زمنية متصاعدة بعد عدد معين من المحاولات غير الصحيحة. يتم فرض التأخيرات بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الـ Mac أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
يوضح الجدول أدناه التأخيرات بين محاولات كلمة السر على الـ Mac المزود برقاقات Apple والـ Mac المزود بشريحة T2.
المحاولات | التأخير المفروض |
---|---|
5 | دقيقة واحدة |
6 | 5 دقائق |
7 | 15 دقيقة |
8 | 15 دقيقة |
9 | ساعة واحدة |
10 | مُعطَّل |
للمساعدة على منع البرامج الضارة من التسبب في فقدان دائم للبيانات من خلال محاولة مهاجمة كلمة سر المستخدم، لا تُفرض هذه الحدود بعد أن يسجل المستخدم الدخول إلى Mac بنجاح، ولكن يُعاد فرضها بعد إعادة التشغيل. إذا تم استنفاد المحاولات العشرة، تكون هناك 10 محاولات أخرى متاحة بعد التمهيد في recoveryOS. وإذا تم استنفاد تلك المحاولات أيضًا، تكون هناك 10 محاولة إضافية متاحة لكل آلية استرداد خزنة الملفات (استرداد iCloud ومفتاح استرداد خزنة الملفات والمفتاح المؤسسي)، بحد أقصى 30 محاولة إضافية. بعد استنفاد تلك المحاولات الإضافية، تصبح Secure Enclave غير قادرة على معالجة أي طلبات لفك تشفير وحدة التخزين أو التحقق من كلمة السر، وتصبح البيانات الموجودة على محرك الأقراص غير قابلة للاسترداد.
للمساعدة على حماية البيانات في بيئة مؤسسية، يجب على قسم تكنولوجيا المعلومات (IT) تحديد سياسات تكوين خزنة الملفات وفرضها باستخدام حل MDM. ويتوفر لدى المؤسسات العديد من الخيارات لإدارة وحدات التخزين المشفرة، بما في ذلك مفاتيح الاسترداد المؤسسية أو مفاتيح الاسترداد الشخصية (التي يمكن تخزينها اختياريًا باستخدام MDM للضمان) أو مزيج من الاثنين. يمكن أيضًا تعيين تدوير المفاتيح كسياسة في MDM.
على Mac المزود بشريحة Apple T2 الأمنية، تؤدي كلمة السر وظيفة مماثلة، باستثناء أن المفتاح المنشأ يُستخدم لتشفير خزنة الملفات بدلاً من حماية البيانات. كما يوفر macOS خيارات إضافية لاسترداد كلمة السر:
استرداد iCloud
استرداد خزنة الملفات
مفتاح خزنة الملفات المؤسسي