Koder og passord
Apple bruker koder i iOS og iPadOS samt passord i macOS for å beskytte brukernes data mot ondsinnede angrep. Jo lenger koden eller passordet er, desto sterkere er koden eller passordet, og desto enklere er det å unngå brute-force-angrep. For ekstra beskyttelse bruker Apple tidsforsinkelser (for iOS og iPadOS) og et begrenset antall passordforsøk (for Mac).
I iOS og iPadOS aktiveres databeskyttelse automatisk når brukeren konfigurerer en kode eller et passord. Databeskyttelse aktiveres også på andre enheter med Apple System on Chip (SOC), for eksempel Macer med Apple-chip, Apple TV og Apple Watch. I macOS bruker Apple FileVault, som er det innebygde programmet for kryptering av volumer.
Slik forbedrer sterke koder og passord sikkerheten
iOS og iPadOS støtter alfanumeriske koder på seks sifre, fire sifre og med valgfri lengde. En kode eller et passord låser opp enheten og sørger for entropi for visse krypteringsnøkler. Det betyr at uvedkommende ikke kan få tilgang til dataene i spesifikke beskyttelsesklasser uten koden.
Koden eller passordet er integrert i enhetens UID, slik at brute-force-forsøk må skje på enheten som er under angrep. Et høyt iterasjonstall brukes til å gjøre hvert forsøk på å tippe passordet tregere. Iterasjonstallet er kalibrert slik at ett forsøk tar om lag 80 millisekunder. Det betyr at det vil ta over fem og et halvt år å prøve alle kombinasjoner av alfanumeriske koder på seks tegn med små bokstaver og tall.
Jo sterkere koden er, jo sterkere blir krypteringsnøkkelen. Og ved å bruke Face ID og Touch ID kan brukeren opprette en mye sterkere kode enn det som ellers hadde vært praktisk å bruke. Den sterkere koden øker den effektive mengden entropi som beskytter krypteringsnøklene som brukes til databeskyttelse, uten at det går utover brukeropplevelsen når enheten skal låses opp mange ganger i løpet av dagen.
Hvis det oppgis et langt passord som kun består av tall, vises et numerisk tastatur på låst skjerm i stedet for hele tastaturet. Det kan være enklere å oppgi en lengre numerisk kode enn en kortere alfanumerisk kode, og det gir den samme sikkerheten.
Brukerne kan angi lengre alfanumeriske koder ved å velge Tilpasset alfanumerisk kode i Sikkerhetskodevalg i Innstillinger > Touch ID og kode eller Face ID og kode.
Slik beskytter stigende tidsforsinkelser mot brute-force-angrep
For å gjøre det enda mindre fristende å utføre brute-force-angrep har iOS, iPadOS og macOS en funksjon som øker tidsforsinkelsen hver gang det angis en ugyldig kode, et ugyldig passord eller en ugyldig PIN-kode (avhengig av enheten og hvilken tilstand den er i), som vist i tabellen nedenfor.
Forsøk | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller mer |
|---|---|---|---|---|---|---|---|---|
Låst skjerm i iOS og iPadOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheten deaktiveres og må kobles til en Mac eller PC |
Låst skjerm i watchOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheten deaktiveres og må kobles til en iPhone |
Påloggings-vindu og låst skjerm i macOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | 8 timer |
Gjenopp-rettings-modus i macOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se «Slik beskytter stigende tidsforsinkelser mot brute-force-angrep i macOS» nedenfor |
FileVault med gjenopprettingsnøkkel (personlig, institusjon eller iCloud) | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se «Slik beskytter stigende tidsforsinkelser mot brute-force-angrep i macOS» nedenfor |
PIN-kode for fjernlåsing i macOS | 1 minutt | 5 minutter | 15 minutter | 30 minutter | 1 time | 1 time | 1 time | 1 time |
Hvis Slett data er slått på for iPhone eller iPad (i Innstillinger > [Face ID] eller [Touch ID] og kode), slettes alt innhold og alle innstillinger etter at det er gjort ti mislykkede forsøk etter hverandre. Flere etterfølgende forsøk med samme, uriktige kode teller ikke i forhold til grensen. Denne innstillingen er også tilgjengelig som administrative retningslinjer via en MDM-løsning som støtter denne funksjonen og Microsoft Exchange ActiveSync, og det kan angis en lavere grense.
På enheter med Secure Enclave iverksettes forsinkelsene av Secure Enclave. Hvis enheten startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
Slik beskytter stigende tidsforsinkelser mot brute-force-angrep i macOS
For å bidra til å hindre brute-force-angrep tillates ikke mer enn 10 passordforsøk i påloggingsvinduet når Macen starter opp. Stigende tidsforsinkelser iverksettes etter et definert antall mislykkede forsøk. Forsinkelsene håndheves av Secure Enclave. Hvis Macen startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
For å bidra til å hindre skadelig programvare i å forårsake permanent datatap ved å forsøke å angripe brukerens passord, håndheves ikke disse grensene etter at brukeren har lykkes med å logge på Macen, men iverksettes på nytt etter en omstart. Hvis de 10 forsøkene brukes opp, er 10 nye forsøk tilgjengelig etter omstart til recoveryOS. Hvis de også brukes opp, er ytterligere 10 forsøk tilgjengelig for hver FileVault-gjenopprettingsmekanisme (iCloud-gjenoppretting, FileVault-gjenopprettingsnøkkel og institusjonsnøkkel), for maksimalt ytterligere 30 forsøk. Når disse forsøkene er brukt opp, behandler ikke Secure Enclave lenger noen forespørsler om å dekryptere volumet eller verifisere passordet, og dataene på stasjonen er ikke mulige å gjenopprette.
For å bidra til å beskytte data i et bedriftsoppsett bør IT-avdelingen definere og håndheve FileVault-konfigurasjonsregelsett ved hjelp av MDM-løsning. Organisasjoner har flere muligheter for å administrere krypterte volumer, inkludert gjenopprettingsnøkler for institusjonen, personlige gjenopprettingsnøkler (som kan lagres med MDM for deponering) eller en kombinasjon av begge. Nøkkelrotering kan også angis som en regel i MDM.
På Macer med Apple T2-sikkerhetsbrikke har passordet en lignende funksjon med unntak av at nøkkelen som genereres, brukes til FileVault-kryptering i stedet for databeskyttelse. macOS tilbyr også flere alternativer for passordgjenoppretting:
iCloud-gjenoppretting
FileVault-gjenoppretting
FileVault-institusjonsnøkkel