Gerätecodes und Passwörter
Zum Schutz der Benutzerdaten vor bösartigen Angriffen verwendet Apple in iOS und iPadOS Codes und in macOS Passwörter. Je länger ein Code oder Passwort ist, desto stärker ist der Code oder das Passwort – und desto besser werden Brute-Force-Attacken abgewehrt. Um Angriffe noch besser abzuwehren, erzwingt Apple eine Zeitverzögerung (für iOS und iPadOS) und eine maximale Anzahl an Passwortversuchen (auf dem Mac).
Durch das Einrichten eines Gerätecodes oder -passworts in iOS und iPadOS wird automatisch die Datensicherheit aktiviert. Die Datensicherheit wird auch auf anderen Geräten mit einem Apple-SoC (System on Chip) aktiviert, etwa auf einem Mac mit Apple Chips, auf Apple TV und auf der Apple Watch. In macOS verwendet Apple das integrierte Volume-Verschlüsselungsprogramm FileVault.
Starke Codes und Passwörter erhöhen die Sicherheit
iOS und iPadOS unterstützen Gerätecodes aus sechs oder vier Ziffern sowie alphanumerische Gerätecodes beliebiger Länge. Zusätzlich zum Entsperren des Geräts stellt der Gerätecode oder das Gerätepasswort die Entropie für bestimmte Verschlüsselungscodes zur Verfügung. Das bedeutet, dass ein Angreifer, der ein Gerät in seinem Besitz hat, ohne den Gerätecode nicht auf Daten bestimmter Sicherheitsklassen zugreifen kann.
Der Gerätecode oder das Gerätepasswort ist mit der UID des Geräts verknüpft, sodass Brute-Force-Angriffe direkt auf dem Gerät durchgeführt werden müssen, dem der Angriff gilt. Ein Zähler für die Anzahl der Wiederholungen sorgt dafür, dass mehr Zeit für jeden einzelnen Versuch benötigt wird. Dieser Zähler wurde so kalibriert, dass für einen Versuch etwa 80 Millisekunden benötigt werden. Das bedeutet, dass es über fünfeinhalb Jahre dauern würde, alle sechsstelligen alphanumerischen Gerätecodes mit Kleinbuchstaben und Zahlen auszuprobieren.
Je stärker der Gerätecode eines Benutzers ist, desto sicherer ist auch der Verschlüsselungscode. Und durch die Verwendung von Face ID und Touch ID kann ein viel stärkerer Code erstellt werden, der sonst nicht praktikabel wäre. Durch den stärkere Gerätecode wird die Wirksamkeit der Entropie effektiv erhöht, mit der die für die Datensicherheit verwendeten Verschlüsselungsschlüssel geschützt werden, ohne dass die Benutzerfreundlichkeit leidet, wenn Geräte mehrmals am Tag entsperrt werden müssen.
Wenn ein langes Passwort eingegeben wird, das nur aus Ziffern besteht, wird auf dem Sperrbildschirm ein numerisches Tastenfeld anstelle der vollständigen Tastatur angezeigt. Ein längerer Gerätecode, der nur aus Ziffern besteht, kann einfacher einzugeben sein als ein kürzerer alphanumerischer Gerätecode und bietet ähnlich hohe Sicherheit.
Unter „Einstellungen“ > „Touch ID & Code“ oder „Face ID & Code“ kann über die Option „Eigener alphanumerischer Code“ ein längerer, alphanumerischer Code festlegt werden.
Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen
Um in iOS, iPadOS und macOS Brute-Force-Codeangriffe noch besser abzuwehren, werden zunehmende zeitliche Verzögerungen eingesetzt, wenn ein ungültiger Gerätecode auf dem Sperrbildschirm eingegeben wurde. Details hierzu können der Tabelle unten entnommen werden.
Versuche | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ab 10 |
|---|---|---|---|---|---|---|---|---|
iOS- und iPadOS-Sperrbildschirm | Keine | 1 Minute | 5 Minuten | 15 Minuten | 1 Stunde | 3 Stunden | 8 Stunden | Gerät wird deaktiviert und muss mit einem Mac oder PC verbunden werden |
watchOS-Sperrbildschirm | Keine | 1 Minute | 5 Minuten | 15 Minuten | 1 Stunde | 3 Stunden | 8 Stunden | Gerät wird deaktiviert und muss mit einem iPhone verbunden werden |
macOS-Anmeldebildschirm und -Sperrbildschirm | Keine | 1 Minute | 5 Minuten | 15 Minuten | 1 Stunde | 3 Stunden | 8 Stunden | 8 Stunden |
macOS-Wiederherstellungsmodus | Keine | 1 Minute | 5 Minuten | 15 Minuten | 1 Stunde | 3 Stunden | 8 Stunden | Weitere Informationen unter „Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS” unten |
FileVault mit Wiederherstellungsschlüssel (persönlich, institutionell oder iCloud) | Keine | 1 Minute | 5 Minuten | 15 Minuten | 1 Stunde | 3 Stunden | 8 Stunden | Weitere Informationen unter „Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS” unten |
PIN-Code für die macOS-Sperrung per Fernzugriff | 1 Minute | 5 Minuten | 15 Minuten | 30 Minuten | 1 Stunde | 1 Stunde | 1 Stunde | 1 Stunde |
Wenn die Option „Daten löschen“ für das iPhone oder iPad aktiviert ist (unter „Einstellungen“ > „Face ID & Code“ oder „Touch ID & Code“) und der Code zehnmal hintereinander falsch eingegeben wurde, werden alle Inhalte und Einstellungen auf dem Speichergerät entfernt. Aufeinanderfolgende Versuche mit demselben falschen Code werden auf die Höchstgrenze nicht angerechnet. Diese Einstellung ist auch als Verwaltungsrichtlinie über eine Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM), die diese Funktion unterstützt, sowie über Exchange ActiveSync verfügbar, wobei die maximal zulässige Anzahl von Fehleingaben auch verringert werden kann.
Bei Geräten mit einer Secure Enclave werden die Verzögerungen durch die Secure Enclave erzwungen. Wird das Gerät während einer zeitlich fixierten Verzögerung neu gestartet, wird die Verzögerung dennoch durchgesetzt und der Timer auf den Anfang des aktuellen Verzögerungsintervalls zurückgesetzt.
Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS
Um Brute-Force-Angriffen beim Starten des Mac vorzubeugen, sind im Anmeldefenster maximal 10 Versuche der Passworteingabe zulässig, wobei nach einer bestimmten Anzahl an fehlgeschlagenen Versuchen die Wartezeit bis zum nächsten Versuch verlängert wird. Diese Verzögerungen werden durch die Secure Enclave erzwungen. Wird der Mac während eines Verzögerungsintervalls neu gestartet, wird die Verzögerung weiterhin durchgesetzt und der Timer auf den Anfang des aktuellen Verzögerungsintervalls zurückgesetzt.
Als Vorkehrung gegen den unwiederbringlichen Verlust von Daten infolge von Malware-Angriffen auf das Passwort des Benutzers werden diese Limits nicht durchgesetzt, nachdem sich der Benutzer erfolgreich an seinem Mac angemeldet hat. Sie werden aber nach dem erneuten Starten wieder in Kraft gesetzt. Wenn die 10 zulässigen Versuche aufgebraucht sind, sind nach einem Neustart in recoveryOS 10 weitere Versuche möglich. Wenn auch diese Versuche aufgebraucht sind, sind 10 weitere Versuche für jeden FileVault-Wiederherstellungsmechanismus (iCloud-Wiederherstellung, FileVault-Wiederherstellungsschlüssel und institutioneller Schlüssel) möglich. Maximal sind damit 30 weitere Versuche zulässig. Wenn auch diese weiteren Versuche aufgebraucht sind, verarbeitet die Secure Enclave keinerlei Prozesse zum Entschlüsseln des Volumes oder zum Prüfen des Passworts mehr. Die Daten auf dem betreffenden Laufwerk oder Volume sind dann nicht wiederherstellbar.
Um den Schutz in einer Unternehmensumgebung zu gewährleisten, sollten die IT-Verantwortlichen mithilfe einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) FileVault-Konfigurationsrichtlinien definieren und deren Einhaltung erzwingen. Organisationen haben mehrere Möglichkeiten, um verschlüsselte Volumes zu verwalten – zum Beispiel institutionelle Wiederherstellungsschlüssel, persönliche Wiederherstellungsschlüssel (die optional treuhänderisch in der MDM-Lösung gespeichert werden können) oder eine Kombination der beiden Varianten. Auch die Schlüsselrotation kann in der MDM-Lösung als Richtlinie konfiguriert werden.
Bei einem Mac mit einem Apple T2 Security Chip übernimmt das Passwort eine ähnliche Funktion. Der Unterschied besteht darin, dass der generierte Schlüssel nicht für die Datensicherheit, sondern für die FileVault-Verschlüsselung herangezogen wird. macOS bietet außerdem zusätzliche Optionen für die Wiederherstellung eines Passworts:
iCloud-Wiederherstellung
FileVault-Wiederherstellung
Institutioneller FileVault-Schlüssel