Lösenkoder och lösenord
För att skydda anvÀndardata frÄn skadliga attacker anvÀnder Apple lösenkoder i iOS, iPadOS och visionOS och lösenord i macOS. Ju lÀngre en lösenkod eller ett lösenord Àr, desto starkare Àr det och desto enklare Àr det att avvÀrja automatiserade intrÄngsförsök. För att ytterligare avvÀrja attacker genomdriver Apple tidsfördröjningar (iOS, iPadOS och visionOS) och ett begrÀnsat antal lösenordsförsök (för Mac).
NÀr en anvÀndare stÀller in en lösenkod eller ett lösenord pÄ en iPhone, iPad och Apple Vision Pro aktiveras dataskydd automatiskt. Dataskydd aktiveras ocksÄ pÄ andra enheter som har ett Apple-SoC, exempelvis en Mac med Apple Silicon, Apple TV och Apple Watch. PÄ enheter med macOS anvÀnder Apple det inbyggda volymkrypteringsprogrammet FileVault.
SÄ hÀr ökar lösenkoder och lösenord sÀkerheten
iOS, iPadOS och visionOS stöder lösenkoder med sex eller fyra siffror och alfanumeriska lösenkoder med valfri lÀngd. Förutom att lÄsa enheten tillhandahÄller lösenkoden eller lösenordet entropi för vissa krypteringsnycklar. Det innebÀr att en angripare som har enheten i sin Àgo inte kan komma Ät data i specifika skyddsklasser utan lösenkoden.
Lösenkoderna eller lösenorden Àr knutna till enheternas UID:n, sÄ automatiserade intrÄngsförsök mÄste utföras pÄ sjÀlva enheterna. Ett högt antal berÀkningsiterationer gör att varje försök tar lÄng tid. Iterationsantalet har kalibrerats sÄ att ett försök tar ungefÀr 80 millisekunder. Det skulle faktiskt ta mer Àn fem och ett halvt Är att testa alla kombinationer av en sex tecken lÄng alfanumerisk lösenkod med smÄ bokstÀver och siffror.
Ju starkare lösenkod anvÀndaren har, desto starkare blir krypteringsnyckeln. Och genom att anvÀnda Optic ID, Face ID och Touch ID kan anvÀndaren skapa en mycket starkare lösenkod Àn vad som annars skulle vara praktiskt. Den starkare lösenkoden ökar den effektiva mÀngden entropi som skyddar krypteringsnycklarna för dataskydd utan att inverka negativt pÄ anvÀndarupplevelsen av att lÄsa upp en enhet mÄnga gÄnger varje dag.
Om du anger ett lÄngt lösenord som bara innehÄller siffror visas ett numeriskt tangentbord pÄ lÄsskÀrmen istÀllet för det fullstÀndiga tangentbordet. En lÀngre numerisk lösenkod kan vara enklare att ange Àn en kortare alfanumerisk och ÀndÄ ge samma sÀkerhet.
AnvÀndaren kan ange lÀngre alfanumeriska lösenkoder genom vÀlja Alfanumerisk kod i Lösenkodsalternativ i InstÀllningar:
Optic ID och lösenkod
Face ID och lösenkod
Touch ID och lösenkod
Hur ökande tidsfördröjningar avvÀrjer automatiserade försök att knÀcka lösenord
För att ytterligare avvÀrja automatiserade försök att knÀcka lösenkoder pÄ en iPhone, iPad, Mac och Apple Vision Pro ökar fördröjningen nÀr en felaktig lösenkod, lösenord eller PIN-kod anges (beroende pÄ enhet och i vilket lÀge enheten befinner sig) enligt tabellen nedan.
Försök | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 eller fler |
|---|---|---|---|---|---|---|---|---|
iOS- och iPadOS-lÄsskÀrm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Enheten avaktiveras och mÄste ansluta till en Mac eller PC |
watchOS-lÄsskÀrm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Enheten avaktiveras och mÄste ansluta till en iPhone |
FileVault-inloggningsÂfönster och lĂ„sskĂ€rm | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | 8 timmar |
macOS-Ă„terstĂ€llÂningsÂlĂ€ge | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Se âHur ökande tidsfördröjningar avvĂ€rjer automatiserade försök att knĂ€cka lösenord i macOSâ nedan |
FileVault med Ă„terstĂ€llningsÂnyckel (personlig, organisationens eller iCloud) | Ingen | 1 minut | 5 minuter | 15 minuter | 1 timme | 3 timmar | 8 timmar | Se âHur ökande tidsfördröjningar avvĂ€rjer automatiserade försök att knĂ€cka lösenord i macOSâ nedan |
macOS-fjÀrrlÄsning med PIN-kod | 1 minut | 5 minuter | 15 minuter | 30 minuter | 1 timme | 1 timme | 1 timme | 1 timme |
Om alternativet Radera data Àr aktiverat för iPhone, iPad eller Apple Vision Pro (i InstÀllningar > [Optic ID], [Face ID] eller [Touch ID] och lösenkod) tas allt innehÄll och alla instÀllningar bort frÄn lagringsutrymmet efter tio pÄ varandra följande felaktiga försök att ange lösenkoden. Flera pÄ varandra följande försök att anvÀnda samma felaktiga lösenkod rÀknas inte i den grÀnsen. Den hÀr instÀllningen kan anvÀndas som en administrativ policy via en MDM-lösning som stöder funktionen och via Microsoft Exchange ActiveSync, och det gÄr Àven att ange ett lÀgre tröskelvÀrde.
Fördröjningarna genomdrivs av Secure Enclave. Fördröjningen gÀller Àven om enheten startas om under en fördröjning. Timern startas om för den aktuella perioden.
Hur ökande tidsfördröjningar avvÀrjer automatiserade försök att knÀcka lösenord i macOS
För att förhindra automatiserade intrÄngsförsök nÀr Mac-datorn startar tillÄts inte fler Àn 10 lösenordsförsök i inloggningsfönstret, och stigande tidsfördröjningar lÀggs till efter ett visst antal felaktiga försök. Fördröjningarna genomdrivs av Secure Enclave. Fördröjningen gÀller Àven om datorn startas om under en fördröjning. Timern startas om för den aktuella perioden.
För att förhindra att sabotageprogram orsakar permanent dataförlust genom att försöka angripa anvÀndarens lösenord drivs de hÀr grÀnserna inte igenom efter att anvÀndaren har lyckats logga in pÄ datorn, utan de gör det efter omstart. Om de 10 försöken anvÀnds upp blir ytterligare 10 försök möjliga efter omstart till recoveryOS. Om de ocksÄ anvÀnds upp blir ytterligare 10 försök tillgÀngliga för varje FileVault-ÄterstÀllningsmekanism (iCloud-ÄterstÀllning, FileVault-ÄterstÀllningsnyckel och organisationsnyckel) för upp till högst 30 ytterligare försök. NÀr Àven dessa ytterligare försök har anvÀnts upp bearbetar Secure Enclave inte lÀngre nÄgon begÀran om att avkryptera eller verifiera lösenord, utan alla data pÄ hÄrddisken blir oÄterkalleligt otillgÀngliga.
För att bidra till att skydda data i en företagsmiljö bör IT-ansvariga tydligt definiera och genomdriva FileVault-konfigurationspolicyer via en MDM-lösning. Organisationer har flera alternativ för hantering av krypterade volymer som omfattar institutionella ÄterstÀllningsnycklar, personliga ÄterstÀllningsnycklar (som Àven kan lagras med MDM för deponering) eller en kombination av bÄda. Nyckelrotation kan ocksÄ stÀllas in som en policy i MDM.
PÄ Mac-datorer med Apple T2-sÀkerhetskretsen har lösenordet en snarlik funktion, med undantag för att den nyckel som genereras anvÀnds till FileVault-kryptering istÀllet för dataskydd. macOS innehÄller ocksÄ fler alternativ för lösenordsÄterstÀllning:
iCloud-ÄterstÀllning
FileVault-ÄterstÀllning
FileVault-organisationsnyckel