Koder og adgangskoder
Apple bruger koder i iOS, iPadOS og visionOS og adgangskoder i macOS til at beskytte brugerdata mod ondsindede angreb. Jo længer en kode eller adgangskode er, des stærkere er den – og jo lettere er det at modvirke brute-force-angreb. Apple gør angreb endnu mere besværlige ved at benytte tidsforsinkelser (iOS, iPadOS og visionOS) og fastlægge et begrænset antal adgangskodeforsøg (Mac).
Når en bruger på en iPad, iPhone og Apple Vision Pro indstiller en kode eller en adgangskode til enheden, slås databeskyttelse automatisk til. Databeskyttelse slås også til på andre enheder, der indeholder en Apple SoC (System on Chip), f.eks. en Mac med Apple Silicon, Apple TV og Apple Watch. På enheder med macOS bruger Apple FileVault, som er en indbygget app til kryptering af enheder.
Forbedring af sikkerheden med stærke koder og adgangskoder
iOS, iPadOS og visionOS understøtter koder på seks eller fire cifre og alfanumeriske koder med en vilkårlig længde. Ud over at låse enheden op sørger koden eller adgangskoden for entropi til visse krypteringsnøgler. Det betyder, at en person med ondsindede hensigter, som er i besiddelse af enheden, ikke kan få adgang til data i bestemte beskyttelsesklasser uden koden.
Koden eller adgangskoden er kombineret med enhedens UID, så det er nødvendigt at udføre såkaldte brute force-forsøg ved angreb på enheden. Et stort antal gentagelser bruges til at gøre hvert forsøg langsommere. Antallet af gentagelser er kalibreret, så hvert forsøg tager ca. 80 millisekunder. Det ville faktisk tage mere end fem et halvt år at prøve med alle kombinationer af en alfanumerisk kode på seks tegn bestående af små bogstaver og tal.
Jo stærkere brugerens kode er, des stærkere bliver krypteringsnøglen. Og med Optic ID, Face ID og Touch ID kan brugeren anvende en langt stærkere kode, end det normalt ville være praktisk muligt. Den stærkere kode øger det effektive omfang af entropi, som beskytter de krypteringsnøgler, der bruges til Databeskyttelse, uden at det bliver besværligt for brugeren at låse en enhed op flere gange om dagen.
Hvis koden kun indeholder tal, vises en numerisk blok på låseskærmen. Det kan være nemmere at indtaste en lang numerisk kode i stedet for en kortere alfanumerisk adgangskode og samtidig opnå stort set samme sikkerhed.
Brugere kan angive en længere alfanumerisk adgangskode ved at vælge Speciel alfanumerisk kode under Indstillinger > [Optic ID], [Face ID] eller [Touch ID] & kode). Hvis en adgangskode er alfanumerisk, vises hele tastaturet på låseskærmen.
Trinvis forøgelse af tidsforsinkelse mod brute-force-angreb
På iPad, iPhone, Mac og Apple Vision Pro gøres brute-force-angreb på koder endnu mere besværlige vha. en trinvis forøgelse af tidsforsinkelsen, når der er indtastet en ugyldig kode, adgangskode eller PIN-kode (afhængigt af enheden og den tilstand, enheden er i). Det er vist i tabellen herunder.
Forsøg | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller flere |
|---|---|---|---|---|---|---|---|---|
Låseskærm i iOS og iPadOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheden låses og skal have forbindelse til en Mac eller pc |
Låseskærm i watchOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheden låses og skal have forbindelse til en iPhone |
Login-vindue og låseskærm i FileVault | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | 8 timer |
Gendannelsesfunktion i macOS | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se “Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS” nedenfor |
FileVault med gendannelsesnøgle (personlig, organisationens eller iCloud) | Ingen | 1 minut | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se “Sådan bruges trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS” nedenfor |
PIN-kode til ekstern låsning i macOS | 1 minut | 5 minutter | 15 minutter | 30 minutter | 1 time | 1 time | 1 time | 1 time |
Hvis indstillingen Slet data er slået til for iPad, iPhone eller Apple Vision Pro (i Indstillinger > [Optic ID], [Face ID] eller [Touch ID] & kode), fjernes alt indhold og alle indstillinger fra disken efter 10 forgæves forsøg i træk på at indtaste koden. Flere på hinanden følgende forsøg med den samme forkerte kode tæller kun som et forgæves forsøg. Denne indstilling er også tilgængelig som en administrativ politik via en tjeneste til enhedsadministration, der understøtter denne funktion, og via Microsoft Exchange ActiveSync, og den kan indstilles til en lavere grænse.
Tidsforsinkelserne styres af Secure Enclave. Hvis enheden genstartes under en tidsforsinkelse, gennemtvinges forsinkelsen stadig, og timeren starter forfra med den aktuelle periode.
Brug af trinvis forøgelse af tidsforsinkelse mod brute-force-angreb i macOS
Med henblik på at forhindre brute force-angreb er højst 10 adgangskodeforsøg tilladt i login-vinduet, når en Mac startes. Desuden øges tiden gradvist fra et vist antal forkerte forsøg, før næste forsøg er muligt. Tidsforsinkelserne styres af Secure Enclave. Hvis en Mac genstartes under en tidsforsinkelse, gennemtvinges forsinkelsen stadig, og timeren starter forfra med den aktuelle periode.
Med henblik på at forhindre malware i at skabe permanent datatab som følge af angreb på brugerens adgangskode håndhæves disse tidsgrænser ikke, når brugeren har logget ind på Mac, men de gælder igen efter en genstart. Hvis de 10 forsøg er blevet brugt, er det muligt at få 10 forsøg mere efter genstart i macOS-gendannelse. Hvis disse forsøg heller ikke lykkes, er der mulighed for yderligere 10 forsøg for den konfigurerede FileVault-gendannelsesfunktion (iCloud-gendannelse, FileVault-gendannelsesnøgle og organisationens nøgle) – i alt 30 forsøg mere. Når disse ekstra forsøg er brugt, behandler Secure Enclave ikke længere anmodninger om at dekryptere enheden eller godkende adgangskoden, og det er ikke længere muligt at gendanne enhedens data.
For at hjælpe med at beskytte data i et virksomhedsmiljø skal it-afdelingen definere og håndhæve konfigureringspolitikker til FileVault ved hjælp af en tjeneste til enhedsadministration. Virksomheder har adskillige muligheder til administration af krypterede enheder, bl.a. gendannelsesnøgler fra organisationen (som valgfrit kan deponeres hos en tjeneste til enhedsadministration), eller en kombination af begge. Rotation af nøgler kan også indstilles som en politik i en tjeneste til enhedsadministration.
På en Mac med Apple T2-sikkerhedschippen fungerer adgangskoder på stort set samme måde, bortset fra at den genererede nøgle bruges til FileVault-kryptering i stedet for Databeskyttelse.