Код-пароли и пароли
Чтобы защитить данные пользователей от атак, Apple использует код-пароли в iOS, iPadOS и visionOS и пароли в macOS. Чем длиннее код-пароль или пароль, тем он надежнее, а значит, он лучше противостоит атакам методом перебора. Чтобы дополнительно повысить стойкость к атакам, Apple применяет задержки (в iOS, iPadOS и visionOS) и ограничивает количество попыток ввода пароля (на Mac).
На iPad, iPhone и Apple Vision Pro защита данных включается автоматически, когда пользователь задает пароль или код‑пароль. Защита данных также включается на других устройствах с системой на кристалле (SoC), таких как Mac с чипом Apple, Apple TV и Apple Watch. На устройствах с macOS Apple использует FileVault — встроенное приложение для шифрования томов.
Повышение безопасности благодаря надежным паролям и код‑паролям
iOS, iPadOS и visionOS поддерживают код‑пароли из шести или четырех цифр и буквенно-цифровые код‑пароли произвольной длины. Помимо разблокирования устройства, код‑пароль или пароль является источником энтропии для некоторых ключей шифрования. Это означает, что злоумышленник, завладевший устройством, не сможет получить доступ к данным определенных классов защиты, не зная код‑пароля.
Пароль или код‑пароль привязывается к UID устройства, поэтому попытки перебора приходится выполнять непосредственно на атакуемом устройстве. Для замедления каждой попытки используется счетчик повторений. Счетчик повторений настроен таким образом, что одна попытка занимает примерно 80 миллисекунд. Это означает, что для перебора всех сочетаний шестизначного код-пароля, состоящего из строчных букв и цифр, потребуется более пяти с половиной лет.
Чем надежнее код‑пароль пользователя, тем надежнее ключ шифрования. Поэтому с Optic ID, Face ID и Touch ID пользователь может задать более надежный код‑пароль, чем тот, который был бы практичным в отсутствие этих технологий. Надежный код‑пароль повышает эффективность энтропии, которая защищает ключи шифрования, используемые для защиты данных, но не сказывается на удобстве пользователей, неоднократно разблокирующих свое устройство в течение дня.
Если код‑пароль содержит только числа, на экране блокировки отображается цифровая клавиатура. При аналогичном уровне безопасности вводить более длинный цифровой код‑пароль может быть проще, чем короткий буквенно-цифровой пароль.
Пользователи могут задать более длинный буквенно-цифровой пароль, выбрав «Параметры пароля» (в разделе «Настройки» > «Optic ID и код‑пароль», «Face ID и код‑пароль» или «Touch ID и код‑пароль»). Если пароль содержит числа и буквы, на экране блокировки отображается полная клавиатура.
Увеличение временных задержек, препятствующих атакам методом перебора
Чтобы дополнительно усложнить атаки методом перебора, на iPad, iPhone, Mac и Apple Vision Pro с каждым вводом неправильного код‑пароля, пароля или PIN‑кода (в зависимости от устройства и его текущего статуса) увеличивается время задержки перед следующей попыткой. Время задержки указано в таблице далее.
Попытки | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 или более |
|---|---|---|---|---|---|---|---|---|
Экран блокировки iOS и iPadOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | Устройство блокируется; требуется подключение к Mac или ПК |
Экран блокировки watchOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | Устройство блокируется; требуется подключение к iPhone |
Окно входа и экран блокировки с FileVault | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | 8 часов |
Режим восстановления macOS | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | См. раздел «Как увеличенные временные задержки препятствуют атакам методом перебора (macOS)» далее. |
FileVault с ключом восстановления (личным, предоставленным организацией или из iCloud) | Нет | 1 минута | 5 минут | 15 минут | 1 час | 3 часа | 8 часов | См. раздел «Как увеличенные временные задержки препятствуют атакам методом перебора (macOS)» далее. |
PIN‑код удаленной блокировки macOS | 1 минута | 5 минут | 15 минут | 30 минут | 1 час | 1 час | 1 час | 1 час |
Если на iPad, iPhone или Apple Vision Pro включен параметр «Стирать данные» (в разделе «Настройки» > «Optic ID и код‑пароль», «Face ID и код‑пароль» или «Touch ID и код‑пароль»), весь контент и настройки будут автоматически стерты с устройства после 10 неудачных попыток ввода код‑пароля подряд. При подсчете не учитываются последовательные попытки ввода одного и того же неправильного код‑пароля. Эта функция также доступна при настройке политики администрирования через сервис управления устройствами и через Microsoft Exchange ActiveSync. Кроме того, можно установить более низкий порог ее срабатывания.
За применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки устройство перезагружается, задержка применяется еще раз, а таймер запускается заново.
Увеличение временных задержек, препятствующих атакам методом перебора в macOS
Чтобы предотвратить атаки методом перебора, при загрузке Mac в окне входа дается не более 10 попыток ввода пароля, при этом каждый раз после ввода неправильного пароля время задержки перед новой попыткой увеличивается. За применение задержек отвечает Secure Enclave. Если в течение заданного времени задержки Mac перезагружается, задержка применяется еще раз, а таймер запускается заново.
Чтобы предотвратить необратимую потерю данных из‑за попыток вредоносного ПО атаковать пароль пользователя, эти ограничения снимаются после успешного входа пользователя в систему Mac, но вновь применяются после перезагрузки. Когда 10 попыток исчерпаны, можно перезагрузить систему в режиме recoveryOS, чтобы получить еще 10 попыток. Если и дополнительные попытки исчерпаны, каждому из настроенных механизмов восстановления FileVault (восстановление iCloud, ключ восстановления FileVault и корпоративный ключ) предоставляется по 10 дополнительных попыток, то есть всего 30 дополнительных попыток. Если эти дополнительные попытки также исчерпаны, Secure Enclave перестанет обрабатывать запросы на расшифровку тома или проверку пароля, и данные на диске будут утрачены безвозвратно.
Чтобы помочь защитить данные в корпоративной среде, ИТ‑отдел должен задать политики конфигурации FileVault и включить их применение с помощью сервиса управления устройствами. Организациям доступно несколько способов управления зашифрованными томами: корпоративные ключи восстановления, личные ключи восстановления (которые при желании можно передать в сервис управления устройствами для хранения) или их сочетание. В сервисе управления устройствами также можно задать политику ротации ключей.
На компьютере Mac с чипом безопасности Apple T2 пароль выполняет схожую функцию, но сгенерированный ключ используется для шифрования FileVault, а не для технологии защиты данных.