Pääsykoodit ja salasanat
Apple käyttää pääsykoodeja iOS:ssä, iPadOS:ssä ja visionOS:ssä ja salasanoja macOS:ssä suojaamaan käyttäjän tietoja pahantahtoiselta hyökkäykseltä. Mitä pidempi pääsykoodi tai salasana on, sitä vahvempi se on ja sitä helpommin sillä voidaan estää väsytyshyökkäykset. Apple hankaloittaa hyökkäyksiä vielä lisää pakotetuilla viiveillä (iOS, iPadOS ja visionOS) ja rajoittamalla salasanayritysten määrää (Mac).
Kun käyttäjä ottaa laitteen pääsykoodin tai salasanan käyttöön iPadissa, iPhonessa tai Apple Vision Prossa, hän samalla ottaa automaattisesti käyttöön Tietojen suojauksen. Tietojen suojausta käytetään myös muissa laitteissa, joissa on Applen järjestelmäpiiri (SoC). Näitä ovat Applen sirulla varustettu Mac, Apple TV ja Apple Watch. macOS-laitteissa Apple käyttää ohjelmistoon sisältyvää taltionsalausohjelmaa nimeltä FileVault.
Suojauksen lisääminen vahvojen pääsykoodien ja salasanojen avulla
iOS, iPadOS ja visionOS tukevat kuusinumeroisia, nelinumeroisia ja halutun pituisia aakkosnumeerisia pääsykoodeja. Pääsykoodi tai salasana avaa laitteen, mutta toimii myös eräiden salausavainten entropiana. Tämän ansiosta hyökkääjä, jolla on laite hallussaan, ei saa tietyissä suojausluokissa olevia tietoja ilman pääsykoodia.
Pääsykoodi tai salasana on sidottu laitteen UID:hen, joten väsytyshyökkäykset on tehtävä kohteena olevalla laitteella. Suurilla toistomäärillä näistä yrityksistä tehdään hitaampia. Toistomäärä kalibroidaan niin, että yksi yritys kestää noin 80 millisekuntia. Kaikkien mahdollisten pieniä kirjaimia ja numeroita sisältävien kuusimerkkisten pääsykoodien kokeileminen kestäisi peräti yli 5,5 vuotta.
Mitä vahvempi käyttäjän pääsykoodi on, sitä vahvemmaksi salausavain tulee. Käyttäessään Optic ID:tä, Face ID:tä ja Touch ID:tä käyttäjä voi luoda paljon vahvemman pääsykoodin kuin mikä muuten olisi käytännöllistä. Vahvempi pääsykoodi lisää entropian todellista määrää, mikä suojaa tietojen suojaukseen käytettäviä salausavaimia haittaamatta laitteen useita kertoja päivässä tehtävän avauksen käyttökokemusta.
Jos pääsykoodi sisältää vain numeroita, lukitulla näytöllä näkyy numeronäppäimistö. Pidempi numeerinen pääsykoodi voi olla helpompaa syöttää kuin lyhyempi aakkosnumeerinen salasana, mutta se tarjoaa vastaavan suojaustason.
Käyttäjät voivat määrittää pidempiä kirjaimia ja numeroita sisältäviä salasanoja valitsemalla Aakkosnumeerinen koodi -valinnan Pääsykoodi-asetuksissa kohdassa Asetukset > [Optic ID], [Face ID] tai [Touch ID] ja pääsykoodi. Jos salasana sisältää kirjaimia ja numeroita, lukitulla näytöllä näkyy täysi näppäimistö.
Pitenevä viive hankaloittaa väsytyshyökkäyksiä
iPadissa, iPhonessa, Macissa ja Apple Vision Prossa pääsykoodin väsytyshyökkäysten hankaloittamiseksi väärän pääsykoodin, salasanan tai PIN-koodin (riippuen laitteesta ja siitä, missä tilassa se on) syöttämisestä seuraa pitenevä aikaviive alla olevan taulukon mukaisesti.
Yritykset | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 tai useampi |
|---|---|---|---|---|---|---|---|---|
iOS:n ja iPadOS:n lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Laite on lukittu ja se on liitettävä Maciin tai PC:hen |
watchOS:n lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Laite on lukittu ja se on liitettävä iPhoneen |
FileVaultkirjautumisikkuna ja lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | 8 tuntia |
macOS:n palautustila | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Katso alla ”Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä” |
FileVault palautusavaimella (henkilökohtainen, organisaation tai iCloudissa oleva) | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Katso alla ”Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä” |
macOS:n etälukituksen PIN-koodi | 1 minuutti | 5 minuuttia | 15 minuuttia | 30 minuuttia | 1 tunti | 1 tunti | 1 tunti | 1 tunti |
Jos Poista data ‑valinta on käytössä iPadille, iPhonelle tai Apple Vision Prolle (valitaan kohdassa Asetukset > [Optic ID], [Face ID] tai [Touch ID] ja pääsykoodi), kymmenen peräkkäisen virheellisen pääsykoodin syöttöyrityksen jälkeen kaikki tallennettu sisältö ja asetukset poistetaan. Saman väärän pääsykoodin peräkkäisiä syöttöyrityksiä ei lasketa. Tämä asetus on saatavilla myös ylläpitokäytäntönä käyttäen tätä ominaisuutta tukevaa laitehallintapalvelua tai käyttäen Microsoft Exchange ActiveSyncia. Asetuksen raja voidaan määrittää myös pienemmäksi.
Viiveet toteuttaa Secure Enclave. Jos laite käynnistetään uudelleen ajoitetun viiveen aikana, viive on silti käytössä ja ajastin aloittaa kuluvan jakson alusta.
Pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä
Väsytyshyökkäyksiä auttaa estämään se, että Macin käynnistyksessä sallitaan enintään 10 salasanayritystä sisäänkirjautumisikkunassa. Riittävä määrä vääriä yrityksiä aiheuttaa pitenevät aikaviiveet. Viiveet toteuttaa Secure Enclave. Jos Mac käynnistetään uudelleen ajoitetun viiveen aikana, viive on silti käytössä ja ajastin aloittaa kuluvan jakson alusta.
Jotta haittaohjelmiston olisi vaikeampi aiheuttaa pysyvää tietojen menetystä yrittämällä hyökätä käyttäjän salasanaan, nämä rajoitukset eivät ole käytössä sen jälkeen, kun käyttäjä kirjautuu onnistuneesti sisään Maciin, mutta ne palautetaan taas uudelleenkäynnistyksen jälkeen. Jos 10 yritystä on käytetty, käytettävissä on 10 lisäyritystä, kun laite on käynnistetty uudelleen recoveryOS:ään. Jos myös nämä yritykset on käytetty, käytettävissä on 10 lisäyritystä määritettyä FileVault-palautusmekanismia kohden (iCloud-palautus, FileVault-palautusavain ja organisaation avain), jolloin lisäyrityksiä on enimmillään 30. Sen jälkeen kun nämä lisäyritykset on käytetty, Secure Enclave ei enää käsittele pyyntöjä purkaa taltion salaus tai vahvistaa salasana, ja levyn tietoja ei voida palauttaa.
Auttaakseen pitämään tiedot suojattuina yritysympäristössä IT-osaston täytyy määrittää FileVault-asetuskäytännöt käyttäen laitehallintapalvelua. Organisaatiot voivat hallita salattuja taltioita useilla eri tavoilla, kuten organisaation palautusavaimilla, henkilökohtaisilla palautusavaimilla (jotka voidaan valinnaisesti tallentaa laitehallintapalvelulla) tai niiden yhdistelmällä. Avaimen kierrättäminen voidaan myös asettaa käytännöksi laitehallintapalvelulla.
Apple T2 Security -sirulla varustetussa Macissa salasanalla on samanlainen tehtävä, mutta muodostettua avainta käytetään tietojen suojaus ‑teknologian sijaan FileVault-salaukselle.