Det er ikke lenger trygt å bruke et sekssifret passord på din iPhone.
Takket være en ny type spesialisert sprekkerenhet, kan lovhåndhevingsmyndigheter omgå hvilken som helst 6-sifret iPhone-passkode på opptil elleve timer eller mindre, mens en firesifret passordkode kan beregnes på 6,5 minutter i gjennomsnitt eller 13 minutter på det lengste.
OPPLÆRINGEN: Hvordan sette opp en sterkere iPhone-passord
GrayKey-boksen er designet av et selskap kalt Grayshift, en grå boks som måler fire tommer bred og fire centimeter dypt og to tommer høy, med to lynkabler som stikker ut foran. Det fungerer med alle nyere iPhone-modeller.
Enheten er designet for tjenestemenn.
I følge VICEs hovedkort bruker den Internett-tilkoblede $ 15 000 enheten en ikke avslørt iPhone-jailbreak eller nulldagers utnyttelse som lar den ødelegge gassregistrering av passord håndhevet av den Apple-designet Secure Enclave kryptografisk koprocessor.
Etter fire påfølgende passkodeforsøk begynner Secure Enclave å utsette ytterligere forsøk, med ett minutt for et femte mislykket forsøk eller en time for den niende påfølgende passkodefeil. GrayKey omgår ikke bare dette mislykkede, men også iOS-alternativet til å få innholdet på iPhonen din utslettet etter ti påfølgende mislykkede passkodeforsøk.
I følge Matthew Green, assistentprofessor og kryptograf ved John Hopkins Information Security Institute, kan en åttesifret passord ta alt mellom 46 timer og 92 dager å gjette seg til. En sterk 10-sifret passord med tilfeldige tall kan ta opptil 25 år å sprekke, eller mer enn 13 år i gjennomsnitt.
Veiledning for estimerte iOS-sprekketider for iOS (antar tilfeldig desimal passord + en utnyttelse som bryter SEP-gasspådrag):
4 sifre: ~ 13 min verste (~ 6,5avg)
6 sifre: ~ 22.2 timer verste (~ 11.1avg)
8 sifre: ~ 92.5 dager verste (~ 46avg)
10 sifre: ~ 9259 dager verst (~ 4629avg)- Matthew Green (@matthew_d_green) 16. april 2018
I september 2014 laget Apple diskkryptering som standard på iPhone.
Mens full diskkryptering beskytter dataene dine, kan noen som kan gjette passordet enkelt lese eller trekke ut dataene dine. Etter at enheten din har blitt låst opp med sprekkboksen, lastes hele innholdet i filsystemet til GrayKey-enheten, inkludert det ukrypterte innholdet i systemnøkkelring.
Din kontoinformasjon, navn og telefonnummer, e-postmeldinger, tekster, bankkontoinformasjon og til og med kredittkortnummer eller personnummer kan nås derfra via et nettbasert grensesnitt på en tilkoblet datamaskin for analyse.
Ryan Duff, en forsker som har studert iOS og direktør for Cyber Solutions for Point3 Security, sa til Motherboard i en nettprat:
Folk bør bruke en alfanumerisk passord som ikke er mottakelig for et ordboksangrep og som er minst 7 tegn lang og har en blanding av minst store bokstaver, små bokstaver og tall. Det anbefales å legge til symboler, og jo mer komplisert og lengre passord, desto bedre.
Siden utgivelsen av iOS 9, krever Apple en 6-sifret passord som standard.
Hvis du vil styrke sikkerheten til iPhone eller iPad, kan du få styrken til passordet enda mer ved å angi et tilpasset numerisk passord eller et alfanumerisk passord.
Hvis jeg var deg, ville jeg satt opp et alfanumerisk passord.
Å skrive en lang alfanumerisk kode er sikker på at du vet hva du vet, men siden den inneholder flere bokstaver og tall, vil den være utrolig sterkere enn de lett sprekker 6-sifrede passkodene. Åh, og husk å sjekke passkodelengden som har gjenopprettet sikkerhetskopier når du oppgraderer til nyere iPhoner, fremdeles kan ha firesifrede passordkoder.
Enheter som GrayKey-boksen vil fungere til Apple fikser uansett hva de utnytter de er avhengige av, da oppdaterte iPhones ikke lenger vil være utsatt for passordangrep som dette. For de som lurer på, fungerer GrayKey-enheten på den nyeste maskinvaren med iOS 11.2.5.
Heltebilde: GrayKey iPhone cracking box, med tillatelse av Malwarebytes