Lösenkoder och lösenord
För att skydda användardata från skadliga attacker använder Apple lösenkoder i iOS, iPadOS och visionOS och lösenord i macOS. Ju längre en lösenkod eller ett lösenord är, desto starkare är det och desto enklare är det att avvärja automatiserade intrångsförsök. För att ytterligare avvärja angrepp genomdriver Apple tidsfördröjningar (iOS, iPadOS och visionOS) och ett begränsat antal lösenordsförsök (Mac).
När en användare ställer in en lösenkod eller ett lösenord på en iPad, iPhone och Apple Vision Pro aktiveras dataskydd automatiskt. Dataskydd aktiveras också på andra enheter som har ett Apple-SoC, exempelvis en Mac med Apple Silicon, Apple TV och Apple Watch. På enheter med macOS använder Apple det inbyggda volymkrypteringsprogrammet FileVault.
Öka säkerheten med starka lösenkoder och lösenord
iOS, iPadOS och visionOS stöder lösenkoder med sex eller fyra siffror och alfanumeriska lösenkoder med valfri längd. Förutom att låsa enheten tillhandahåller lösenkoden eller lösenordet entropi för vissa krypteringsnycklar. Det innebär att en angripare som har enheten i sin ägo inte kan komma åt data i specifika skyddsklasser utan lösenkoden.
Lösenkoden eller lösenordet är knutet till enhetens UID:n, så automatiserade intrångsförsök måste utföras på själva enheten. Ett högt antal beräkningsiterationer gör att varje försök tar lång tid. Iterationsantalet har kalibrerats så att ett försök tar ungefär 80 millisekunder. Det skulle faktiskt ta mer än fem och ett halvt år att testa alla kombinationer av en sex tecken lång alfanumerisk lösenkod med små bokstäver och siffror.
Ju starkare lösenkod användaren har, desto starkare blir krypteringsnyckeln. Och genom att använda Optic ID, Face ID och Touch ID kan användaren skapa en mycket starkare lösenkod än vad som annars skulle vara praktiskt. Den starkare lösenkoden ökar den effektiva mängden entropi som skyddar krypteringsnycklarna för dataskydd utan att inverka negativt på användarupplevelsen av att låsa upp en enhet många gånger per dag.
Om en lösenkod bara innehåller siffror visas en numerisk knappsats på låsskärmen. En längre numerisk lösenkod kan vara enklare att ange än ett kortare alfanumeriskt lösenord och ändå ge samma säkerhet.
Användare kan ange ett längre alfanumeriskt lösenord genom att välja Alfanumerisk kod i Lösenkodsalternativ i Inställningar > [Optic ID], [Face ID] eller [Touch ID] och lösenkod). Om ett lösenord är alfanumeriskt visas en fullständig knappsats på låsskärmen.
Ökande tidsfördröjningar avvärjer automatiserade angrepp
För att ytterligare avvärja automatiserade försök att knäcka lösenkoder på en iPad, iPhone, Mac och Apple Vision Pro ökar fördröjningen när en felaktig lösenkod, lösenord eller PIN-kod anges (beroende på enhet och i vilket läge enheten befinner sig) enligt tabellen nedan.
Försök | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller fler |
|---|---|---|---|---|---|---|---|---|
iOS- och iPadOS-låsskärm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Enheten låses och måste ansluta till en Mac eller PC |
watchOS-låsskärm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Enheten låses och måste ansluta till en iPhone |
FileVault-inloggningsfönster och låsskärm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | 8 timmar |
macOS-återställningsläge | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Se ”Hur ökande tidsfördröjningar avvärjer automatiserade försök att knäcka lösenord i macOS” nedan |
FileVault med återställningsnyckel (personlig, organisationens eller iCloud) | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Se ”Hur ökande tidsfördröjningar avvärjer automatiserade försök att knäcka lösenord i macOS” nedan |
macOS-fjärrlåsning med PIN-kod | 1 minut | 5 minuter | 15 minuter | 30 minuter | 1 timme | 1 timme | 1 timme | 1 timme |
Om alternativet Radera data är aktiverat för iPad, iPhone eller Apple Vision Pro (i Inställningar > [Optic ID], [Face ID] eller [Touch ID] och lösenkod) tas allt innehåll och alla inställningar bort från lagringsutrymmet efter tio på varandra följande felaktiga försök att ange lösenkoden. Flera på varandra följande försök att använda samma felaktiga lösenkod räknas inte i den gränsen. Den här inställningen kan användas som en administrativ policy via en enhetshanteringstjänst som stöder funktionen och via Microsoft Exchange ActiveSync, och det går även att ange ett lägre tröskelvärde.
Fördröjningarna genomdrivs av Secure Enclave. Fördröjningen gäller även om enheten startas om under en fördröjning. Timern startas om för den aktuella perioden.
Ökande tidsfördröjningar avvärjer automatiserade försök att knäcka lösenord i macOS
För att förhindra automatiserade intrångsförsök när en Mac startar tillåts inte fler än 10 lösenordsförsök i inloggningsfönstret, och stigande tidsfördröjningar läggs till efter ett visst antal felaktiga försök. Fördröjningarna genomdrivs av Secure Enclave. Fördröjningen gäller även om datorn startas om under en fördröjning. Timern startas om för den aktuella perioden.
För att förhindra att sabotageprogram orsakar permanent dataförlust genom att försöka angripa användarens lösenord drivs de här gränserna inte igenom efter att användaren har lyckats logga in på datorn, utan de gör det efter omstart. Om de 10 försöken används upp blir ytterligare 10 försök möjliga efter omstart till recoveryOS. Om de också används upp blir ytterligare 10 försök tillgängliga för den konfigurerade FileVault-återställningsmekanismen (iCloud-återställning, FileVault-återställningsnyckel och organisationsnyckel) för upp till högst 30 ytterligare försök. När även dessa ytterligare försök har använts upp bearbetar Secure Enclave inte längre någon begäran om att avkryptera eller verifiera lösenord, utan alla data på hårddisken blir oåterkalleligt otillgängliga.
För att skydda data i en företagsmiljö bör IT-ansvariga tydligt definiera och genomdriva FileVault-konfigurationspolicyer via en enhetshanteringstjänst. Organisationer har flera alternativ för hantering av krypterade volymer som omfattar institutionella återställningsnycklar, personliga återställningsnycklar (som även kan lagras med en enhetshanteringstjänst för deponering) eller en kombination av båda. Nyckelrotation kan också ställas in som en policy i en enhetshanteringstjänst.
På Mac-datorer med Apple T2-säkerhetskretsen har lösenordet en snarlik funktion, med undantag för att den nyckel som genereras används till FileVault-kryptering istället för dataskydd.