Lösenkoder och lösenord
För att skydda användardata från skadliga attacker använder Apple lösenkoder i iOS och iPadOS och lösenord i macOS. Ju längre en lösenkod eller ett lösenord är, desto starkare är det och desto enklare är det att avvärja automatiserade intrångsförsök. För att ytterligare avvärja attacker genomdriver Apple tidsfördröjningar (för iOS och iPadOS) och ett begränsat antal lösenordsförsök (för macOS).
När en användare ställer in en lösenkod eller ett lösenord för en enhet i iOS och iPadOS aktiveras dataskydd automatiskt. Dataskydd aktiveras också på andra enheter som har ett Apple-SoC, exempelvis en Mac med Apple Silicon, Apple TV och Apple Watch. I macOS använder Apple det inbyggda volymkrypteringsprogrammet FileVault.
Så här ökar lösenkoder och lösenord säkerheten
iOS och iPadOS stöder lösenkoder med sex eller fyra siffror och alfanumeriska lösenkoder med valfri längd. Förutom att låsa enheten tillhandahåller lösenkoden eller lösenordet entropi för vissa krypteringsnycklar. Det innebär att en angripare som har enheten i sin ägo inte kan komma åt data i specifika skyddsklasser utan lösenkoden.
Lösenkoderna eller lösenorden är knutna till enheternas UID:n, så automatiserade intrångsförsök måste utföras på själva enheterna. Ett högt antal beräkningsiterationer gör att varje försök tar lång tid. Iterationsantalet har kalibrerats så att ett försök tar ungefär 80 millisekunder. Det skulle faktiskt ta mer än fem och ett halvt år att testa alla kombinationer av en sex tecken lång alfanumerisk lösenkod med små bokstäver och siffror.
Ju starkare lösenkod användaren har, desto starkare blir krypteringsnyckeln. Och genom att använda Face ID och Touch ID kan användaren skapa en mycket starkare lösenkod än vad som annars skulle vara praktiskt. Den starkare lösenkoden ökar den effektiva mängden entropi som skyddar krypteringsnycklarna för dataskydd utan att inverka negativt på användarupplevelsen av att låsa upp en enhet många gånger varje dag.
Om du anger ett långt lösenord som bara innehåller siffror visas ett numeriskt tangentbord på låsskärmen istället för det fullständiga tangentbordet. En längre numerisk lösenkod kan vara enklare att ange än en kortare alfanumerisk och ändå ge samma säkerhet.
Användaren kan ange längre alfanumeriska lösenkoder genom att öppna Inställningar > Touch ID och lösenkod eller Face ID och lösenkod, trycka på Lösenkodsalternativ och välja Alfanumerisk kod.
Hur ökande tidsfördröjningar avvärjer automatiserade försök att knäcka lösenkoder (iOS, iPadOS)
För att ytterligare avvärja automatiserade försök att knäcka lösenkoder ökar fördröjningen när en felaktig lösenkod anges på låsskärmen i iOS och iPadOS.
Försök | Aktiverad fördröjning |
---|---|
1–4 | Ingen |
5 | 1 minut |
6 | 5 minuter |
7–8 | 15 minuter |
9 | 1 timme |
Om alternativet Radera data är aktiverat (under Inställningar > Touch ID och lösenkod) tas allt innehåll och alla inställningar bort från lagringsutrymmet efter tio på varandra följande felaktiga försök att ange lösenkoden. Flera på varandra följande försök att använda samma felaktiga lösenkod räknas inte i den gränsen. Den här inställningen kan användas som en administrativ policy via en MDM-lösning som stöder funktionen och via Microsoft Exchange ActiveSync, och det går även att ange ett lägre tröskelvärde.
På enheter med Secure Enclave framtvingas fördröjningarna av Secure Enclave. Fördröjningen gäller även om enheten startas om under en fördröjning. Timern startas om för den aktuella perioden.
Hur ökande tidsfördröjningar avvärjer automatiserade försök att knäcka lösenord (macOS)
För att förhindra automatiserade intrångsförsök när Mac-datorn startar tillåts inte fler än 10 lösenordsförsök i inloggningsfönstret eller när hårddiskläge används, och stigande tidsfördröjningar läggs till efter ett visst antal felaktiga försök. Fördröjningarna genomdrivs av Secure Enclave. Fördröjningen gäller även om datorn startas om under en fördröjning. Timern startas om för den aktuella perioden.
Tabellen nedan visar fördröjningar mellan lösenordsförsök på Mac-datorer med Apple Silicon och Mac-datorer med T2-krets.
Försök | Aktiverad fördröjning |
---|---|
5 | 1 minut |
6 | 5 minuter |
7 | 15 minuter |
8 | 15 minuter |
9 | 1 timme |
10 | Avaktiverat |
För att förhindra att sabotageprogram orsakar permanent dataförlust genom att försöka angripa användarens lösenord drivs de här gränserna inte igenom efter att användaren har lyckats logga in på datorn, utan de gör det efter omstart. Om de 10 försöken används upp blir ytterligare 10 försök möjliga efter omstart till recoveryOS. Om de också används upp blir ytterligare 10 försök tillgängliga för varje FileVault-återställningsmekanism (iCloud-återställning, FileVault-återställningsnyckel och organisationsnyckel) för upp till högst 30 ytterligare försök. När även dessa ytterligare försök har använts upp bearbetar Secure Enclave inte längre någon begäran om att avkryptera eller verifiera lösenord, utan alla data på hårddisken blir oåterkalleligt otillgängliga.
För att bidra till att skydda data i en företagsmiljö bör IT-ansvariga tydligt definiera och genomdriva FileVault-konfigurationspolicyer via en MDM-lösning. Organisationer har flera alternativ för hantering av krypterade volymer som omfattar institutionella återställningsnycklar, personliga återställningsnycklar (som även kan lagras med MDM för deponering) eller en kombination av båda. Nyckelrotation kan också ställas in som en policy i MDM.
På Mac-datorer med Apple T2-säkerhetskretsen har lösenordet en snarlik funktion, med undantag för att den nyckel som genereras används till FileVault-kryptering istället för dataskydd. macOS innehåller också fler alternativ för lösenordsåterställning:
iCloud-återställning
FileVault-återställning
FileVault-organisationsnyckel