رموز الدخول وكلمات السر
لحماية بيانات المستخدم من الهجمات الضارة، تستخدم Apple رموز المرور على الـ iOS و iPadOS و visionOS وكلمات السر على الـ macOS. كلما زاد طول رموز المرور وكلمات السر، زادت قوتهما—وأصبح من السهل مكافحة هجمات القوة الغاشمة. لزيادة مكافحة الهجمات، تفرض Apple تأخيرًا زمنيًا (iOS و iPadOS و visionOS) وعددًا محدودًا من محاولات كلمة السر (Mac).
على iPad و iPhone و Apple Vision Pro، يقوم المستخدم بتمكين حماية البيانات تلقائيًا عند إعداد رمز المرور أو كلمة السر. ويتم تمكين حماية البيانات كذلك على الأجهزة الأخرى التي تدعم نظام Apple على شريحة (SoC)—مثل الـ Mac المزود بسيليكون Apple و Apple TV و Apple Watch. على الأجهزة المثبت عليها macOS، تستخدم Apple برنامج تشفير وحدة التخزين المضمن، خزنة الملفات.
تعزيز الأمان باستخدام رموز دخول وكلمات سر قوية
يدعم iOS و iPadOS و visionOS رموز المرور الأبجدية الرقمية المكونة من ست خانات وأربع خانات والطويلة بشكل عشوائي. بالإضافة إلى فتح قفل الجهاز، يوفر رمز الدخول أو كلمة السر إنتروبيا لبعض مفاتيح التشفير. وهذا يعني أن المهاجم الذي بحوزته الجهاز لا يمكنه الوصول إلى البيانات في فئات حماية محددة دون رمز الدخول.
يكون رمز الدخول أو كلمة السر متشابكًا مع معرف UID الخاص بالجهاز، لذلك تحتاج إلى تنفيذ محاولات القوة الغاشمة على الجهاز الذي يتعرض للهجوم. ويتم استخدام عدد تكرار كبير لجعل كل محاولة أبطأ. كما تتم معايرة عدد التكرار بحيث تستغرق المحاولة الواحدة حوالي 80 مللي ثانية. في الواقع، قد يستغرق أكثر من خمس سنوات ونصف لتجربة جميع مجموعات رموز الدخول الأبجدية الرقمية المكونة من ستة أحرف وبها أحرف وأرقام صغيرة.
كلما كان رمز دخول المستخدم أقوى، يصبح مفتاح التشفير أقوى. وباستخدام بصمة العين وبصمة الوجه وبصمة الإصبع، يمكن للمستخدم إنشاء رمز دخول أقوى بكثير من وصفه بأنه عملي. يؤدي رمز الدخول القوي إلى زيادة مقدار الإنتروبيا الفعّال الذي يحمي مفاتيح التشفير المستخدمة لحماية البيانات، دون التأثير سلبًا على تجربة المستخدم في فتح قفل الجهاز عدة مرات في اليوم.
إذا كان رمز الدخول يحتوي على أرقام فقط، فسيتم عرض لوحة مفاتيح رقمية على شاشة القفل. قد يكون إدخال رمز دخول رقمي أطول أسهل من إدخال كلمة سر أبجدية رقمية أقصر، مع توفير مستوى أمني مماثل.
يمكن للمستخدمين تحديد كلمة سر أبجدية رقمية أطول عن طريق تحديد رمز أبجدي رقمي مخصص في خيارات رمز الدخول في الإعدادات > [بصمة العين] أو [بصمة الوجه] أو [بصمة الإصبع] ورمز الدخول). إذا كانت كلمة السر مكونة من أحرف وأرقام، فسيتم عرض لوحة مفاتيح كاملة عند شاشة القفل.
تساهم فترات التأخير المتزايدة في مكافحة هجمات القوة الغاشمة
على iPad و iPhone و Mac وApple Vision Pro، لمزيد من مكافحة هجمات القوة الغاشمة على رمز الدخول، ثمة تأخيرات زمنية متصاعدة بعد إدخال رمز دخول أو كلمة سر أو رمز PIN غير صالح (حسب الجهاز وحالته)، كما هو موضح في الجدول أدناه.
المحاولات | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 أو أكثر |
|---|---|---|---|---|---|---|---|---|
شاشة قفل iOS و iPadOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | الجهاز مُقفل ويجب توصيله بـ Mac أو كمبيوتر شخصي |
شاشة قفل watchOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | الجهاز مُقفل ويجب توصيله بـ iPhone |
شاشة القفل ونافذة تسجيل الدخول في خزنة الملفات | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | 8 ساعات |
وضع الاسترداد في macOS | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | انظر "كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS" أدناه |
خزنة ملفات مزودة بمفتاح استرداد (شخصي أو مؤسسي أو iCloud) | لا شيء | دقيقة واحدة | 5 دقائق | 15 دقيقة | ساعة واحدة | 3 ساعات | 8 ساعات | انظر "كيف تعمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS" أدناه |
رمز PIN للقفل عن بُعد في macOS | دقيقة واحدة | 5 دقائق | 15 دقيقة | 30 دقيقة | ساعة واحدة | ساعة واحدة | ساعة واحدة | ساعة واحدة |
إذا تم تشغيل خيار مسح البيانات لـ iPad أو iPhone أو Apple Vision Pro (في الإعدادات > [بصمة العين] أو [بصمة الوجه] أو [بصمة الإصبع] ورمز الدخول)، تتم إزالة جميع المحتويات والإعدادات من جهاز التخزين بعد 10 محاولات غير صحيحة متتابعة لإدخال رمز الدخول. ولا يتم حساب المحاولات المتتالية لنفس رمز الدخول غير الصحيح في حدود هذا الحد. يتوفر هذا الإعداد أيضًا كسياسة إدارية من خلال خدمة إدارة الجهاز الذي يدعم هذه الميزة وعبر Microsoft Exchange ActiveSync، ويمكن تعيينه على حد أقل.
يتم فرض التأخيرات بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الجهاز أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
كيفية عمل التأخيرات الزمنية المتصاعدة على مكافحة هجمات القوة الغاشمة في macOS
للمساعدة على منع هجمات القوة الغاشمة، عند بدء تشغيل Mac، لا يُسمح بأكثر من 10 محاولة لإدخال كلمة السر في نافذة تسجيل، ويتم فرض تأخيرات زمنية متصاعدة بعد عدد معين من المحاولات غير الصحيحة. يتم فرض التأخيرات بواسطة Secure Enclave. وإذا تمت إعادة تشغيل الـ Mac أثناء تأخير زمني، يظل التأخير ساري النفاذ، مع بدء المؤقت من جديد للفترة الحالية.
للمساعدة على منع البرامج الضارة من التسبب في فقدان دائم للبيانات من خلال محاولة مهاجمة كلمة سر المستخدم، لا تُفرض هذه الحدود بعد أن يسجل المستخدم الدخول إلى Mac بنجاح، ولكن يُعاد فرضها بعد إعادة التشغيل. إذا تم استنفاد المحاولات العشرة، تكون هناك عشر محاولات أخرى متاحة بعد إعادة التشغيل في recoveryOS. وإذا تم استنفاد تلك المحاولات أيضًا، تكون هناك 10 محاولة إضافية متاحة لآلية استرداد خزنة الملفات المُهيأة (استرداد iCloud ومفتاح استرداد خزنة الملفات والمفتاح المؤسسي)، بحد أقصى 30 محاولة إضافية. بعد استنفاد تلك المحاولات الإضافية، تصبح Secure Enclave غير قادرة على معالجة أي طلبات لفك تشفير وحدة التخزين أو التحقق من كلمة السر، وتصبح البيانات الموجودة على محرك الأقراص غير قابلة للاسترداد.
للمساعدة على حماية البيانات في بيئة مؤسسية، يجب على قسم تكنولوجيا المعلومات (IT) تحديد سياسات تكوين خزنة الملفات وفرضها باستخدام خدمة إدارة الجهاز. ويتوفر لدى المؤسسات العديد من الخيارات لإدارة وحدات التخزين المشفرة، بما في ذلك مفاتيح الاسترداد المؤسسية أو مفاتيح الاسترداد الشخصية (التي يمكن تخزينها اختياريًا باستخدام خدمة إدارة الجهاز للضمان) أو مزيج من الاثنين. يمكن أيضًا تعيين تدوير المفاتيح كسياسة في خدمة إدارة الجهاز.
على Mac المزود بشريحة Apple T2 الأمنية، تؤدي كلمة السر وظيفة مماثلة، باستثناء أن المفتاح المنشأ يُستخدم لتشفير خزنة الملفات بدلاً من حماية البيانات.