Der richtige Passcode für iPhone und iPad - Leitfaden für Endanwender. Ideengeber für Unternehmen.
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicher mit Semmler:
Der richtige Passcode für iPhone und iPad
Leitfaden für Endanwender.
Ideengeber für Unternehmen.
Stand: 02.10.2013
Lizenz:
Das Team der Antago Antago GmbH | https:// www.antago.info 11.07.13
Was ist „Sicher mit Semmler“?
Wer kennt Mark Semmler nicht?
• Spätestens seit der Roadshow des
BVMW-Projekts [m]IT SICHERHEIT ist Mark
Semmler von der Antago GmbH vielen
Mitgliedern als kompetenter und praxisnaher
Spezialist in Sachen Informationssicherheit
bekannt.
• Unter dem Stichwort „Sicher mit Semmler“
erarbeitet Mark Semmler ganz konkrete
Sicherheitstipps und -anleitungen für kleine
und mittlere Unternehmen und stellt sie auf
der Homepage des BVMW kostenfrei zur
Verfügung.
Die Antago GmbH ist eine Know-how-Schmiede für Informationssicherheit.
Dieses Know-how stellen wir Ihnen erstmals online zur Verfügung. Unser
Wissen für Sie - 24/7 und nur einen Klick entfernt!
SIWIAN - das SIcherheits-WIki von ANtago bietet Ihnen Zugriff auf unser
Wissen zu Themen wie BYOD, Organisatorische Sicherheit, Kryptographie,
iPhone, Android, Cloud und vieles mehr.
Werfen Sie doch einen ersten Blick hinein!
Hier ist die Liste der öffentlich zugänglichen Seiten:
https://www.antago.info/siwian/
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 1 von 8
Heute: Der richtige Passcode
für iPhone und iPad
Der Passcode ist das erste Sicherheitsfeature von iOS, mit dem der Nutzer konfrontiert wird. An ihm scheiden sich die
Geister: Während im Namen der Sicherheit die Administratoren möglichst komplexe Passcodes erstrebenswert finden
und das Gerät am liebsten im Minutentakt sperren möchten, würden Nutzer häufig gerne komplett ohne unterwegs sein,
damit das Gerät stets dienstbereit ist und sie sich keine Passcodes merken (oder aufschreiben) müssen…
iOS stellt eine Menge Optionen zur Verfügung, mit denen die Komplexität des Passcodes, das Sperren des Gerätes und
viele weitere Sicherheitsaspekte (wie z.B. die Passwort-Historie) gesteuert werden können. Dabei sind nur wenige von
ihnen über die Oberfläche des Gerätes (siehe Artikel "Code-Sperre") erreichbar - um sämtliche Möglichkeiten zu nutzen,
führt kein Weg an der Definition eines Profils vorbei (siehe Artikel "Passcode").
Lassen Sie uns im folgenden Schritt für Schritt den richtigen Passcode für iPhone und iPad in Ihrem Unternehmen
ermitteln.
Die wichtigsten Empfehlungen haben wir eindeutig gekennzeichnet:
Empfehlung.
Dringende Empfehlung
Schritt 1: Entscheidung für den Passcode
Ob der Passcode zum Einsatz kommt und welche Eigenschaften er haben muss, hängt maßgeblich vom Einsatzzweck
des Gerätes und von den dort gespeicherten, übertragenen und verarbeiteten Daten ab - genauer ausgedrückt von den
Risiken, die im konkreten Fall durch den Passcode verringert und von denen, die durch ihn neu entstehen können 1. In der
Praxis ist ein Passcode in der Regel eine gute Idee, um den sofortigen Zugriff auf das Gerät und die dort gespeicherten
Daten zu verhindern, wenn es in fremde Hände fällt.
Schritt 2: Geräte vor Jailbreaks schützen
Damit der Passcode das Gerät schützen kann, müssen die Sicherheitsmechanismen von iOS aktiv sein. Das Aushebeln
der Sicherheitsmechanismen wird als Jailbreaking bezeichnet. Man unterscheidet dabei zwischen so genannten
„tehered“ und „untehered“ Jailbreaks.
Schutz vor tethered Jailbreaks
In älteren iOS-Geräten (iPad 1, iPhone 3GS, iPhone 4 sowie iPod Touch 3G und 4G) befindet sich ein sicherheitskritischer
Fehler, der nicht behoben werden kann (er befindet sich im ROM der Geräte). Er erlaubt es bei älteren Geräten einen so
genannten tehered Jailbreak („tethered“ = engl. für „angeleint“ oder „verkabelt“) durchzuführen. Dazu wird das Gerät in
1 ein Passcode auf einem Gerät in der Notaufnahme eines Krankenhauses ist denkbar ungünstig
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 2 von 8
den DFU-Modus versetzt, der Secure Boot Chain ausgehebelt und über den USB-Port ein modifiziertes iOS-System
gebootet (daher der Name „tethered“). Ein tethered Jailbreak ist unabhängig von der auf dem Gerät installierten
iOS-Version und kann durch einen Passcode nicht verhindert werden - alles was für die Durchführung eines tethered
Jailbreak benötigt wird, ist der physikalische Zugriff auf das System. Allerdings funktioniert er nur bei älteren Geräten.
Nach dem Booten eines entsprechend modifizierten Systems erhält der Angreifer umgehend Zugriff auf die im Klartext
auf dem Gerät gespeicherten Daten - darunter befinden sich auch sensible Informationen wie Bilder, Videos,
Applikationsdaten und sogar Passwörter bzw. Zertifikate. Seit iOS 4 hat Apple eine zusätzliche, dateibasierte
Verschlüsselung implementiert, die an den Passcode gebunden ist (siehe Artikel "Data Protection"), jedoch wird sie
sowohl von iOS als auch von den Apps viel zu selten genutzt.
Um einen tethered Jailbreak zu verhindern, dürfen die folgenden Geräte nicht mehr eingesetzt
werden:
• iPad 1
• iPhone 3GS und iPhone 4 sowie
• iPod Touch 3G und 4G
Lösen Sie diese Geräte gegen aktuellere Versionen ab.Dringende Empfehlung
Schutz vor untehered Jailbreaks
Untethered Jailbreaks nutzen (im Gegensatz zu thethered Jailbreaks) keine Sicherheitslücken in der Hardware, sondern
Verwundbarkeiten in iOS (die von Apple bald nach deren Veröffentlichung gestopft werden). Damit sind sie von der
verwendeten Hardware unabhängig, müssen jedoch für jede iOS-Version individuell erstellt werden. Bei der Installation
eines untethered Jailbreaks wird das auf dem Gerät befindliche System so modifiziert, dass es trotz Secure Boot Chain
und Code-Signing noch immer startet, aber das Sicherheitsmodell bei jedem Booten erneut ausgehebelt wird - das
Booten eines modifizierten Systems via USB(-Kabel) entfällt.
Um einen untethered Jailbreak zu installieren, ist mehr als nur der physikalische Zugang zum System notwendig. Die
Modifizierung des Systems setzt voraus, dass das Gerät entsperrt ist, also der Passcode zuvor erfolgreich eingegeben
wurde: aktuelle untethered Jailbreaks werden in aller Regel nur von den Nutzern selbst installiert.
Trotzdem können untethered Jailbreaks dazu führen, dass ein Angreifer den Passcode überwinden kann und sollten
neben vielen weiteren Gründen auch deshalb nicht in einem Unternehmen geduldet werden:
▪ Bei der Installation eines Jailbreaks wird in aller Regel das Löschen des Systems nach elf Fehleingaben des
Passcodes deaktiviert. Ein Angreifer kann somit beliebig oft versuchen, den Passcode eines gesperrten Gerätes
zu erraten.
▪ Im Zuge des Jailbreaks können Programme installiert werden, die das Gerät verwundbar machen, so z.B. ein
SSH- oder FTP-Server. Wenn der Nutzer die neu geschaffenen Zugänge nicht sorgfältig absichert, kann sie ein
Angreifer nutzen, um das Gerät zu betreten2.
Die Installation eines untethered Jailbreak kann nicht verhindert, sondern nur erschwert bzw. erkannt werden.
Um einen untethered Jailbreak zu erschweren bzw. zu erkennen, sollten die folgenden
Maßnahmen ergriffen werden:
• Jailbreaks erkennen (MDM-Lösung erforderlich)
• Aktualisieren von iOS auf die jeweils neueste Version (MDM-Lösung erforderlich).
• Verpflichten der Nutzer, kein Jailbreak durchzuführen.
• Information und Schulung der Nutzer zum Thema Sicherheit und Jailbreak.
2 2009 etwa tauchte ein Wurm für ungesicherte iOS-Geräte mit Jailbreak auf. Der Wurm baute eine Verbindung zum TCP-Port 22 -
dem SSH-Port - auf und versuchte administrativen Zugang zu erhalten, indem er sich als User “root“ mit dem Passwort “alpine“
anmeldete.
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 3 von 8
Schritt 3: Passcode erzwingen
Über die Profil-Option “Passcode → Mindestlänge des Codes“ kann die Vergabe eines Passcodes erzwungen
werden. Setzen Sie diese Option auf 1 oder größer (siehe weiter unten).
Schritt 4: Raten von Passcodes (weiter) begrenzen
Als besonderes Sicherheitsfeature verhindert iOS das Raten von Passcodes bei einem gesperrten Gerät, indem es nach
dem sechsten Fehlversuch steigende Wartezeiten zwischen den Versuchen einlegt. Darüber hinaus werden die Geräte
nach maximal 11 Fehlversuchen deaktiviert und dabei die gespeicherten Daten unbrauchbar gemacht, indem der
Schlüssel für die Datenpartition gelöscht und neu generiert werden (siehe Artikel Geräteverschlüsselung):
Dieses Verhalten lässt sich - obwohl dies die Oberfläche des Gerätes suggeriert - nicht abschalten. 3
Der Wert der maximalen Fehleingaben kann über die Profil-Option “Passcode → Maximale Anzahl von
Fehlversuchen“ bis auf vier und über die Oberfläche des Gerätes auf zehn Fehlversuche (Option “Allgemein →
Code-Sperre → Daten löschen“) verringert (aber niemals deaktiviert) werden.
Durch einen entsprechend niedrigen Wert werden die Möglichkeiten eines Angreifers den Passcode zu erraten, spürbar
verringert. Allerdings sollte der Wert nicht zu niedrig gewählt werden, da ansonsten das Gerät absichtlich (als grober
Scherz, wenn das Gerät kurz unbeaufsichtigt ist) oder unabsichtlich (weil sich der Nutzer mehrmals irrt) innerhalb einer
kurzen Zeit gelöscht werden kann.
Wir empfehlen folgende Werte:
Option Werte
“Passcode → Maximale Anzahl von Fehlversuchen“ 7..11
Schritt 5: Passcodes ausreichend komplex gestalten
Die Komplexität des Passcodes kann über die folgenden Profil-Optionen gesteuert werden:
▪ “Passcode → Einfache Werte erlauben“
▪ “Passocde → Alphanumerische Werte erforderlich“ und
▪ “Passcode → Mindestlänge des Codes“
▪ “Passcode → Mindestanzahl komplexer Zeichen“
Bei der Auswahl dieser Parameter muss ein umsichtiges Abwägen zwischen Sicherheitsgewinn und den dadurch
entstehenden Nachteilen stattfinden.
3 Dieses Verhalten wurde von uns getestet unter iOS 5.x und 6.1.x mit jeweils einem iPhone und einem iPad.
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 4 von 8
Sicherheitsgewinn Nachteile
▪ Komplexe Passcodes können nicht durch ▪ Benutzer vergessen komplexe Passcodes häufiger
einfaches Probieren erraten werden. als einfache.
▪ Komplexe Passcodes können schwerer als ▪ Die Eingabe komplexer Passwörter wird als
einfache ausgespäht werden. störend empfunden.
▪ Ausreichend komplexe Passcodes können nur ▪ Komplexe Passwörter werden häufiger
durch das systematische Ausprobieren aller aufgeschrieben (Schwachstelle!).
möglichen Passcodes (Brute Force) gebrochen
werden.
Komplexe Passcodes werden für den Nutzer zur Qual und stoßen deshalb schnell auf massiven
Widerstand. Dies gilt vor allem bei niedrigen Werten der Parameter “Automatische Sperre (max.)“
und “Maximale Tolerranzzeit für Gerätesperre“, da die Nutzer gezwungen werden komplexe
Passcodes immer und immer wieder einzugeben.
Abhängig von diesen Werten hat ein Angreifer die folgenden Erfolgsaussichten, wenn er versucht den Passcode eines
gesperrten Gerätes zu erraten:
Konfig 1 Konfig 2 Konfig 3 Konfig 4
Option “Maximale Anzahl von Fehlversuchen“ 11 … 7
Option “Einfache Werte erlauben“ nein
Option “Mindestanzahl komplexer Zeichen“ aus (−−)
Option “Alphanumerische Werte erforderlich“ nein ja
Option “Mindestlänge des Codes“ 4 5 6 4
Anzahl aller möglichen Passcodes (Schlüsselraum) 34304 240105 1680706 5904907
Wahrscheinlichkeit des Erratens bei 11 … 7 Versuchen 0,32% 0,046% 0,007% 0,0019%
… … … …
0,20% 0,029% 0,004% 0,0012%
Bei Wahrscheinlichkeiten unterhalb von 0,03% sollten die Sicherheitsansprüche der meisten Unternehmen an einen
Passcode erfüllt sein - dies ist die Wahrscheinlichkeit, bei ec-Karten die PIN-Nummer mit drei Versuchen zu erraten.
• Passcode dürfen nicht zu komplex gestaltet werden.
• Vier bis sechs Ziffern (keine Buchstaben, keine Sonderzeichen) sind in den allermeisten
Fällen mehr als ausreichend!
4 Da durch die Option Passcode → Einfache Werte erlauben keine aufsteigenden, absteigenden oder wiederholenden
Zahlenfolgen erlaubt sind, reduziert sich der Schlüsselraum auf 10*7*7*7 Elemente.
5 Da keine aufsteigenden, absteigenden oder wiederholenden Zahlenfolgen erlaubt sind, reduziert sich der Schlüsselraum auf
10*7*7*7*7 Elemente.
6 Da durch die Option Passcode → Einfache Werte erlauben keine aufsteigenden, absteigenden oder wiederholenden
Zahlenfolgen erlaubt sind, reduziert sich der Schlüsselraum auf 10*7*7*7*7*7 Elemente.
7 Bei der Berechnung sind nur jene 30 Zeichen auf der deutschen Tastatur des iPhone berücksichtigt, die ohne Umschalten
erreichbar sind. Da jedoch durch die Option Passcode → Einfache Werte erlauben keine aufsteigenden, absteigenden oder
wiederholenden Zeichenfolgen erlaubt sind, verringert sich die Zahl der möglichen Kombinationen auf 30*27*27*27.
Tastaturmuster werden durch die Option Passcode → Einfache Werte erlauben nicht erfasst.
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 5 von 8Die Möglichkeiten erhöhen sich für den Angreifer natürlich dramatisch, wenn er den Passcode attackieren kann, ohne
dass sich das Gerät nach (maximal) elf Fehlversuchen löscht. Voraussetzung dafür ist, dass die von iOS gesetzten
Sicherheitsmaßnahmen deaktiviert sind, also ein Jailbreak bereits erfolgreich durchgeführt wurde.
Schritt 6: Passcode bei Nichtbenutzung aktivieren
Das Sperren des Gerätes kann folgenden Profil-Optionen gesteuert werden:
▪ “Passcode → Automatische Sperre (max.)“ und
▪ “Passcode → Maximale Tolerranzzeit für Gerätesperre“
Folgende Punkte sollten beachtet werden:
• Die Zeit bis der Passcode zum Entsperren des Gerätes eingegeben werden muss, ist die
Summe beider Parameter (automatische Sperre + Toleranzzeit).
• Die Toleranzzeit für die Gerätesperre gilt auch dann, wenn der Nutzer das Gerät durch
den Druck auf den Ein/Aus-Schalter sperrt (Notsituation!).
Wie bei der Wahl der Komplexität des Passcodes ist auch hier Fingerspitzengefühl gefordert. Auf der einen Seite möchte
man das Gerät möglichst umfangreich schützen; auf der anderen Seite kann der Nutzer schnell gestört werden:
Sicherheitsgewinn Nachteile
▪ Schutz vor dem Ausspähen des Bildschirminhalts ▪ Abdunkeln des Bildschirms störend bei
Präsentationen und Kundengespräch
▪ Schutz vor unberechtigter Nutzung
▪ Das Entsperren des Gerätes erfordert Eingabe
des Passcodes.
▪ Das letzte Zeichen komplexer Passcodes wird im
Klartext angezeigt. Dadurch steigt die Gefahr,
dass der Passcode unberechtigten Personen
bekannt wird (Eingabe während einer
Präsentation!).
Die konkreten Werte beide Parameter sollten sich nach dem Einsatzgebiet des Gerätes und der Kultur im Unternehmen
richten. Bei Geräten mit einem geringen bis mittleren Schutzbedarf empfehlen wir die folgenden Einstellungen:
Option iPhone iPad (Präsentationen!)
“Automatische Sperre (max.)“ 5..10min 15min
“Maximale Tolerranzzeit für sofort (wenn die Möglichkeit einer sofort (wenn die Möglichkeit einer
Gerätesperre“ direkten Sperrung durch den direkten Sperrung durch den
Ein/Aus-Schalter gegeben sein soll) Ein/Aus-Schalter gegeben sein soll)
oder 2min oder 2min
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 6 von 8Schritt 7: Passcodes regelmäßig wechseln?
Über die Profil-Option “Passcode → Maximale Kennwortgültigkeit“ kann gesteuert werden, wie häufig der
Nutzer sein Passcode ändern muss. Entgegen des Bauchgefühls ist das regelmäßige Ändern des Passcodes kein
wesentlicher Sicherheitsgewinn, sondern hilft nur in sehr speziellen Fällen:
Sicherheitsgewinn Nachteile
Ein ausgespähter oder erratener Passcode kann nur einen Ein (häufiger) Wechsel der Passcodes führt zu Unmut beim
begrenzten Zeitraum hinweg von einem Angreifer Nutzer und erhöht die Gefahr, dass einfache oder nach
missbraucht werden. einem Muster aufgebaute Passcodes verwendet werden
oder dass der Nutzer die Passcodes aufschreibt.
Objektiv gesehen ist der häufige Wechsel des Passcodes bei mobilen Geräten nur in Ausnahmefällen selten sinnvoll. Bei
Geräten mit einem geringen bis mittleren Schutzbedarf empfehlen wir die folgenden Einstellungen:
Option iPhone/iPad
“Maximale Kennwortgültigkeit“ mindestens 180 Tage, besser 365 Tage oder gar nicht
nutzen
• Wichtiger als der regelmäßige Wechsel des Passcodes ist der bedarfsorientierte Wechsel.
Ein Passcode sollte vom Nutzer gewechselt werden, wenn die Gefahr besteht, dass er
ausgespäht wurde (z.B. wenn er bei einer Präsentation über den Beamer geflimmert ist).
Der Nutzer muss für den bedarfsorientierten Wechsel des Passcodes sensibilisiert
werden.
• Darüber hinaus muss darauf geachtet werden, dass der Passcode auf dem mobilen Gerät
exklusiv verwendet wird, um den Schaden eines ausgespähten Passcodes zu minimieren.
Schritt 8: Passwort-Historie führen
Über die Profil-Option “Passcode → Codeverlauf“ kann gesteuert werden, ob ein Nutzer eines seiner letzten
Passwörter wiederverwenden darf und wie weit die Historie der gesperrten Passwörter zurück reicht.
Sicherheitsgewinn Nachteile
Der Parameter verhindert, dass der Nutzer einige wenige Das Erzwingen von immer neuen Passcodes kann dazu
Standard-Passcodes immer wieder nutzt. führen, dass einfache oder nach einem Muster aufgebaute
Passcodes verwendet werden oder dass der Nutzer die
Passcodes aufschreibt.
Die Passwort-Historie ist generell sinnvoll, um den Nutzer für die Wahl von guten Passcodes zu sensibilisieren und zu
verhindern dass ein ausgespähter Passcode plötzlich wieder verwendet werden kann.
Option iPhone/iPad
“Passcode → Codeverlauf“ 10 oder höher
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 7 von 8Schritt 9: Nutzer informieren und schulen!
Es sollte eigentlich eine Selbstverständlichkeit sein, allerdings kann man es nicht oft genuig wiederholen: Schulen Sie
Ihre Nutzer! Informieren Sie die Nutzer und werben Sie offensiv um Verständnis für die getroffenen
Sicherheitsmaßnahmen. Erläutern Sie dabei in klar verständlichen und vor allem praxisnahen Worten, was vom Nutzer
erwartet wird und vor allem warum.
Die Sicherheit des Passcodes hängt maßgeblich von der Akzeptanz und von
der Schulung der Nutzer ab.
© 2013 Antago GmbH | E-Mail. sicherheit@antago.info | Web: https://www.antago.info Seite 8 von 8So kontaktieren Sie uns
Antago: Sicherheit ist Einfach.
Das Team der Antago Antago GmbH | https:// www.antago.info 11.07.13Unsere Kontaktdaten – wir freuen uns auf Sie!
Sie haben Fragen? Sie benötigen weitere Informationen oder
ein unverbindliches Angebot? Wir freuen uns auf Sie!
Antago GmbH
Heinrichstr. 10
D 64283 Darmstadt
Internet: https://www.antago.info
Phone: +49 6151 428568 0
Fax: +49 6151 428568 1
E-Mail: sicherheit[at]antago.info
Das Team der Antago Antago GmbH | https:// www.antago.info 11.07.13Das Team der Antago Antago GmbH | https:// www.antago.info 11.07.13
Das Team der Antago Antago GmbH | https:// www.antago.info 11.07.13
Sie können auch lesen
