Pääsykoodit ja salasanat
Apple käyttää pääsykoodeja iOS:ssä ja iPadOS:ssä ja salasanoja macOS:ssä suojaamaan käyttäjän tietoja pahantahtoiselta hyökkäykseltä. Mitä pidempi pääsykoodi tai salasana on, sitä vahvempi se on ja sitä helpommin sillä voidaan estää väsytyshyökkäykset. Apple hankaloittaa hyökkäyksiä vielä lisää pakotetuilla viiveillä (iOS:lle ja iPadOS:lle) ja rajoittamalla salasanayritysten määrää (Macille).
Kun käyttäjä ottaa laitteen pääsykoodin tai salasanan käyttöön iOS:ssä tai iPadOS:ssä, hän samalla ottaa automaattisesti käyttöön tietojen suojauksen. Tietojen suojausta käytetään myös muissa laitteissa, joissa on Applen järjestelmäpiiri (SoC). Näitä ovat Apple siliconilla varustettu Mac, Apple TV ja Apple Watch. macOS:ssä Apple käyttää ohjelmistoon sisältyvää taltionsalausohjelmaa nimeltä FileVault.
Miten vahvat salasanat ja pääsykoodit parantavat suojausta
iOS ja iPadOS tukevat kuusinumeroisia, nelinumeroisia ja halutun pituisia aakkosnumeerisia pääsykoodeja. Pääsykoodi tai salasana avaa laitteen, mutta toimii myös eräiden salausavainten entropiana. Tämän ansiosta hyökkääjä, jolla on laite hallussaan, ei saa tietyissä suojausluokissa olevia tietoja ilman pääsykoodia.
Pääsykoodi tai salasana on sidottu laitteen UID:hen, joten väsytyshyökkäykset on tehtävä kohteena olevalla laitteella. Suurilla toistomäärillä näistä yrityksistä tehdään hitaampia. Toistomäärä kalibroidaan niin, että yksi yritys kestää noin 80 millisekuntia. Kaikkien mahdollisten pieniä kirjaimia ja numeroita sisältävien kuusimerkkisten pääsykoodien kokeileminen kestäisi peräti yli 5,5 vuotta.
Mitä vahvempi käyttäjän pääsykoodi on, sitä vahvemmaksi salausavain tulee. Käyttäessään Face ID:tä ja Touch ID:tä käyttäjä voi luoda paljon vahvemman pääsykoodin kuin mikä muuten olisi käytännöllistä. Vahvempi pääsykoodi lisää entropian todellista määrää, mikä suojaa tietojen suojaukseen käytettäviä salausavaimia haittaamatta laitteen useita kertoja päivässä tehtävän avauksen käyttökokemusta.
Jos syötetään pitkä salasana, joka sisältää vain numeroita, lukitulla näytöllä näytetään vain numeronäppäimistö eikä täyttä näppäimistöä. Pidempi numeerinen pääsykoodi voi olla helpompaa syöttää kuin lyhyempi aakkosnumeerinen pääsykoodi, mutta se tarjoaa vastaavan suojaustason.
Käyttäjät voivat määrittää pidemmän aakkosnumeerisen pääsykoodin valitsemalla Pääsykoodivalinnat-kohdassa Asetukset > ”Touch ID ja pääsykoodi” tai ”Face ID ja pääsykoodi” ja valitsemalla sitten Aakkosnumeerinen koodi.
Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä
iOS:ssä, iPadOS:ssä ja macOS:ssä pääsykoodin väsytyshyökkäysten hankaloittamiseksi väärän pääsykoodin, salasanan tai PIN-koodin (riippuen laitteesta ja siitä, missä tilassa se on) syöttämisestä seuraa pitenevä aikaviive alla olevan taulukon mukaisesti.
Yritykset | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 tai useampi |
|---|---|---|---|---|---|---|---|---|
iOS:n ja iPadOS:n lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Laite on poissa käytöstä ja se on liitettävä Maciin tai PC:hen |
watchOS:n lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Laite on poissa käytöstä ja se on liitettävä iPhoneen |
macOS:n sisäänkirjautumisikkuna ja lukittu näyttö | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | 8 tuntia |
macOS:n palautustila | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Katso alla ”Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä” |
FileVault palautusavaimella (henkilökohtainen, organisaation tai iCloudissa oleva) | ei mitään | 1 minuutti | 5 minuuttia | 15 minuuttia | 1 tunti | 3 tuntia | 8 tuntia | Katso alla ”Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä” |
macOS:n etälukituksen PIN-koodi | 1 minuutti | 5 minuuttia | 15 minuuttia | 30 minuuttia | 1 tunti | 1 tunti | 1 tunti | 1 tunti |
Jos Poista data ‑valinta on käytössä iPhonelle tai iPadille (valitaan kohdassa Asetukset > [Face ID] tai [Touch ID] ja pääsykoodi), kymmenen peräkkäisen virheellisen pääsykoodin syöttöyrityksen jälkeen kaikki tallennettu sisältö ja asetukset poistetaan. Saman väärän pääsykoodin peräkkäisiä syöttöyrityksiä ei lasketa. Tämä asetus on saatavilla myös ylläpitokäytäntönä käyttäen tätä ominaisuutta tukevaa mobiililaitteiden hallintaratkaisua (MDM) tai käyttäen Microsoft Exchange ActiveSyncia. Asetuksen raja voidaan määrittää myös pienemmäksi.
Laitteissa, joissa on Secure Enclave, viiveet toteuttaa Secure Enclave. Jos laite käynnistetään uudelleen ajoitetun viiveen aikana, viive on silti käytössä ja ajastin aloittaa kuluvan jakson alusta.
Miten pitenevä viive hankaloittaa väsytyshyökkäyksiä macOS:ssä
Väsytyshyökkäyksiä auttaa estämään se, että Macin käynnistyksessä sallitaan enintään 10 salasanayritystä sisäänkirjautumisikkunassa. Riittävä määrä vääriä yrityksiä aiheuttaa pitenevät aikaviiveet. Viiveet toteuttaa Secure Enclave. Jos Mac käynnistetään uudelleen ajoitetun viiveen aikana, viive on silti käytössä ja ajastin aloittaa kuluvan jakson alusta.
Jotta haittaohjelmiston olisi vaikeampi aiheuttaa pysyvää tietojen menetystä yrittämällä hyökätä käyttäjän salasanaan, nämä rajoitukset eivät ole käytössä sen jälkeen, kun käyttäjä kirjautuu onnistuneesti sisään Maciin, mutta ne palautetaan taas uudelleenkäynnistyksen jälkeen. Jos 10 yritystä on käytetty, käytettävissä on 10 lisäyritystä, kun laite on käynnistetty uudelleen recoveryOS:ään. Jos myös nämä yritykset on käytetty, käytettävissä on 10 lisäyritystä jokaista FileVault-palautusmekanismia kohden (iCloud-palautus, FileVault-palautusavain ja organisaation avain), jolloin lisäyrityksiä on enimmillään 30. Sen jälkeen kun nämä lisäyritykset on käytetty, Secure Enclave ei enää käsittele pyyntöjä purkaa taltion salaus tai vahvistaa salasana, ja levyn tietoja ei voida palauttaa.
Auttaakseen pitämään tiedot suojattuina yritysympäristössä IT-osaston tulisi määrittää FileVault-asetuskäytännöt käyttäen MDM-ratkaisua. Organisaatiot voivat hallita salattuja taltioita useilla eri tavoilla, kuten organisaation palautusavaimilla, henkilökohtaisilla palautusavaimilla (jotka voidaan valinnaisesti tallentaa MDM:llä) tai niiden yhdistelmällä. Avaimen kierrättäminen voidaan myös asettaa käytännöksi MDM:llä.
Apple T2 Security -sirulla varustetussa Macissa salasanalla on samanlainen tehtävä, mutta muodostettua avainta käytetään tietojen suojaus ‑teknologian sijaan FileVault-salaukselle. macOS tarjoaa myös enemmän salasanan palautusvaihtoehtoja:
iCloud-palautus
FileVault-palautus
organisaation FileVault-avain