رموز الدخول وكلمات السر
لحماية بيانات المستخدم من الهجمات الضارة، تستخدم Apple رموز المرور على الـ iOS و iPadOS وكلمات السر على الـ macOS. كلما زاد طول رموز المرور وكلمات السر، زادت قوتهما—وأصبح من السهل مكافحة هجمات القوة الغاشمة. لزيادة مكافحة الهجمات، تفرض Apple تأخيرًا زمنيًا (لـ iOS و iPadOS) وعددًا محدودًا من محاولات كلمة المرور (لـ Mac).
على iOS و iPadOS، يقوم المستخدم بتمكين حماية البيانات تلقائيًا عند إعداد رمز المرور أو كلمة السر. ويتم تمكين حماية البيانات كذلك على الأجهزة الأخرى التي تدعم نظام Apple على شريحة (SoC)—مثل الـ Mac المزود برقاقات Apple و Apple TV و Apple Watch. على macOS، تستخدم Apple برنامج تشفير وحدة التخزين المضمن لـ خزنة الملفات.
كيف تعمل رموز المرور وكلمات السر القوية على زيادة الأمن
يدعم iOS و iPadOS رموز المرور الأبجدية المكونة من ست خانات وأربع خانات والطويلة بشكل عشوائي. بالإضافة إلى فتح قفل الجهاز، يوفر رمز الدخول أو كلمة السر إنتروبيا لبعض مفاتيح التشفير. وهذا يعني أن المهاجم الذي بحوزته الجهاز لا يمكنه الوصول إلى البيانات في فئات حماية محددة دون رمز الدخول.
يكون رمز الدخول أو كلمة السر متشابكًا مع معرف UID الخاص بالجهاز، لذلك يجب تنفيذ محاولات القوة الغاشمة على الجهاز الذي يتعرض للهجوم. ويتم استخدام عدد تكرار كبير لجعل كل محاولة أبطأ. كما تتم معايرة عدد التكرار بحيث تستغرق المحاولة الواحدة حوالي 80 مللي ثانية. في الواقع، قد يستغرق أكثر من خمس سنوات ونصف لتجربة جميع مجموعات رموز الدخول الأبجدية الرقمية المكونة من ستة أحرف وبها أحرف وأرقام صغيرة.
كلما كان رمز دخول المستخدم أقوى، يصبح مفتاح التشفير أقوى. وباستخدام بصمة الوجه وبصمة الإصبع، يمكن للمستخدم إنشاء رمز دخول أقوى بكثير من وصفه بأنه عملي. يؤدي رمز الدخول القوي إلى زيادة مقدار الإنتروبيا الفعّال الذي يحمي مفاتيح التشفير المستخدمة لحماية البيانات، دون التأثير سلبًا على تجربة المستخدم في فتح قفل الجهاز عدة مرات على مدار اليوم.
إذا تم إدخال كلمة سر طويلة تحتوي على أرقام فقط، يتم عرض لوحة مفاتيح رقمية في شاشة القفل بدلاً من لوحة المفاتيح الكاملة. قد يكون إدخال رمز دخول رقمي أطول أسهل من إدخال رمز دخول أبجدي رقمي أقصر، مع توفير مستوى أمني مماثل.
يمكن للمستخدمين تحديد رمز دخول أبجدي رقمي أطول عن طريق تحديد رمز أبجدي رقمي مخصص في خيارات رمز الدخول في الإعدادات > بصمة الإصبع ورمز الدخول أو بصمة الوجه ورمز الدخول.
كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة
على iOS و iPadOS و macOS، لمزيد من مكافحة هجمات القوة الغاشمة على رمز الدخول، ثمة تأخيرات زمنية متصاعدة بعد إدخال رمز دخول أو كلمة سر أو رمز PIN غير صالح (حسب الجهاز وحالته)، كما هو موضح في الجدول أدناه.
المحاولات | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 أو أكثر |
|---|---|---|---|---|---|---|---|---|
شاشة قفل iOS و iPadOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | الجهاز مُعطَّل ويجب توصيله بـ Mac أو كمبيوتر شخصي |
شاشة قفل watchOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | الجهاز مُعطَّل ويجب توصيله بـ iPhone |
شاشة القفل ونافذة تسجيل الدخول في macOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | 8 ساعات |
وضع الاسترداد في macOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | انظر "كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS" أدناه |
خزنة ملفات مزودة بمفتاح استرداد (شخصي أو مؤسسي أو iCloud) | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | انظر "كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS" أدناه |
رمز PIN للقفل عن بُعد في macOS | دقيقة واحدة | 5 دقائق | 15 دقيقة | 30 دقيقة | ساعة واحدة | ساعة واحدة | ساعة واحدة | ساعة واحدة |
إذا تم تشغيل خيار مسح البيانات لـ iPhone أو iPad (في الإعدادات > [بصمة الوجه] أو [بصمة الإصبع] ورمز الدخول)، تتم إزالة جميع المحتويات والإعدادات من جهاز التخزين بعد 10 محاولات غير صحيحة متتابعة لإدخال رمز الدخول. ولا يتم حساب المحاولات المتتالية لنفس رمز الدخول غير الصحيح في حدود هذا الحد. يتوفر هذا الإعداد أيضًا كسياسة إدارية من خلال حل إدارة الأجهزة المحمولة (MDM) الذي يدعم هذه الميزة وعبر Microsoft Exchange ActiveSync، ويمكن تعيينه على حد أقل.
على الأجهزة التي تحتوي على Secure Enclave، يتم فرض التأخير بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الجهاز أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS
للمساعدة على منع هجمات القوة الغاشمة، عند بدء تشغيل Mac، لا يُسمح بأكثر من 10 محاولة لإدخال كلمة السر في نافذة تسجيل، ويتم فرض تأخيرات زمنية متصاعدة بعد عدد معين من المحاولات غير الصحيحة. يتم فرض التأخيرات بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الـ Mac أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
للمساعدة على منع البرامج الضارة من التسبب في فقدان دائم للبيانات من خلال محاولة مهاجمة كلمة سر المستخدم، لا تُفرض هذه الحدود بعد أن يسجل المستخدم الدخول إلى Mac بنجاح، ولكن يُعاد فرضها بعد إعادة التشغيل. إذا تم استنفاد المحاولات العشرة، تكون هناك 10 محاولات أخرى متاحة بعد إعادة التشغيل في recoveryOS. وإذا تم استنفاد تلك المحاولات أيضًا، تكون هناك 10 محاولة إضافية متاحة لكل آلية استرداد خزنة الملفات (استرداد iCloud ومفتاح استرداد خزنة الملفات والمفتاح المؤسسي)، بحد أقصى 30 محاولة إضافية. بعد استنفاد تلك المحاولات الإضافية، تصبح Secure Enclave غير قادرة على معالجة أي طلبات لفك تشفير وحدة التخزين أو التحقق من كلمة السر، وتصبح البيانات الموجودة على محرك الأقراص غير قابلة للاسترداد.
للمساعدة على حماية البيانات في بيئة مؤسسية، يجب على قسم تكنولوجيا المعلومات (IT) تحديد سياسات تكوين خزنة الملفات وفرضها باستخدام حل MDM. ويتوفر لدى المؤسسات العديد من الخيارات لإدارة وحدات التخزين المشفرة، بما في ذلك مفاتيح الاسترداد المؤسسية أو مفاتيح الاسترداد الشخصية (التي يمكن تخزينها اختياريًا باستخدام MDM للضمان) أو مزيج من الاثنين. يمكن أيضًا تعيين تدوير المفاتيح كسياسة في MDM.
على Mac المزود بشريحة Apple T2 الأمنية، تؤدي كلمة السر وظيفة مماثلة، باستثناء أن المفتاح المنشأ يُستخدم لتشفير خزنة الملفات بدلاً من حماية البيانات. كما يوفر macOS خيارات إضافية لاسترداد كلمة السر:
استرداد iCloud
استرداد خزنة الملفات
مفتاح خزنة الملفات المؤسسي