Parolalar
Apple, kullanıcı verilerini kötü amaçlı saldırılardan korumak için iOS’teki, iPadOS’teki ve macOS’teki parolaları kullanır. Bir parola ne kadar uzun olursa o kadar güçlü olur ve kaba kuvvet saldırılarını caydırması o kadar kolaylaşır. Saldırıları caydırmak için Apple, (iOS ve iPadOS’te) geciktirme sürelerini ve (Mac için) sınırlı sayıda parola girişimini uygular.
iOS ve iPadOS’te, kullanıcı bir parola ayarlayarak Veri Koruma’yı otomatik olarak etkileştirir. Veri Koruma, Apple Silicon yongalı bir Mac, Apple TV ve Apple Watch gibi Apple yongadaki sistemi (SoC) barındıran diğer aygıtlarda da etkinleştirilir. macOS’te, Apple yerleşik disk bölümü şifreleme programı olan FileVault’u kullanır.
Güçlü parolalar güvenliği nasıl artırır?
iOS ve iPadOS altı basamaklı, dört basamaklı ve rasgele uzunlukta alfasayısal parolaları destekler. Parola, aygıtın kilidini açmanın yanı sıra belirli şifreleme anahtarları için entropi sağlar. Böylelikle aygıtı ele geçiren bir saldırgan, parola olmaksızın belirli koruma sınıflarındaki verilere erişemez.
Parola, aygıtın UID’siyle karıştırılmıştır, dolayısıyla deneme yanılma girişimlerinin saldırıya uğrayan aygıtta gerçekleştirilmesi gerekir. Her girişimi yavaşlatmak için büyük bir yineleme sayısı kullanılır. Yineleme sayısı, bir girişimin yaklaşık 80 milisaniye sürmesini sağlayacak şekilde ayarlanmıştır. Öyle ki küçük harflerden ve rakamlardan oluşan altı karakterli alfasayısal bir parolanın tüm kombinasyonlarını denemek beş buçuk yıldan fazla sürer.
Kullanıcı parolası ne kadar güçlüyse şifreleme anahtarı da o kadar güçlü olur. Kullanıcı, Face ID ve Touch ID kullanarak da normalde pratik olmayacak çok daha güçlü bir parola belirleyebilir. Daha güçlü bir parola, Veri Koruma için kullanılan şifreleme anahtarlarını koruyan etkin entropi miktarını artırır ve kullanıcının gün içinde defalarca aygıtın kilidini açma deneyimini olumsuz etkilemez.
Yalnızca sayı içeren uzun bir parola girildiyse kilitli ekranda tam klavye yerine sayısal klavye görüntülenir. Uzun sayısal bir parolanın girilmesi, kısa alfasayısal bir parolaya göre daha kolay olabilir ve ikisi de benzer güvenlik sağlar.
Kullanıcılar, Ayarlar > Touch ID ve Parola’daki veya Face ID ve Parola’daki Parola Seçenekleri’nde Özel Alfasayısal Kod’u seçerek daha uzun bir alfasayısal parola belirtebilir.
Artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır?
iOS’te, iPadOS’te ve macOS’te, parola deneme yanılma saldırılarını daha da fazla güçleştirmek için aşağıdaki tabloda gösterildiği gibi geçersiz parola veya PIN girişinden sonra (aygıta ve aygıtın bulunduğu duruma bağlı olarak) geciktirme süreleri gittikçe artar.
Deneme hakkı | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 veya daha fazla |
|---|---|---|---|---|---|---|---|---|
iOS ve iPadOS Kilitli Ekranı | Yok | 1 dakika | 5 dakika | 15 dakika | 1 saat | 3 saat | 8 saat | Aygıt etkin değildir ve bir Mac’e veya PC’ye bağlanmalıdır |
watchOS Kilitli Ekranı | Yok | 1 dakika | 5 dakika | 15 dakika | 1 saat | 3 saat | 8 saat | Aygıt etkin değildir ve bir iPhone’a bağlanmalıdır |
macOS Oturum Açma Penceresi ve Kilitli Ekranı | Yok | 1 dakika | 5 dakika | 15 dakika | 1 saat | 3 saat | 8 saat | 8 saat |
macOS Kurtarma Modu | Yok | 1 dakika | 5 dakika | 15 dakika | 1 saat | 3 saat | 8 saat | Aşağıdaki “macOS’te artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır?” konusuna bakın |
Kurtarma anahtarı ile FileVault (Kişisel, Kurumsal veya iCloud) | Yok | 1 dakika | 5 dakika | 15 dakika | 1 saat | 3 saat | 8 saat | Aşağıdaki “macOS’te artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır?” konusuna bakın |
macOS uzaktan kilitleme PIN kodu | 1 dakika | 5 dakika | 15 dakika | 30 dakika | 1 saat | 1 saat | 1 saat | 1 saat |
iPhone veya iPad için Verileri Sil seçeneği açılırsa (Ayarlar > [Face ID] veya [Touch ID] ve Parola bölümünde) art arda 10 yanlış parola girme denemesinden sonra depolama alanındaki tüm içerikler ve ayarlar silinir. Aynı yanlış parolanın art arda girilmesi, toplam sınırı etkilemez. Bu ayar, bu özelliği destekleyen bir mobil aygıt yönetimi (MDM) çözümü ve Microsoft Exchange ActiveSync aracılığıyla yönetici politikası olarak da kullanılabilir ve daha düşük bir eşiğe ayarlanabilir.
Secure Enclave’e sahip aygıtlarda, geciktirmeler Secure Enclave tarafından uygulanır. Aygıt zamanlanmış bir geciktirme sırasında yeniden başlatılsa bile sayaç geçerli süre için baştan başlatılır ve geciktirme uygulanır.
macOS’te artan gecikme süreleri kaba kuvvet saldırılarını nasıl caydırır?
Deneme yanılma saldırılarını engellemeye yardımcı olmak için Mac başlatıldığında oturum açma penceresinde 10’dan fazla parola denemesine izin verilmez ve belirli sayıda yanlış parola girişinden sonra geciktirme süreleri gittikçe artar. Geciktirmeler, Secure Enclave tarafından uygulanır. Mac, zamanlanmış bir geciktirme sırasında yeniden başlatılsa bile sayaç geçerli süre için baştan başlatılır ve geciktirme uygulanır.
Kötü amaçlı yazılımın kullanıcı parolasına saldırmayı deneyerek kalıcı veri kaybına neden olmasını engellemeye yardımcı olmak için bu sınırlar, Mac’te başarılı bir şekilde oturum açtıktan sonra uygulanmaz ama yeniden başlatmadan sonra uygulanır. 10 parola deneme hakkı biterse recoveryOS ile yeniden başlatıldıktan sonra 10 deneme hakkı daha verilir. Bunlar da biterse maksimum 30 ek deneme hakkı olacak şekilde her FileVault kurtarma mekanizması (iCloud kurtarma, FileVault kurtarma anahtarı ve kurumsal anahtar) için 10 deneme hakkı daha verilir. Bu ek deneme hakları da bittikten sonra Secure Enclave artık disk bölümünün şifresini çözme veya parola doğrulama isteklerini işlemez ve sürücüdeki veriler kurtarılamaz hâle gelir.
Kurumsal bir ortamda verileri korumaya yardımcı olmak için BT bölümü bir MDM çözümü kullanarak FileVault konfigürasyon politikaları tanımlamalı ve uygulamalıdır. Kuruluşlar; kurumsal kurtarma anahtarları, kişisel kurtarma anahtarları (isteğe bağlı olarak emanet için MDM ile saklanabilen) veya her ikisinin birleşimi dahil olmak üzere şifreli disk bölümlerini yönetmeyle ilgili birçok seçeneğe sahiptir. Anahtar değiştirme de MDM’de bir politika olarak ayarlanabilir.
Apple T2 güvenlik yongasına sahip bir Mac’te parola benzer bir işlev görür. Tek fark, oluşturulan anahtar Veri Koruma için değil FileVault şifreleme için kullanılır. macOS, ek parola kurtarma seçenekleri de sunar:
iCloud kurtarma
FileVault kurtarma
FileVault kurumsal anahtarı