Советую всем поменять пароль блокировки iPhone

Вы не говорите пароль от iPhone незнакомым людям точно так же, как скрываете пин-код своей банковской карты.

Но что, если я скажу, что ваш пароль от айфона можно угадать всего за несколько часов? Возможно, даже минут.

Это не секрет, а банальная математика. Её давно превратили в оружие против тех, кто не может или не хочет добровольно отдать код блокировки смартфона.

Но математика работает в обе стороны, и поэтому у такого оружия есть одно слабое место: время.

Я предлагаю каждому из вас сменить пароль блокировки на такой, который не удастся подобрать никому за всю жизнь.

Почему пароль от iPhone – горячая тема в СМИ

Фото террориста, устроившего стрельбу в декабре 2015 года в Сан-Бернардино, штат Калифорния

Который год ФБР воюет с Apple, требуя предоставить службам безопасности США готовое решение для взлома любой современной модели iPhone и iPad.

Apple не поддаётся, потому что появление таких решений рано или поздно станет достоянием не только других государств, но и злоумышленников. Несложно представить, что будет дальше.

История вокруг двух запароленных айфонов террориста-стрелка тянется четыре года, в ней неоднократно участвовал президент США Дональд Трамп. Конфликт подогревается желанием ФБР как можно сильнее и публичнее надавить на компанию в политических целях.

Других причин нет, потому что как минимум к одному из устройств они получили доступ ещё в 2016 году. И сегодня ночью выяснилось, каким образом им это удалось.

Способ оказался старым, как мир: они просто подобрали пароль случайным образом через генератор.

Оставим за бортом вопрос морали, в котором можно найти аргументы за позиции и ФБР, и Apple. Я хочу обратить ваше внимание на другое – на пароль блокировки конкретно вашего iPhone.

Каким образом защищается пароль и личные данные в iPhone, iPad и Mac

При активации iPhone каждому владельцу предлагается установить пароль блокировки. Это обязательное условие для работы многих функций: от Touch ID и Face ID до оплаты покупок через Apple Pay.

Изначально iOS предлагала установить четырёхзначный цифровой код-пароль, а начиная с iOS 9 – уже 6-значный. Разбуди вас в 4 утра, вы наизусть продиктуете эти цифры, настолько они важны.

Пароль блокировки играет ключевую роль в защите iPhone: он хранится в зашифрованном виде в специальном сопроцессоре безопасности под названием Secure Enclave, появившемся во всех устройствах, начиная с iPhone 5S. Почти каждое обращение за личными данными в iOS проходит через сопроцессор, и в немалой степени благодаря ему гаджеты Apple считаются высоко защищёнными.

iPhone 5S, первый смартфон Apple с Touch ID и Secure Enclave. Фото из нашего обзора, 2013 год.

Secure Enclave отвечает за привязку датчиков Face ID и Touch ID к процессору устройства, поэтому те перестают работать, если подменить либо материнскую плату, либо сами датчики. А последние два года он работает и в MacBook, так как лежит в основе чипа T2.

До сих пор не существует метода прямого взлома системы Secure Enclave. Векторы атаки задействуют уязвимости других систем и железа. Сопроцессор безопасности же остаётся непобеждённым, чем Apple заслуженно гордится.

Но Secure Enclave бессилен, если злоумышленник или сотрудник правоохранительных органов каким-то образом угадает, узнает пароль владельца устройства. В том числе, если пароль подберут через генератор, как и вышло в случае с ФБР.

Процедура перебора пароля автоматизирована, называется “брутфорс”, и в ней почти всегда используются внешние устройства-генераторы. Стоимость таких для государственных служб колеблется от 5 до 20 тысяч долларов.

Почему вам нужно отказаться от цифрового пароля на iPhone

Сотрудник ФБР использует брутфорс-систему GrayKey. Она в серой коробочке на столе.

При брутфорсе через генераторы, сопроцессор Secure Enclave в iPhone и чипе T2 принимает по одному паролю каждые 80 миллисекунд, что превращается в 12,5 попыток в секунду.

Это делают не вручную, а через устройства, подобные системе GrayKey на фото выше.

Итак, представим, что…

▹ У вас стоит 4-значный цифровой код блокировки iPhone. Он был стандартным до релиза iOS 9, некоторые пользуются таким до сих пор.

На подбор такого пароля уйдёт всего… 14 минут. Это абсолютный максимум, в большинстве случаев на это уходит не больше 8 минут.

Окей, но у большинства всё-таки 6-значный код-пароль, верно? Спешу разочаровать…

▹ У вас стоит 6-значный цифровой код. Именно его настойчиво предлагает установить iOS при первичной настройке.

На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.

Повторюсь, это не типичный взлом, а банальный перебор вариантов. Они математически ограничены: 10 цифр, 6 позиций на каждую. 10 в шестой степени равняется ровно 1 миллиону вариантов цифрового пароля. Это лучше, чем 4-значный цифровой код, в котором может быть лишь 10 тысяч уникальных комбинаций.

Остаётся последний вариант.

▸ У вас 6-значный цифро-буквенный пароль. Эта опция есть при установке пароля на iPhone, но её нужно выбирать вручную.

На подбор такого кода уйдёт… 72 года. ГОДА.

Если же в парольной фразе будут использоваться символы (вроде !, @ и так далее), а сама она будет длиннее 6 символов, то в прямом смысле жизни не хватит, чтобы добыть ваш пароль через брутфорс.

Теперь понимаете, к чему я клоню?

Поменяйте пароль на iPhone с цифрового на цифро-буквенный

Сделать это можно двумя способами.

1. Если у вас уже стоит пароль блокировки, зайдите в Настройки -> Face ID и код-пароль (Touch ID и код-пароль) -> Сменить код-пароль.

Когда система запросит новую парольную фразу, выберите пункт Параметры код-пароля. В открывшемся списке нажмите на Произвольный код (буквы + цифры).

Запомните наизусть то, что введёте далее. Крайне желательно использовать уникальное сочетание букв и цифр, не повторяющееся с паролем от какого-нибудь сервиса в интернете или от Mac.

2. Если вы проходите процедуру первичной активации iOS, то на экране ввода нажмите на Параметры код-пароля и там выберите Произвольный код (буквы + цифры).

Единственным неудобством такого пароля, кроме забывчивости, будет увеличившееся время его ввода. Но с учётом почти поголовного наличия Touch ID и Face ID, вводить этот усложнившийся пароль вам придётся редко.

Добавив в пароль один-два символа, вы сделаете его подбор абсолютно бессмысленным и защитите устройство от брутфорса. Так что 6-значный цифровой пароль, давай до свидания.

P.S. Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников. Так спокойнее.

(56 голосов, общий рейтинг: 4.64 из 5)

Мы в Telegram

Форум

Избранное

Теги: Советы,Статьи

(ещё...)

Теги: Советы,Статьи

(ещё...)

iPhones.ru

Ваш слишком легко взломать.

Никита Горяинов

@ngoryainov

Главный редактор iPhones.ru. Спасибо, что читаете нас. Есть вопрос, предложение или что-то интересное? Пишите на [email protected].

Прокомментировать

🙈 Комментарии 50

Получать комментарии к этому посту по электронной почте.

Mavpa20 мая 2020

12

Почему же его не вскрыли за 11 минут или хотя бы 22 часа, а?
FiLunder_720 мая 2020

14

“На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.”

Што? После 5-ти неправильных вводов, нужно будет ввести уже пароль от учетки. И по кабелю подбирают именно пароль от учетки, а не пароль разблокировки. Так что ерунды не пишите.

И вообще, как-то я сомневаюсь что фотографии моего кота и 10000 рублей на карте заинтересуют ФБР.

Никита Горяинов20 мая 2020

3

Если бы всё было так просто, никакого GrayKey бы не существовало.

Но всё не так просто.

По кабелю подбирается не пароль учётки, а пароль блокировки устройства.

FiLunder_720 мая 2020

1

@Никита Горяинов, Под этим устройством имеется в виду GrayKey, упоминания про которое датируются 2018 годом. Когда как раз Эппл и выпустила заплатку от перебора паролей по кабелю. А после этого, все упоминания носят единичный характер. И доподлинно известно только о вскрытии одного айфона и то без доказательств. Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься. И нам уж точно не стоит переживать по этому поводу.

Никита Горяинов20 мая 2020

2

Прямых доказательств нет и вряд ли будет, но то, что GrayKey по-прежнему актуальна, а Grayshift даже позволяет себе поднимать цену ежегодных лицензий использования – факт.

FiLunder_720 мая 2020

0

@Никита Горяинов, Ну это не факт, а скорее домыслы.

ProtcessusVitelius20 мая 2020

0

@FiLunder_7, «Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься»
…..
в кремлевской системе пропаганды редко придумывают что то свое, поэтому часто занимаются простейшим плагиатом, факт с массовыми распилами в РФ пытаются транслировать на США

FiLunder_720 мая 2020

6

@ProtcessusVitelius, Наши распилы по масштабам даже рядом с распилами США не стояли. Если вы думаете что где-то иначе, я вас разочарую. Везде одно и то же.

fimoz20 мая 2020

1

@Никита Горяинов, а если вкл Erase all data on this iPhone after ten passcode attempts?

Никита Горяинов20 мая 2020

1

GrayKey ломает конкретно это условие (оно не связано с Secure Enclave), поэтому после 10 попыток удаления не будет. Не будет и увеличения промежутка времени между попытками.

fimoz20 мая 2020

0

@Никита Горяинов, не знал, спасибо!

FedorS21 мая 2020

0

@Никита Горяинов, в москве есть подпольные конторы, которые взламывают айофоны. Вся эта история с ФБР и надежностью айфона , только пиар. Не нужно вестись на эту чушь.
iWolf20 мая 2020

0

А как же время ожидания после каждого неправильного ввода пароля?

Никита Горяинов20 мая 2020

2

GrayKey обходит конкретно это ограничение, увы.

FiLunder_720 мая 2020

2

@Никита Горяинов, Это не так. Точнее этому нет доказательств.

Никита Горяинов20 мая 2020

2

То, что устройство успешно используется для этих целей до сих пор (ему надо продлевать лицензию каждый год!), можно считать как доказательство. В противном случае оно бы вообще не работало, айфоны бы просто лочились на 100 лет после нескольких попыток.

В любом случае, повышенную защищенность цифро-буквенного пароля от брутфорса это не отменяет.

Mr. Cat20 мая 2020

4

@Никита Горяинов, как айтишник, понимающий в сертификатах и прочей защите данных, скажу: невозможно взломать айфон, только если сами Apple не дадут апиху цру/фбр/васе. Все это фигня полная для запугивания.

FiLunder_720 мая 2020

1

@Никита Горяинов, У нас тоже много чего продают и покупают на гос. закупках, только это совсем не значит что все что там покупают – работает. Если бы эта хрень работала, ФБР не обращались бы в Эппл с требованием разблокировать айфон, и не подавали бы на них в суд.

Petrov196720 мая 2020

0

@FiLunder_7, вроде как техника там такая: девайс копирует рам телефона в виртуалку, в вируалке он вводит пароль, после ошибки откатывает ром в предыдущее состояние(до ввода неправильного пароля),пробует следующий.

hC20 мая 2020

1

@FiLunder_7, грейкей от грейшифт продают официально свои коробки или ломают пасс удаленно, цена коробки с лицензией очень недешевая, но ломка отдельного устройства удаленно в районн 10к усд. Всё есть и всё работает как надо.

FiLunder_720 мая 2020

0

@hC, ПРодаёт официально ≠ работает. Вспоминаем детекторы взрывчатки, которые не работали, но при этом армия США их закупала. Это скорее всего попил бабла, так как если бы эта хрень работала, во-первых было бы больше случаев разблокирования, во-вторых ФБР не подали бы недавно в суд на Эппл, из-за отказа разблокировать айфон преступника.

hC20 мая 2020

1

@FiLunder_7, всё там норм. Контора израильская. Работают очень давно. Фбр в суд на Эпл это всё игры разума, которые затихли так же скромно как и начались. Обладаю коробкой, которая работает до 11.0.1, лицензия не продлена. Куплена на Ебее, когда по причине закончившихся лицензий их выкинули в продажу многие конторы. Было около 100 лотов, но продажи Грейкея на Ебее завернули в течении полутора недель (по понятным причинам и известно кто), как говорится кто не успел тот опоздал.
adamob20 мая 2020

1

А почему вдруг забыли про USB Restrictive Mode?

Никита Горяинов20 мая 2020

2

В 2018 году была информация, что конкретно его уже обошли.

adamob20 мая 2020

0

@Никита Горяинов, судя по тексту это были только слова, возможно блеф.
Arseniy Pereverzev20 мая 2020

6

если выбрать установку цифро-буквенного пароля, но использовать только цифры, то при разблокировке будет появляться клавиатура только с цифрами, но при этом не будет видно сколько символов установлено 4, 6, 8 или 128. это еще сильнее усложнит подбор пароля.
Артём Суровцев20 мая 2020

1

@covfefe, даже у тех, кого нет в живых, есть отпечаток пальца и лицо. Первые сутки и пароль не понадобится.
clariosan20 мая 2020

1

apple pay не юзаю, из дома не выхожу, gps не включаю, взлом пароля не страшен)
Артём Суровцев20 мая 2020

2

Частично решает проблему выключение опции “USB-аксессуары” в настройках пароля. Через час после последней разблокировки iPhone не будет распознавать подключаемые устройства.
alexmaru20 мая 2020

3

@covfefe, фигасе, а очередь на кол с пятницы тоже занимаете?

ssrg20 мая 2020

0

@alexmaru, и с вазелином ходит.
ну или как вариант, терпит без вазелина.
ssrg20 мая 2020

0

@covfefe, я бы на их месте, отмудохал бы, ненуачо? а вдрук ты террорист? и, ссука, картами не пользуешься, а всё в голове держишь. Отсутствие точки на карте не доказывает же, что ты закладку не ищешь, ведь правда же?

BersergVL20 мая 2020

0

@covfefe, плюсую. Качать права, только потому, что у тебя есть право качать права – накладно в итоге, да и глупо в большинстве случаев.
igorer20 мая 2020

0

Принесли как то iPhone 4 , забыли типа код блокировки , а на экране надпись следующий ввод пароля через 48 лет (только в часах), так что пробуйте за 22 часа снять 4-х значный код подбором :-)

hC20 мая 2020

0

@igorer, это просто глюк из-за слетевших часов по причине разряда в ноль батареи. На 4-4s это было нормой. Там пасскод снимается гораздо проще, не нужны такие дорогие коробки.
ars_p20 мая 2020

0

ПО Hide UI доступно клиентам Grayshift уже около года, однако о его существовании стало известно только сейчас. Во многом это связано с соглашением о неразглашении, подписываемым правоохранительными органами при закупке аппаратов GrayKey, предназначенных для взлома iPhone.

Сначала правоохранителям нужно незаметно установить ПО на целевое устройство и вернуть его владельцу (например, разрешив позвонить своему адвокату). Когда пользователь введет код для разблокировки, Hide UI запишет его в текстовом файле, извлечь который можно, подключив iPhone к GrayKey.

CrazyRabbit20 мая 2020

0

@ars_p, а как им без пароля на устройство что-то установить?

hC20 мая 2020

2

@ars_p, не надо ничего заранее устанавливать, коробка брутит всё быстро и так (за исключением буквенно-цифрового паса, о которм в посте как раз и говорится). Лицензия на коробку (включая оную) от 100к €, в зависимости от количества учтройств, которые вам надо вскрывать. Удаленный брут – от 10к
mal20 мая 2020

0

Давно такой )
Strong Tequila20 мая 2020

0

у меня вообще нету пароля и никакой блокировки

smbros20 мая 2020

0

@Strong Tequila, до первой потери/кражи. Когда придётся все пароли из заметок менять.

Alex318i21 мая 2020

0

@smbros, зачем хранить пароли в заметках??
e-ch20 мая 2020

0

Если бы я был на месте Apple и сливал данные, то только при условии неразглашения.
Если бы я был на месте ФБР, то не раскрывал бы секретов: набрутфорсили и всё!
ProtcessusVitelius20 мая 2020

3

@covfefe, запомните, никогда не говорите «запомните» там где вы опираетесь исключительно на личный бытовой опыт, требования предъявленные вам незаконны и опираются исключительно на концепцию «авось струхнет и решит что время/здоровье дороже», возможно в темном парке 1 на 1 с ментами не стоит бодаться, это вопрос чистого самосохранения, все таки контингент в полиции сегодня весьма неоднозначный, но если речь идет о публичном месте то ваше «запомните» не имеет никакого смысла, подробное изложение правовых последствий незаконного задержания(только не начинайте белиберду про бородатого Васю, который якобы похож на меня и разнарядку на него сделают он-лайн во время моего задержания) охладит любого копа, иначе говоря ваши проблемы от вашей юридической неграмотности просто на гражданском уровне
rsergio20 мая 2020

0

Перешел на буквенный пароль неделю назад – даже 6-ти значный как-то уже не вдохновлял. Во времена фейсайди и тачайди его приходится вводить очень редко, поэтому пусть будет надежным. И если вдруг iPhone вдруг захочет попросить код перед кассой, то мало кто поймет что я там ввел на клавиатуре, а 4 или 6 цифр могут запомнить и тогда вся защита идет насмарку. Вопрос не в органах, а те же друзья или родственники – кто-то любопытен, кто-то захочет подшутить…
Alex318i21 мая 2020

0

С маской вводить пароль приходится часто. ?
lu+21 мая 2020

0

кому вы нахрен нужны,у вас мания преследования
walkman0021 мая 2020

0

Я не помню цифры пароля. Я запомнил его “графический” набор :)
m01n22 мая 2020

0

“Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников.”

вот от главных воров в РФ все-таки и стоит прятать
xava23 мая 2020

0

Для ценителей privacy есть Librem 5 , если что)