Appleプラットフォームのセキュリティ
-
ようこそ
-
概要
-
用語集
-
改訂履歴
-
Copyright
パスコード
デバイスパスコードを設定することで、ユーザはデータ保護を自動的に有効にできます。iOSとiPadOSでは、6桁の数字、4桁の数字、および英数字を含む任意の長さのパスコードをサポートしています。パスコードを設定すると、デバイスをロック解除するだけでなく、一部の暗号鍵にエントロピーを付加することができます。これによって、デバイスを乗っ取った攻撃者は、パスコードがない限り特定の保護クラスのデータにアクセスできなくなります。
パスコードはデバイスのUIDとタングルされる(関連付けられる)ので、総当たり(ブルートフォース)攻撃を行うには対象のデバイス上で実行する必要があります。各試行にかかる時間を長くするために、反復間隔が大きく設定されています。反復間隔は、試行1回につき約80ミリ秒かかるように調整されているので、英字の小文字と数字を使った6文字のパスコードの場合、すべての組み合わせを試すには5年半以上かかることになります。
ユーザパスコードが強力であれば、それだけ暗号鍵も強力になります。Touch IDやFace IDを使用すれば、入力するには実用的でない長さのパスコードも設定しやすくなるので、その分暗号鍵も強化されます。これにより、1日に何度も実行するiOSデバイスまたはiPadOSデバイスのロック解除のユーザ体験を損なうことなく、データ保護用の暗号鍵を保護するエントロピーの有効性を増大させることができます。
パスコードに対する総当たり(ブルートフォース)攻撃をさらに抑制するために、ロック画面で無効なパスコードが入力された場合、次の入力までの待ち時間が延長されます。「設定」>「Touch IDとパスコード」>「データを消去」がオンの場合、パスコードの入力を10回連続で間違えるとデバイスが自動的にワイプされます。同じ内容の間違ったパスコードを連続で入力した場合はカウントされません。この設定は、この機能をサポートするモバイルデバイス管理(MDM)ソリューションおよびMicrosoft Exchange ActiveSyncの管理ポリシーとしても利用可能で、回数の上限を下げることもできます。
Secure Enclaveを搭載したデバイスでは、Secure Enclaveコプロセッサによって待ち時間が強制的に適用されます。遅延が適用されているデバイスを再起動しても遅延は適用されたまま、再起動前のカウントが再開されます。
長いパスコードの指定
数字のみを含む長いパスワードを入力する場合は、ロック画面にフルキーボードではなくテンキーが表示されます。数字のみの長いパスコードは英数字を含む短いパスコードよりも簡単に入力できますが、同水準のセキュリティを確保できます。
ユーザが「設定」>「パスコード」の「パスコードオプション」で「カスタムの英数字コード」を選択すると、より長い英数字のパスコードを指定できます。
パスコード入力間の待ち時間
試行回数 | 適用される遅延 |
|---|---|
1~4回 | なし |
5回 | 1分 |
6 | 5分 |
7~8回 | 15分 |
9 | 1時間 |