密码
为了保护用户数据不受恶意攻击,Apple 在 iOS、iPadOS 和 macOS 中使用了密码。密码越长,强度越高,便更容易阻止暴力破解攻击。为了进一步阻止攻击,Apple 强制执行时间延迟(针对 iOS 和 iPadOS)和密码尝试次数限制(针对 Mac)。
在 iOS 和 iPadOS 中,用户设置一个设备密码,即自动启用了数据保护。在具有 Apple 片上系统 (SoC) 的其他设备(如搭载 Apple 芯片的 Mac、Apple TV 和 Apple Watch)上也会启用数据保护。在 macOS 中,Apple 使用内建宗卷加密程序文件保险箱。
强密码如何提高安全性
iOS 和 iPadOS 支持 6 位、4 位和任意长度的字母数字密码。除了用于给设备解锁,密码还为特定的加密密钥提供熵。这意味着攻击者即使拿到设备,在没有密码的情况下也无法访问某些特定保护类的数据。
密码与设备的 UID 配合使用,因此在受到攻击的设备上只能进行暴力尝试。为此,系统使用较大的迭代次数来延缓每次尝试。迭代次数已经校准过,使得每次尝试约耗时 80 毫秒。事实上,尝试 6 位字符(包含小写字母和数字)字母数字密码的全部组合将耗时超过五年半。
用户密码的强度越大,加密密钥的强度就越高。而且通过使用面容 ID 和触控 ID,用户可创建一个比实际密码安全性高很多的密码。此强密码对数据保护所用加密密钥提供保护的有效熵的数量得以增加,而且不会对一天中多次解锁设备的用户体验产生负面影响。
如果输入较长的纯数字密码,锁定屏幕上会显示数字小键盘,而非全键盘。与较短的字母数字密码相比,较长的数字密码可能更容易输入,而且可以提供类似的安全性。
用户可以指定更长的字母数字密码,方法是在“设置”>“触控 ID 与密码”或“面容 ID 与密码”的“密码选项”中选择“自定义字母数字密码”。
逐步增加延迟时间可如何阻止暴力破解攻击
在 iOS、iPadOS 和 macOS 中,为了进一步阻止对密码的暴力破解攻击,在输入无效口令、密码或 PIN 码后的延迟时间会逐步增加(具体取决于设备及其所处状态),如下表所示。
尝试次数 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 次或更多 |
|---|---|---|---|---|---|---|---|---|
iOS 和 iPadOS 锁定屏幕 | 无 | 1 分钟 | 5 分钟 | 15 分钟 | 1 小时 | 3 小时 | 8 小时 | 设备被停用且必须连接到 Mac 或 PC |
watchOS 锁定屏幕 | 无 | 1 分钟 | 5 分钟 | 15 分钟 | 1 小时 | 3 小时 | 8 小时 | 设备被停用且必须连接到 iPhone |
macOS 登录窗口和锁定屏幕 | 无 | 1 分钟 | 5 分钟 | 15 分钟 | 1 小时 | 3 小时 | 8 小时 | 8 小时 |
macOS 恢复模式 | 无 | 1 分钟 | 5 分钟 | 15 分钟 | 1 小时 | 3 小时 | 8 小时 | 请参阅下述“在 macOS 中逐步增加延迟时间可如何阻止暴力破解攻击” |
设置恢复密钥的文件保险箱 (个人、机构或 iCloud) | 无 | 1 分钟 | 5 分钟 | 15 分钟 | 1 小时 | 3 小时 | 8 小时 | 请参阅下述“在 macOS 中逐步增加延迟时间可如何阻止暴力破解攻击” |
macOS 远程锁定 PIN 码 | 1 分钟 | 5 分钟 | 15 分钟 | 30 分钟 | 1 小时 | 1 小时 | 1 小时 | 1 小时 |
如果在 iPhone 或 iPad 上(在“设置”>“[面容 ID] 与密码”或“[触控 ID] 与密码”中)打开了“抹掉数据”选项,则当连续 10 次尝试输入错误的密码后,储存的所有内容和设置会被移除。连续尝试同一错误密码不计入次数限制内。此设置还可作为管理策略通过支持此功能的移动设备管理 (MDM) 解决方案和通过 Microsoft Exchange ActiveSync 提供,而且可设置为较低的阈值。
在搭载安全隔区的设备上,延迟由安全隔区执行。如果设备在定时延迟期间重新启动,延迟仍然执行,且定时器从当期重新计时。
在 macOS 中逐步增加延迟时间可如何阻止暴力破解攻击
为了帮助阻止暴力破解攻击,当 Mac 启动时,最多允许在登录窗口中尝试 10 次密码输入,并且在输入错误密码达到一定次数后,延迟时间会逐步增加。延迟由安全隔区执行。如果 Mac 在定时延迟期间重新启动,延迟仍然执行,且定时器从当期重新计时。
为了帮助防止恶意软件通过尝试攻击用户密码而导致永久数据丢失,这些限制在用户成功登录 Mac 后不会执行,但会在重新启动后重新执行。如果 10 次尝试失败,重新启动进入 recoveryOS 后会增加 10 次尝试。如果仍失败,每个文件保险箱恢复机制(iCloud 恢复、文件保险箱恢复密钥和机构密钥)将各增加 10 次额外尝试,总的新增次数最多为 30 次。这些额外尝试用尽后,安全隔区将不再处理任何解密宗卷或验证密码的请求,驱动器上的数据变为不可恢复。
若要帮助保护企业设置中的数据,IT 应使用 MDM 解决方案定义和实施文件保险箱配置策略。组织有若干加密宗卷管理选项,包括机构恢复密钥、个人恢复密钥(可选择由 MDM 托管储存)或两者结合。密钥循环也可以设为 MDM 中的一种策略。
在搭载 Apple T2 安全芯片的 Mac 上,密码提供类似的功能,区别在于生成的密钥用于文件保险箱加密,而不是数据保护。macOS 还提供其他密码恢复选项:
iCloud 恢复
文件保险箱恢复
文件保险箱机构密钥