Код-пароли и пароли
Чтобы защитить данные пользователей от атак, Apple использует код-пароли в iOS и iPadOS и пароли в macOS. Чем длиннее код-пароль или пароль, тем он надежнее, а значит, он лучше противостоит атакам методом перебора. Чтобы еще больше повысить стойкость к атакам, Apple применяет задержки (в iOS и iPadOS) и ограничивает число попыток ввода пароля (на Mac).
В iOS и iPadOS защита данных включается автоматически, когда пользователь задает код-пароль или пароль. Защита данных также включается на других устройствах с системой на кристалле (SoC), таких как Mac с чипом Apple, Apple TV и Apple Watch. В macOS Apple использует встроенное приложение для шифрования томов, которое называется FileVault.
Как надежные код-пароли или пароли повышают безопасность
iOS и iPadOS поддерживают код-пароли из шести или четырех цифр и буквенно-цифровые код-пароли произвольной длины. Помимо разблокирования устройства, код-пароль или пароль является источником энтропии для некоторых ключей шифрования. Это означает, что злоумышленник, завладевший устройством, не сможет получить доступ к данным определенных классов защиты, не зная код-пароля.
Код-пароль или пароль привязывается к UID устройства, поэтому попытки перебора должны выполняться непосредственно на атакуемом устройстве. Для замедления каждой попытки используется счетчик повторений. Счетчик повторений настроен таким образом, что одна попытка занимает примерно 80 миллисекунд. Это означает, что для перебора всех сочетаний шестизначного код-пароля, состоящего из строчных букв и цифр, потребуется более пяти с половиной лет.
Чем надежнее код-пароль пользователя, тем надежнее ключ шифрования. Поэтому с Face ID или Touch ID пользователь может задать более надежный код-пароль, нежели тот, который было бы удобнее вводить в отсутствие данных технологий. Надежный код-пароль повышает эффективность энтропии, защищающей ключи шифрования, используемые для защиты данных, но не сказывается на удобстве пользователей, которым приходится по несколько раз в день разблокировать устройство.
Если введен длинный пароль, содержащий только цифры, вместо полной клавиатуры на экране блокировки отображается цифровая клавиатура. При аналогичном уровне безопасности вводить более длинный цифровой код-пароль может быть проще, чем короткий буквенно-цифровой.
Пользователи могут задать более длинный буквенно-цифровой код-пароль. Для этого нужно открыть «Настройки» > «Touch ID и код-пароль» или «Face ID и код-пароль» и выбрать вариант «Произвольный код (буквы + цифры)» в разделе «Параметры код‑пароля».
Как увеличенные временные задержки препятствуют атакам методом перебора (iOS, iPadOS)
В iOS и iPadOS, чтобы еще больше усложнить атаки методом перебора, после ввода неправильного код-пароля на экране блокировки временные задержки увеличиваются. Время задержки указано в таблице далее.
Попытки | Принудительная задержка |
---|---|
1—4 | Нет |
5 | 1 минута |
6 | 5 минут |
7—8 | 15 минут |
9 | 1 час |
Если параметр «Стирать данные» включен («Настройки» > «Touch ID и код‑пароль»), все данные на устройстве будут автоматически стерты после 10 неудачных попыток ввода код-пароля подряд. При подсчете не учитываются последовательные попытки ввода одного и того же неправильного код-пароля. Эта функция также доступна при настройке политики администрирования через систему управления мобильными устройствами (MDM) и через Exchange ActiveSync. Кроме того, можно установить более низкий порог ее срабатывания.
На устройствах с Secure Enclave за применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки устройство перезапускается, задержка применяется еще раз, а таймер запускается заново.
Как увеличенные временные задержки препятствуют атакам методом перебора (macOS)
Для того чтобы помочь в предотвращении атак методом перебора, при загрузке Mac в окне входа или режиме внешнего диска дается не более 10 попыток ввода пароля, при этом каждый раз после ввода неправильного пароля время задержки перед новой попыткой увеличивается. За применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки Mac перезапускается, задержка применяется еще раз, а таймер запускается заново.
В таблице ниже указаны задержки между попытками ввода пароля на компьютере Mac с чипом Apple и компьютере Mac с чипом T2.
Попытки | Принудительная задержка |
---|---|
5 | 1 минута |
6 | 5 минут |
7 | 15 минут |
8 | 15 минут |
9 | 1 час |
10 | Отключено |
Чтобы помочь противодействовать необратимой потере данных из-за того, что вредоносное программное обеспечение атаковало пароль пользователя, эти ограничения снимаются после того, как пользователь успешно вошел в систему Mac, но вновь применяются после перезагрузки. Когда 10 попыток исчерпаны, можно выполнить загрузку в режиме recoveryOS, чтобы получить еще 10 попыток. Если и дополнительные попытки исчерпаны, каждому механизму восстановления FileVault (восстановление iCloud, ключ восстановления FileVault и корпоративный ключ) предоставляется по 10 дополнительных попыток, то есть всего доступно 30 дополнительных попыток. Если эти дополнительные попытки также исчерпаны, Secure Enclave перестанет обрабатывать запросы на дешифрование тома или проверку пароля, и данные на диске будут утрачены безвозвратно.
Чтобы помочь защитить данные в корпоративной среде, ИТ-отдел должен установить и внедрить политики конфигурации FileVault с помощью системы MDM. Организациям доступно несколько способов управления зашифрованными томами, включая корпоративные ключи восстановления, личные ключи восстановления (которые при желании можно передать в MDM для хранения) или их сочетание. В MDM также можно установить политику ротации ключей.
На компьютере Mac с чипом безопасности Apple T2 пароль выполняет схожую функцию, но сгенерированный ключ используется для шифрования FileVault, а не для технологии защиты данных. macOS также предлагает дополнительные варианты восстановления пароля:
восстановление iCloud;
восстановление FileVault;
корпоративный ключ FileVault.