Koder og passord
Apple bruker koder i iOS og iPadOS samt passord i macOS for å beskytte brukernes data mot ondsinnede angrep. Jo lenger koden eller passordet er, desto sterkere er koden eller passordet, og desto enklere er det å unngå brute-force-angrep. For ekstra beskyttelse bruker Apple tidsforsinkelser (for iOS og iPadOS) og et begrenset antall passordforsøk (for Mac).
I iOS og iPadOS aktiveres databeskyttelse automatisk når brukeren konfigurerer en kode eller et passord. Databeskyttelse aktiveres også på andre enheter med Apple System on Chip (SOC), for eksempel Mac med Apple Silicon, Apple TV og Apple Watch. I macOS bruker Apple FileVault, som er det innebygde programmet for kryptering av volumer.
Slik forbedrer sterke koder og passord sikkerheten
iOS og iPadOS støtter alfanumeriske koder på seks sifre, fire sifre og med valgfri lengde. En kode eller et passord låser opp enheten og sørger for entropi for visse krypteringsnøkler. Det betyr at uvedkommende ikke kan få tilgang til dataene i spesifikke beskyttelsesklasser uten koden.
Koden eller passordet er integrert i enhetens UID, slik at brute-force-forsøk må skje på enheten som er under angrep. Et høyt iterasjonstall brukes til å gjøre hvert forsøk på å tippe passordet tregere. Iterasjonstallet er kalibrert slik at ett forsøk tar om lag 80 millisekunder. Det betyr at det vil ta over fem og et halvt år å prøve alle kombinasjoner av alfanumeriske koder på seks tegn med små bokstaver og tall.
Jo sterkere koden er, jo sterkere blir krypteringsnøkkelen. Og ved å bruke Face ID og Touch ID kan brukeren opprette en mye sterkere kode enn det som ellers hadde vært praktisk å bruke. Den sterkere koden øker den effektive mengden entropi som beskytter krypteringsnøklene som brukes til databeskyttelse, uten at det går utover brukeropplevelsen når enheten skal låses opp mange ganger i løpet av dagen.
Hvis det oppgis et langt passord som kun består av tall, vises et numerisk tastatur på låst skjerm i stedet for hele tastaturet. Det kan være enklere å oppgi en lengre numerisk kode enn en kortere alfanumerisk kode, og det gir den samme sikkerheten.
Brukerne kan angi lengre alfanumeriske koder ved å velge Tilpasset alfanumerisk kode i Sikkerhetskodevalg i Innstillinger > Touch ID og kode eller Face ID og kode.
Slik beskytter stigende tidsforsinkelser mot brute-force-angrep (iOS, iPadOS)
For å gjøre det enda mindre fristende å utføre brute-force-angrep har iOS og iPadOS en funksjon som øker tidsforsinkelsen hver gang det angis en ugyldig kode på låst skjerm.
Forsøk | Forsinkelse håndhevet |
---|---|
1–4 | Ingen |
5 | 1 minutt |
6 | 5 minutter |
7–8 | 15 minutter |
9 | 1 time |
Hvis Slett data er slått på (i Innstillinger > Touch ID og kode), slettes alt innhold og alle innstillinger etter at det er gjort 10 mislykkede forsøk etter hverandre. Flere etterfølgende forsøk med samme, uriktige kode teller ikke i forhold til grensen. Denne innstillingen er også tilgjengelig som administrative retningslinjer via en MDM-løsning som støtter denne funksjonen og Microsoft Exchange ActiveSync, og det kan angis en lavere grense.
På enheter med Secure Enclave iverksettes forsinkelsene av Secure Enclave. Hvis enheten startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
Slik beskytter stigende tidsforsinkelser mot brute-force-angrep (macOS)
For å bidra til å hindre brute-force-angrep tillates ikke mer enn 10 passordforsøk i påloggingsvinduet eller med måldiskmodus når Macen starter opp. Stigende tidsforsinkelser iverksettes etter et definert antall mislykkede forsøk. Forsinkelsene håndheves av Secure Enclave. Hvis Macen startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
Tabellen under viser forsinkelser mellom passordforsøk på Macer med Apple Silicon og Macer med en T2-brikke.
Forsøk | Forsinkelse håndhevet |
---|---|
5 | 1 minutt |
6 | 5 minutter |
7 | 15 minutter |
8 | 15 minutter |
9 | 1 time |
10 | Deaktivert |
For å bidra til å hindre skadelig programvare i å forårsake permanent datatap ved å forsøke å angripe brukerens passord, håndheves ikke disse grensene etter at brukeren har lykkes med å logge på Macen, men iverksettes på nytt etter omstart. Hvis de 10 forsøkene brukes opp, er 10 nye forsøk tilgjengelig etter oppstart i recoveryOS. Hvis de også brukes opp, er ytterligere 10 forsøk tilgjengelig for hver FileVault-gjenopprettingsmekanisme (iCloud-gjenoppretting, FileVault-gjenopprettingsnøkkel og institusjonsnøkkel), for maksimalt ytterligere 30 forsøk. Når disse forsøkene er brukt opp, behandler ikke Secure Enclave lenger noen forespørsler om å dekryptere volumet eller verifisere passordet, og dataene på stasjonen er ikke mulige å gjenopprette.
For å bidra til å beskytte data i et bedriftsoppsett bør IT-avdelingen definere og håndheve FileVault-konfigurasjonsregelsett ved hjelp av MDM-løsning. Organisasjoner har flere muligheter for å administrere krypterte volumer, inkludert gjenopprettingsnøkler for institusjonen, personlige gjenopprettingsnøkler (som kan lagres med MDM for deponering) eller en kombinasjon av begge. Nøkkelrotering kan også angis som en regel i MDM.
På Macer med Apple T2-sikkerhetsbrikke har passordet en lignende funksjon med unntak av at nøkkelen som genereres, brukes til FileVault-kryptering i stedet for databeskyttelse. macOS tilbyr også flere alternativer for passordgjenoppretting:
iCloud-gjenoppretting
FileVault-gjenoppretting
FileVault-institusjonsnøkkel