Код-пароли и пароли
Чтобы защитить данные пользователей от атак, Apple использует код-пароли в iOS и iPadOS и пароли в macOS. Чем длиннее код-пароль или пароль, тем он надежнее, а значит, он лучше противостоит атакам методом перебора. Чтобы еще больше повысить стойкость к атакам, Apple применяет задержки (в iOS и iPadOS) и ограничивает число попыток ввода пароля (на Mac).
В iOS и iPadOS защита данных включается автоматически, когда пользователь задает код-пароль или пароль. Защита данных также включается на других устройствах с системой на кристалле (SoC), таких как Mac с чипом Apple, Apple TV и Apple Watch. В macOS Apple использует встроенное приложение для шифрования томов, которое называется FileVault.
Как надежные код-пароли или пароли повышают безопасность
iOS и iPadOS поддерживают код-пароли из шести или четырех цифр и буквенно-цифровые код-пароли произвольной длины. Помимо разблокирования устройства, код-пароль или пароль является источником энтропии для некоторых ключей шифрования. Это означает, что злоумышленник, завладевший устройством, не сможет получить доступ к данным определенных классов защиты, не зная код-пароля.
Код-пароль или пароль привязывается к UID устройства, поэтому попытки перебора должны выполняться непосредственно на атакуемом устройстве. Для замедления каждой попытки используется счетчик повторений. Счетчик повторений настроен таким образом, что одна попытка занимает примерно 80 миллисекунд. Это означает, что для перебора всех сочетаний шестизначного код-пароля, состоящего из строчных букв и цифр, потребуется более пяти с половиной лет.
Чем надежнее код-пароль пользователя, тем надежнее ключ шифрования. Поэтому с Face ID или Touch ID пользователь может задать более надежный код-пароль, нежели тот, который было бы удобнее вводить в отсутствие данных технологий. Надежный код-пароль повышает эффективность энтропии, защищающей ключи шифрования, используемые для защиты данных, но не сказывается на удобстве пользователей, которым приходится по несколько раз в день разблокировать устройство.
Если введен длинный пароль, содержащий только цифры, вместо полной клавиатуры на экране блокировки отображается цифровая клавиатура. При аналогичном уровне безопасности вводить более длинный цифровой код-пароль может быть проще, чем короткий буквенно-цифровой.
Пользователи могут задать более длинный буквенно-цифровой код-пароль. Для этого нужно открыть «Настройки» > «Touch ID и код-пароль» или «Face ID и код-пароль» и выбрать вариант «Произвольный код (буквы + цифры)» в разделе «Параметры код‑пароля».
Как увеличенные временные задержки препятствуют атакам методом перебора
Чтобы дополнительно усложнить атаки методом перебора, в iOS, iPadOS и macOS с каждым вводом неправильного код‑пароля, пароля или PIN‑кода (в зависимости от устройства и его текущего статуса) увеличивается время задержки перед следующей попыткой. Время задержки указано в таблице далее.
Попытки | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 или более |
---|---|---|---|---|---|---|---|---|
Экран блокировки iOS и iPadOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | Устройство блокируется; требуется подключение к Mac или ПК |
Экран блокировки watchOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | Устройство блокируется; требуется подключение к iPhone |
Окно входа и экран блокировки macOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | 8 часов |
Режим восстановления macOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | См. раздел «Как увеличенные временные задержки препятствуют атакам методом перебора (macOS)» далее. |
FileVault с ключом восстановления (личным, предоставленным организацией или из iCloud) | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | См. раздел «Как увеличенные временные задержки препятствуют атакам методом перебора (macOS)» далее. |
PIN‑код удаленной блокировки macOS | 1 минута | 5 минут | 15 минут | 30 минут | 1 час | 1 час | 1 час | 1 час |
Если на iPhone или iPad включен параметр «Стирать данные» («Настройки» > «Face ID и код‑пароль» или «Touch ID и код‑пароль»), весь контент и настройки будут автоматически стерты с устройства после 10 неудачных попыток ввода код‑пароля подряд. При подсчете не учитываются последовательные попытки ввода одного и того же неправильного код-пароля. Эта функция также доступна при настройке политики администрирования через систему управления мобильными устройствами (MDM) и через Exchange ActiveSync. Кроме того, можно установить более низкий порог ее срабатывания.
На устройствах с Secure Enclave за применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки устройство перезагружается, задержка применяется еще раз, а таймер запускается заново.
Как увеличенные временные задержки препятствуют атакам методом перебора в macOS
Чтобы предотвратить атаки методом перебора, при загрузке Mac в окне входа дается не более 10 попыток ввода пароля, при этом каждый раз после ввода неправильного пароля время задержки перед новой попыткой увеличивается. За применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки Mac перезагружается, задержка применяется еще раз, а таймер запускается заново.
Чтобы предотвратить необратимую потерю данных из‑за попыток вредоносного ПО атаковать пароль пользователя, эти ограничения снимаются после успешного входа пользователя в систему Mac, но вновь применяются после перезагрузки. Когда 10 попыток исчерпаны, можно перезагрузить систему в режиме recoveryOS, чтобы получить еще 10 попыток. Если и дополнительные попытки исчерпаны, каждому механизму восстановления FileVault (восстановление iCloud, ключ восстановления FileVault и корпоративный ключ) предоставляется по 10 дополнительных попыток, то есть всего доступно 30 дополнительных попыток. Если эти дополнительные попытки также исчерпаны, Secure Enclave перестанет обрабатывать запросы на расшифровку тома или проверку пароля, и данные на диске будут утрачены безвозвратно.
Чтобы помочь защитить данные в корпоративной среде, ИТ-отдел должен установить и внедрить политики конфигурации FileVault с помощью системы MDM. Организациям доступно несколько способов управления зашифрованными томами, включая корпоративные ключи восстановления, личные ключи восстановления (которые при желании можно передать в MDM для хранения) или их сочетание. В MDM также можно установить политику ротации ключей.
На компьютере Mac с чипом безопасности Apple T2 пароль выполняет схожую функцию, но сгенерированный ключ используется для шифрования FileVault, а не для технологии защиты данных. macOS также предлагает дополнительные варианты восстановления пароля:
восстановление iCloud;
восстановление FileVault;
корпоративный ключ FileVault.