Koder og adgangskoder
Apple bruger koder i iOS og iPadOS og adgangskoder i macOS til at beskytte brugerdata mod ondsindede angreb. Jo længer en kode eller adgangskode er, des stærkere er den – og jo lettere er det at modvirke brute-force-angreb. Apple gør angreb endnu mere besværlige ved at benytte tidsforsinkelser (til iOS og iPadOS) og fastlægge et begrænset antal adgangskodeforsøg (til Mac).
Når en bruger i iOS og iPadOS indstiller en kode eller en adgangskode til enheden, slås databeskyttelse automatisk til. Databeskyttelse slås også til på andre enheder, der indeholder en Apple SoC (System on Chip), f.eks. en Mac med Apple Silicon, Apple TV og Apple Watch. I macOS bruger Apple FileVault, som er en indbygget app til kryptering af enheder.
Sådan øger stærke koder og adgangskoder sikkerheden
iOS og iPadOS understøtter koder på seks eller fire cifre og alfanumeriske koder med en vilkårlig længde. Ud over at låse enheden op sørger koden eller adgangskoden for entropi til visse krypteringsnøgler. Det betyder, at en person med ondsindede hensigter, som er i besiddelse af enheden, ikke kan få adgang til data i bestemte beskyttelsesklasser uden koden.
Koden eller adgangskoden er kombineret med enhedens UID, så det er nødvendigt at udføre såkaldte brute force-forsøg ved angreb på enheden. Et stort antal gentagelser bruges til at gøre hvert forsøg langsommere. Antallet af gentagelser er kalibreret, så hvert forsøg tager ca. 80 millisekunder. Det ville faktisk tage mere end fem et halvt år at prøve med alle kombinationer af en alfanumerisk kode på seks tegn bestående af små bogstaver og tal.
Jo stærkere brugerens kode er, des stærkere bliver krypteringsnøglen. Og med Face ID og Touch ID kan brugeren anvende en langt stærkere kode, end det normalt ville være praktisk muligt. Den stærkere kode øger det effektive omfang af entropi, som beskytter de krypteringsnøgler, der bruges til Databeskyttelse, uden at det bliver besværligt for brugeren at låse en enhed op flere gange om dagen.
Hvis der skal indtastes en lang adgangskode, der kun består af tal, vises en numerisk blok på den låste skærm i stedet for hele tastaturet. Det kan være nemmere at indtaste en lang numerisk kode i stedet for en kortere alfanumerisk kode og samtidig opnå stort set samme sikkerhed.
Brugerne kan angive en længere alfanumerisk kode ved at vælge Speciel alfanumerisk kode under Indstillinger til kode i Indstillinger > Touch ID & kode eller Face ID & kode.
Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb
I iOS, iPadOS og macOS gøres brute-force-angreb på koder endnu mere besværlige vha. en trinvis forøgelse af tidsforsinkelsen, når der er indtastet en ugyldig kode, adgangskode eller PIN-kode (afhængigt af enheden og den tilstand, enheden er i). Det er vist i tabellen herunder.
Forsøg | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller flere |
|---|---|---|---|---|---|---|---|---|
Låseskærm i iOS og iPadOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheden slås fra og skal have forbindelse til en Mac eller pc |
Låseskærm i watchOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheden slås fra og skal have forbindelse til en iPhone |
Login-vindue og låseskærm i macOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | 8 timer |
Gendannelsesfunktion i macOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se “Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS” nedenfor |
FileVault med gendannelsesnøgle (personlig, organisationens eller iCloud) | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se “Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS” nedenfor |
PIN-kode til ekstern låsning i macOS | 1 minut | 5 minutter | 15 minutter | 30 minutter | 1 time | 1 time | 1 time | 1 time |
Hvis indstillingen Slet data er slået til for iPhone eller iPad (i Indstillinger > [Face ID] eller [Touch ID] & kode), fjernes alt indhold og alle indstillinger fra disken efter 10 forgæves forsøg i træk på at indtaste koden. Flere på hinanden følgende forsøg med den samme forkerte kode tæller kun som et forgæves forsøg. Denne indstilling er også tilgængelig som en administrativ politik via en løsning til administration af mobile enheder (MDM), der understøtter denne funktion, og via Microsoft Exchange ActiveSync, og den kan indstilles til en lavere grænse.
På enheder med Secure Enclave håndhæves forsinkelserne af Secure Enclave. Hvis enheden genstartes under en tidsforsinkelse, gennemtvinges forsinkelsen stadig, og timeren starter forfra med den aktuelle periode.
Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS
Med henblik på at forhindre brute force-angreb er højst 10 adgangskodeforsøg tilladt i login-vinduet, når Mac startes. Desuden øges tiden gradvist fra et vist antal forkerte forsøg, før næste forsøg er muligt. Tidsforsinkelserne styres af Secure Enclave. Hvis Mac genstartes under en tidsforsinkelse, gennemtvinges forsinkelsen stadig, og timeren starter forfra med den aktuelle periode.
Med henblik på at forhindre malware i at skabe permanent datatab som følge af angreb på brugerens adgangskode håndhæves disse tidsgrænser ikke, når brugeren har logget ind på Mac, men de gælder igen efter en genstart. Hvis de 10 forsøg er blevet brugt, er det muligt at få 10 forsøg mere efter genstart i macOS-gendannelse. Hvis disse forsøg heller ikke lykkes, er der mulighed for yderligere 10 forsøg for hver FileVault-gendannelsesfunktion (iCloud-gendannelse, FileVault-gendannelsesnøgle og organisationens nøgle) – i alt 30 forsøg mere. Når disse ekstra forsøg er brugt, behandler Secure Enclave ikke længere anmodninger om at dekryptere enheden eller godkende adgangskoden, og det er ikke længere muligt at gendanne enhedens data.
Som led i beskyttelsen af data i et virksomhedsmiljø skal it-afdelingen definere og håndhæve konfigureringspolitikker til FileVault ved hjælp af en MDM-løsning. Virksomheder har adskillige muligheder til administration af krypterede enheder, bl.a. gendannelsesnøgler fra organisationen (som valgfrit kan deponeres hos MDM), eller en kombination af begge. Rotation af nøgler kan også indstilles som en politik i MDM.
På en Mac med Apple T2-sikkerhedschippen fungerer adgangskoder på stort set samme måde, bortset fra at den genererede nøgle bruges til FileVault-kryptering i stedet for Databeskyttelse. macOS har desuden flere muligheder for at gendanne adgangskoder:
iCloud-gendannelse
FileVault-gendannelse
Institutionens nøgle til FileVault