Gerätecodes und Passwörter
Zum Schutz der Benutzerdaten vor bösartigen Angriffen verwendet Apple Codes in iOS, iPadOS und visionOS und Passwörter in macOS. Je länger ein Code oder Passwort ist, desto stärker ist der Code oder das Passwort – und desto besser werden Brute-Force-Attacken abgewehrt. Um Angriffe noch besser abzuwehren, erzwingt Apple eine Zeitverzögerung (iOS, iPadOS und visionOS) und eine maximale Anzahl an Passwortversuchen (Mac).
Durch das Einrichten eines Gerätecodes oder -passworts auf einem iPad, iPhone und einer Apple Vision Pro wird automatisch die Datensicherheit aktiviert. Die Datensicherheit wird auch auf anderen Geräten mit einem Apple-SoC (System on Chip) aktiviert, etwa auf einem Mac mit Apple Chips, auf Apple TV und auf der Apple Watch. Auf Geräten mit macOS verwendet Apple das integrierte Volume-Verschlüsselungsprogramm FileVault.
Sicherheit mit starken Codes und Passwörtern erhöhen
iOS, iPadOS und visionOS unterstützen Gerätecodes aus sechs oder vier Ziffern sowie alphanumerische Gerätecodes beliebiger Länge. Zusätzlich zum Entsperren des Geräts stellt der Gerätecode oder das Gerätepasswort die Entropie für bestimmte Verschlüsselungscodes zur Verfügung. Das bedeutet, dass ein Angreifer, der ein Gerät in seinem Besitz hat, ohne den Gerätecode nicht auf Daten bestimmter Sicherheitsklassen zugreifen kann.
Der Gerätecode oder das Gerätepasswort ist mit der UID des Geräts verknüpft, sodass Brute-Force-Angriffe direkt auf dem Gerät durchgeführt werden müssen, dem der Angriff gilt. Ein Zähler für die Anzahl der Wiederholungen sorgt dafür, dass mehr Zeit für jeden einzelnen Versuch benötigt wird. Dieser Zähler wurde so kalibriert, dass für einen Versuch etwa 80 Millisekunden benötigt werden. Das bedeutet, dass es über fünfeinhalb Jahre dauern würde, alle sechsstelligen alphanumerischen Gerätecodes mit Kleinbuchstaben und Zahlen auszuprobieren.
Je stärker der Gerätecode von Benutzer:innen ist, desto sicherer ist auch der Verschlüsselungscode. Und durch die Verwendung von Optic ID, Face ID und Touch ID kann ein viel stärkerer Code erstellt werden, der sonst nicht praktikabel wäre. Durch den stärkeren Gerätecode wird die Wirksamkeit der Entropie effektiv erhöht, mit der die für die Datensicherheit verwendeten Verschlüsselungsschlüssel geschützt werden, ohne dass die Benutzerfreundlichkeit leidet, wenn Geräte mehrmals am Tag entsperrt werden müssen.
Wenn ein Code nur Nummern enthält, wird ein Zifferblock auf dem Sperrbildschirm angezeigt. Ein längerer Gerätecode, der nur aus Ziffern besteht, kann einfacher einzugeben sein als ein kürzeres alphanumerisches Passwort und bietet ähnlich hohe Sicherheit.
Benutzer:innen können längere alphanumerische Passwörter bestimmen, indem sie unter „Einstellungen“ > „[Optic ID]“, „[Face ID]“ oder „[Touch ID] & Code“ in den Code-Optionen „Alphanumerischer Code“ auswählen. Wenn ein Passwort alphanumerisch ist, wird eine ganze Tastatur auf dem Sperrbildschirm angezeigt.
Brute-Force-Attacken durch zunehmende Zeitverzögerungen abwehren
Um auf einem iPad, iPhone, Mac und einer Apple Vision Pro Brute-Force-Codeangriffe noch besser abzuwehren, werden zunehmende zeitliche Verzögerungen eingesetzt, wenn ein ungültiger Gerätecode auf dem Sperrbildschirm eingegeben wurde. Details hierzu können der Tabelle unten entnommen werden.
Versuche | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ab 10 |
|---|---|---|---|---|---|---|---|---|
iOS- und iPadOS‑Sperrbildschirm | Keine | 1 Min. | 5 Min. | 15 Min. | 1 Std. | 3 Std. | 8 Std. | Gerät wird gesperrt und muss mit einem Mac oder PC verbunden werden |
watchOS‑Sperrbildschirm | Keine | 1 Min. | 5 Min. | 15 Min. | 1 Std. | 3 Std. | 8 Std. | Gerät wird gesperrt und muss mit einem iPhone verbunden werden |
FileVault‑Anmeldebildschirm und ‑Sperrbildschirm | Keine | 1 Min. | 5 Min. | 15 Min. | 1 Std. | 3 Std. | 8 Std. | 8 Std. |
macOS‑Wiederherstellungsmodus | Keine | 1 Min. | 5 Min. | 15 Min. | 1 Std. | 3 Std. | 8 Std. | Weitere Informationen unter „Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS” unten |
FileVault mit Wiederherstellungsschlüssel (persönlich, institutionell oder iCloud) | Keine | 1 Min. | 5 Min. | 15 Min. | 1 Std. | 3 Std. | 8 Std. | Weitere Informationen unter „Abwehren von Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS” unten |
PIN-Code für die macOS-Sperrung per Fernzugriff | 1 Min. | 5 Min. | 15 Min. | 30 Min. | 1 Std. | 1 Std. | 1 Std. | 1 Std. |
Wenn die Option „Daten löschen“ für das iPad, iPhone oder die Apple Vision Pro aktiviert ist (unter „Einstellungen“ > „Optic ID“, „Face ID“ oder „Touch ID“) und der Code zehnmal hintereinander falsch eingegeben wurde, werden alle Inhalte und Einstellungen auf dem Speichergerät entfernt. Aufeinanderfolgende Versuche mit demselben falschen Code werden auf die Höchstgrenze nicht angerechnet. Diese Einstellung ist auch als Verwaltungsrichtlinie über einen Gerätemanagementdienst, der diese Funktion unterstützt, sowie über Exchange ActiveSync verfügbar, wobei die maximal zulässige Anzahl von Fehleingaben auch verringert werden kann.
Diese Verzögerungen werden durch die Secure Enclave erzwungen. Wird das Gerät während einer zeitlich fixierten Verzögerung neu gestartet, wird die Verzögerung dennoch durchgesetzt und der Timer auf den Anfang des aktuellen Verzögerungsintervalls zurückgesetzt.
Brute-Force-Attacken durch zunehmende Zeitverzögerungen in macOS abwehren
Um Brute-Force-Angriffen beim Starten eines Mac vorzubeugen, sind im Anmeldefenster maximal 10 Versuche der Passworteingabe zulässig, wobei nach einer bestimmten Anzahl an fehlgeschlagenen Versuchen die Wartezeit bis zum nächsten Versuch verlängert wird. Diese Verzögerungen werden durch die Secure Enclave erzwungen. Wird ein Mac während eines Verzögerungsintervalls neu gestartet, wird die Verzögerung weiterhin durchgesetzt und der Timer auf den Anfang des aktuellen Verzögerungsintervalls zurückgesetzt.
Als Vorkehrung gegen den unwiederbringlichen Verlust von Daten infolge von Malware-Angriffen auf das Passwort der Benutzer:innen werden diese Limits nicht durchgesetzt, nachdem sich die Benutzer:innen erfolgreich an ihrem Mac angemeldet haben. Sie werden aber nach dem erneuten Starten wieder in Kraft gesetzt. Wenn die 10 zulässigen Versuche aufgebraucht sind, sind nach einem Neustart in recoveryOS 10 weitere Versuche möglich. Wenn auch diese Versuche aufgebraucht sind, sind 10 weitere Versuche für den konfigurierten FileVault-Wiederherstellungsmechanismus (iCloud-Wiederherstellung, FileVault-Wiederherstellungsschlüssel und institutioneller Schlüssel) möglich. Maximal sind damit 30 weitere Versuche zulässig. Wenn auch diese weiteren Versuche aufgebraucht sind, verarbeitet die Secure Enclave keinerlei Prozesse zum Entschlüsseln des Volumes oder zum Prüfen des Passworts mehr. Die Daten auf dem betreffenden Laufwerk oder Volume sind dann nicht wiederherstellbar.
Um bei der Gewährleistung des Schutzes in einer Unternehmensumgebung zu helfen, sollten die IT-Verantwortlichen mithilfe eines Gerätemanagementdienstes FileVault-Konfigurationsrichtlinien definieren und deren Einhaltung erzwingen. Organisationen haben mehrere Möglichkeiten, um verschlüsselte Volumes zu verwalten – zum Beispiel institutionelle Wiederherstellungsschlüssel, persönliche Wiederherstellungsschlüssel (die optional treuhänderisch im Gerätemanagementdienst gespeichert werden können) oder eine Kombination der beiden Varianten. Auch die Schlüsselrotation kann im Gerätemanagementdienst als Richtlinie konfiguriert werden.
Bei einem Mac mit einem Apple T2 Security Chip übernimmt das Passwort eine ähnliche Funktion. Der Unterschied besteht darin, dass der generierte Schlüssel nicht für die Datensicherheit, sondern für die FileVault-Verschlüsselung herangezogen wird.