Parolalar
Apple, kullanıcı verilerini kötü amaçlı saldırılardan korumak için iOS’teki, iPadOS’teki ve macOS’teki parolaları kullanır. Bir parola ne kadar uzun olursa o kadar güçlü olur ve kaba kuvvet saldırılarını caydırması o kadar kolaylaşır. Saldırıları caydırmak için Apple, (iOS ve iPadOS’te) geciktirme sürelerini ve (Mac için) sınırlı sayıda parola girişimini uygular.
iOS ve iPadOS’te, kullanıcı bir parola ayarlayarak Veri Koruma’yı otomatik olarak etkileştirir. Veri Koruma, Apple Silicon çipli bir Mac, Apple TV ve Apple Watch gibi bir Apple yongadaki sistemi (SoC) barındıran diğer aygıtlarda da etkinleştirilir. macOS’te, Apple yerleşik disk bölümü şifreleme programı olan FileVault’u kullanır.
Güçlü parolalar güvenliği nasıl artırır?
iOS ve iPadOS altı basamaklı, dört basamaklı ve rasgele uzunlukta alfasayısal parolaları destekler. Parola, aygıtın kilidini açmanın yanı sıra belirli şifreleme anahtarları için entropi sağlar. Böylelikle aygıtı ele geçiren bir saldırgan, parola olmaksızın belirli koruma sınıflarındaki verilere erişemez.
Parola, aygıtın UID’siyle karıştırılmıştır, dolayısıyla deneme yanılma girişimlerinin saldırıya uğrayan aygıtta gerçekleştirilmesi gerekir. Her girişimi yavaşlatmak için büyük bir yineleme sayısı kullanılır. Yineleme sayısı, bir girişimin yaklaşık 80 milisaniye sürmesini sağlayacak şekilde ayarlanmıştır. Öyle ki küçük harflerden ve rakamlardan oluşan altı karakterli alfasayısal bir parolanın tüm kombinasyonlarını denemek beş buçuk yıldan fazla sürer.
Kullanıcı parolası ne kadar güçlüyse şifreleme anahtarı da o kadar güçlü olur. Kullanıcı, Face ID ve Touch ID kullanarak da normalde pratik olmayacak çok daha güçlü bir parola belirleyebilir. Daha güçlü bir parola, Veri Koruma için kullanılan şifreleme anahtarlarını koruyan etkin entropi miktarını artırır ve kullanıcının gün içinde defalarca aygıtın kilidini açma deneyimini olumsuz etkilemez.
Yalnızca sayı içeren uzun bir parola girildiyse kilitli ekranda tam klavye yerine sayısal klavye görüntülenir. Uzun sayısal bir parolanın girilmesi, kısa alfasayısal bir parolaya göre daha kolay olabilir ve ikisi de benzer güvenlik sağlar.
Kullanıcılar, Ayarlar > Touch ID ve Parola’daki veya Face ID ve Parola’daki Parola Seçenekleri’nde Özel Alfasayısal Kod’u seçerek daha uzun bir alfasayısal parola belirtebilir.
Artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır? (iOS, iPadOS)
iOS ve iPadOS’te, parola deneme yanılma saldırılarını daha da fazla güçleştirmek için aşağıdaki tabloda gösterildiği gibi kilitli ekranda geçersiz parola girişinden sonra geciktirme süreleri gittikçe artar.
Deneme hakkı | Uygulanan geciktirme |
---|---|
1–4 | Yok |
5 | 1 dakika |
6 | 5 dakika |
7–8 | 15 dakika |
9 | 1 saat |
Verileri Sil seçeneği açılırsa (Ayarlar > Touch ID ve Parola bölümünde) art arda 10 yanlış parola girme denemesinden sonra depolama alanındaki tüm içerikler ve ayarlar silinir. Aynı yanlış parolanın art arda girilmesi, toplam sınırı etkilemez. Bu ayar, bu özelliği destekleyen bir mobil aygıt yönetimi (MDM) çözümü ve Microsoft Exchange ActiveSync aracılığıyla yönetici politikası olarak da kullanılabilir ve daha düşük bir eşiğe ayarlanabilir.
Secure Enclave’e sahip aygıtlarda, geciktirmeler Secure Enclave tarafından uygulanır. Aygıt zamanlanmış bir geciktirme sırasında yeniden başlatılsa bile sayaç geçerli süre için baştan başlatılır ve geciktirme uygulanır.
Artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır? (macOS)
Deneme yanılma saldırılarını engellemeye yardımcı olmak için Mac başlatıldığında oturum açma penceresinde veya Hedef Disk Modu kullanılırken 10’dan fazla parola denemesine izin verilmez ve belirli sayıda yanlış parola girişinden sonra geciktirme süreleri gittikçe artar. Geciktirmeler, Secure Enclave tarafından uygulanır. Mac, zamanlanmış bir geciktirme sırasında yeniden başlatılsa bile sayaç geçerli süre için baştan başlatılır ve geciktirme uygulanır.
Aşağıdaki tabloda, Apple Silicon çipli bir Mac’teki ve T2 yongasına sahip bir Mac’teki parola denemeleri arasındaki geciktirme süreleri gösterilir.
Deneme hakkı | Uygulanan geciktirme |
---|---|
5 | 1 dakika |
6 | 5 dakika |
7 | 15 dakika |
8 | 15 dakika |
9 | 1 saat |
10 | Etkin değil |
Kötü amaçlı yazılımın kullanıcı parolasına saldırmayı deneyerek kalıcı veri kaybına neden olmasını engellemeye yardımcı olmak için bu sınırlar, Mac’te başarılı bir şekilde oturum açtıktan sonra uygulanmaz ama yeniden başlatmadan sonra uygulanır. 10 parola deneme hakkı biterse recoveryOS ile başlatıldıktan sonra 10 deneme hakkı daha verilir. Bunlar da biterse maksimum 30 ek deneme hakkı olacak şekilde her FileVault kurtarma mekanizması (iCloud kurtarma, FileVault kurtarma anahtarı ve kurumsal anahtar) için 10 deneme hakkı daha verilir. Bu ek deneme hakları da bittikten sonra Secure Enclave artık disk bölümünün şifresini çözme veya parola doğrulama isteklerini işlemez ve sürücüdeki veriler kurtarılamaz hâle gelir.
Kurumsal bir ortamda verileri korumaya yardımcı olmak için BT bölümü bir MDM çözümü kullanarak FileVault konfigürasyon politikaları tanımlamalı ve uygulamalıdır. Kuruluşlar; kurumsal kurtarma anahtarları, kişisel kurtarma anahtarları (isteğe bağlı olarak emanet için MDM ile saklanabilen) veya her ikisinin birleşimi dahil olmak üzere şifreli disk bölümlerini yönetmeyle ilgili birçok seçeneğe sahiptir. Anahtar değiştirme de MDM’de bir politika olarak ayarlanabilir.
Apple T2 güvenlik yongasına sahip bir Mac’te parola benzer bir işlev görür. Tek fark, oluşturulan anahtar Veri Koruma için değil FileVault şifreleme için kullanılır. macOS, ek parola kurtarma seçenekleri de sunar:
iCloud kurtarma
FileVault kurtarma
FileVault kurumsal anahtarı