Koder og passord
Apple bruker koder i iOS, iPadOS og visionOS samt passord i macOS for å beskytte brukernes data mot ondsinnede angrep. Jo lenger koden eller passordet er, desto sterkere er koden eller passordet, og desto enklere er det å unngå brute-force-angrep. For ekstra beskyttelse bruker Apple tidsforsinkelser (for iOS, iPadOS og visionOS) og et begrenset antall passordforsøk (Mac).
På iPad, iPhone og Apple Vision Pro aktiveres databeskyttelse automatisk når brukeren konfigurerer en kode eller et passord. Databeskyttelse aktiveres også på andre enheter med Apple System on Chip (SOC), for eksempel Macer med Apple-chip, Apple TV og Apple Watch. På enheter med macOS bruker Apple FileVault, som er det innebygde programmet for kryptering av volumer.
Forbedret sikkerhet med sterke koder og passord
iOS, iPadOS og visionOS støtter alfanumeriske koder på seks sifre, fire sifre og med valgfri lengde. En kode eller et passord låser opp enheten og sørger for entropi for visse krypteringsnøkler. Det betyr at uvedkommende ikke kan få tilgang til dataene i spesifikke beskyttelsesklasser uten koden.
Koden eller passordet er integrert i enhetens UID, slik at brute-force-forsøk må skje på enheten som er under angrep. Et høyt iterasjonstall brukes til å gjøre hvert forsøk på å tippe passordet tregere. Iterasjonstallet er kalibrert slik at ett forsøk tar om lag 80 millisekunder. Det betyr at det vil ta over fem og et halvt år å prøve alle kombinasjoner av alfanumeriske koder på seks tegn med små bokstaver og tall.
Jo sterkere koden er, jo sterkere blir krypteringsnøkkelen. Og ved å bruke Optic ID, Face ID og Touch ID kan brukeren opprette en mye sterkere kode enn det som ellers hadde vært praktisk å bruke. Den sterkere koden øker den effektive mengden entropi som beskytter krypteringsnøklene som brukes til databeskyttelse, uten at det går utover brukeropplevelsen når enheten skal låses opp mange ganger hver dag.
Hvis en kode bare består av tall, vises et talltastatur på låst skjerm. Det kan være enklere å oppgi en lengre numerisk kode enn et kortere alfanumerisk passord, og det gir den samme sikkerheten.
Brukere kan angi et lengre alfanumerisk passord ved å velge Tilpasset alfanumerisk kode i Sikkerhetskodevalg i Innstillinger > [Optic ID], [Face ID] eller [Touch ID] og kode). Hvis et passord er alfanumerisk, vises et komplett tastatur på låst skjerm.
Økende forsinkelser beskytter mot brute-force-angrep
For å gjøre det enda mindre fristende å utføre brute-force-angrep har iPad, iPhone, Mac og Apple Vision Pro en funksjon som øker tidsforsinkelsen hver gang det angis en ugyldig kode, et ugyldig passord eller en ugyldig PIN-kode (avhengig av enheten og hvilken tilstand den er i), som vist i tabellen nedenfor.
Forsøk | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller mer |
|---|---|---|---|---|---|---|---|---|
Låst skjerm i iOS og iPadOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheten låses og må kobles til en Mac/PC. |
Låst skjerm i watchOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Enheten låses og må kobles til en iPhone. |
FileVault-påloggings-vindu og låst skjerm | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | 8 timer |
Gjenopp-rettings-modus i macOS | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se «Økende forsinkelser beskytter mot brute-force-angrep i macOS» nedenfor |
FileVault med gjen-opprett-ings-nøkkel (personlig, institusjon eller iCloud) | Ingen | 1 minutt | 5 minutter | 15 minutter | 1 time | 3 timer | 8 timer | Se «Økende forsinkelser beskytter mot brute-force-angrep i macOS» nedenfor |
PIN-kode for fjernlåsing i macOS | 1 minutt | 5 minutter | 15 minutter | 30 minutter | 1 time | 1 time | 1 time | 1 time |
Hvis Slett data er slått på for iPad, iPhone eller Apple Vision Pro (i Innstillinger >[Optic ID], [Face ID] eller [Touch ID] og kode), slettes alt innhold og alle innstillinger etter at det er gjort ti mislykkede forsøk på rad. Flere etterfølgende forsøk med samme, uriktige kode teller ikke i forhold til grensen. Denne innstillingen er også tilgjengelig som en administrativ regel via en tjeneste for enhetsadministrering som støtter denne funksjonen, og via Microsoft Exchange ActiveSync, og en lavere grense kan angis.
Forsinkelsene håndheves av Secure Enclave. Hvis enheten startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
Økende forsinkelser beskytter mot brute-force-angrep i macOS
For å bidra til å hindre brute-force-angrep tillates ikke mer enn 10 passordforsøk i påloggingsvinduet når en Mac starter opp. Stigende tidsforsinkelser iverksettes etter et definert antall mislykkede forsøk. Forsinkelsene håndheves av Secure Enclave. Hvis en Mac startes på nytt når en tidsforsinkelse er iverksatt, gjelder forsinkelsen fortsatt, og tidtakingen begynner på nytt for gjeldende periode.
For å bidra til å hindre skadelig programvare i å forårsake permanent datatap ved å forsøke å angripe brukerens passord, håndheves ikke disse grensene etter at brukeren har lykkes med å logge på Macen, men iverksettes på nytt etter en omstart. Hvis de 10 forsøkene brukes opp, er 10 nye forsøk tilgjengelig etter omstart i recoveryOS. Hvis de også brukes opp, er ytterligere 10 forsøk tilgjengelig for den konfigurerte FileVault-gjenopprettingsmekanismen (iCloud-gjenoppretting, FileVault-gjenopprettingsnøkkel og institusjonsnøkkel), for maksimalt ytterligere 30 forsøk. Når disse forsøkene er brukt opp, behandler ikke Secure Enclave lenger noen forespørsler om å dekryptere volumet eller verifisere passordet, og dataene på stasjonen er ikke mulige å gjenopprette.
For å hjelpe med å beskytte data i et bedriftsoppsett, bør IT-avdelingen definere og håndheve FileVault-konfigurasjonsregler ved hjelp av en tjeneste for enhetsadministrering. Organisasjoner har flere muligheter for administrering av krypterte volumer, herunder gjenopprettingsnøkler for institusjonen, personlige gjenopprettingsnøkler (som kan lagres med en tjeneste for enhetsadministrering for depot) eller en kombinasjon av begge. Nøkkelrotering kan også angis som en regel i en tjeneste for enhetsadministrering.
På Macer med Apple T2-sikkerhetsbrikke har passordet en lignende funksjon med unntak av at nøkkelen som genereres, brukes til FileVault-kryptering i stedet for databeskyttelse.