Вы не говорите пароль от iPhone незнакомым людям точно так же, как скрываете пин-код своей банковской карты.
Но что, если я скажу, что ваш пароль от айфона можно угадать всего за несколько часов? Возможно, даже минут.
Это не секрет, а банальная математика. Её давно превратили в оружие против тех, кто не может или не хочет добровольно отдать код блокировки смартфона.
Но математика работает в обе стороны, и поэтому у такого оружия есть одно слабое место: время.
Я предлагаю каждому из вас сменить пароль блокировки на такой, который не удастся подобрать никому за всю жизнь.
Почему пароль от iPhone – горячая тема в СМИ
Фото террориста, устроившего стрельбу в декабре 2015 года в Сан-Бернардино, штат Калифорния
Который год ФБР воюет с Apple, требуя предоставить службам безопасности США готовое решение для взлома любой современной модели iPhone и iPad.
Apple не поддаётся, потому что появление таких решений рано или поздно станет достоянием не только других государств, но и злоумышленников. Несложно представить, что будет дальше.
История вокруг двух запароленных айфонов террориста-стрелка тянется четыре года, в ней неоднократно участвовал президент США Дональд Трамп. Конфликт подогревается желанием ФБР как можно сильнее и публичнее надавить на компанию в политических целях.
Других причин нет, потому что как минимум к одному из устройств они получили доступ ещё в 2016 году. И сегодня ночью выяснилось, каким образом им это удалось.
Способ оказался старым, как мир: они просто подобрали пароль случайным образом через генератор.
Оставим за бортом вопрос морали, в котором можно найти аргументы за позиции и ФБР, и Apple. Я хочу обратить ваше внимание на другое – на пароль блокировки конкретно вашего iPhone.
Каким образом защищается пароль и личные данные в iPhone, iPad и Mac
При активации iPhone каждому владельцу предлагается установить пароль блокировки. Это обязательное условие для работы многих функций: от Touch ID и Face ID до оплаты покупок через Apple Pay.
Изначально iOS предлагала установить четырёхзначный цифровой код-пароль, а начиная с iOS 9 – уже 6-значный. Разбуди вас в 4 утра, вы наизусть продиктуете эти цифры, настолько они важны.
Пароль блокировки играет ключевую роль в защите iPhone: он хранится в зашифрованном виде в специальном сопроцессоре безопасности под названием Secure Enclave, появившемся во всех устройствах, начиная с iPhone 5S. Почти каждое обращение за личными данными в iOS проходит через сопроцессор, и в немалой степени благодаря ему гаджеты Apple считаются высоко защищёнными.
iPhone 5S, первый смартфон Apple с Touch ID и Secure Enclave. Фото из нашего обзора, 2013 год.
Secure Enclave отвечает за привязку датчиков Face ID и Touch ID к процессору устройства, поэтому те перестают работать, если подменить либо материнскую плату, либо сами датчики. А последние два года он работает и в MacBook, так как лежит в основе чипа T2.
До сих пор не существует метода прямого взлома системы Secure Enclave. Векторы атаки задействуют уязвимости других систем и железа. Сопроцессор безопасности же остаётся непобеждённым, чем Apple заслуженно гордится.
Но Secure Enclave бессилен, если злоумышленник или сотрудник правоохранительных органов каким-то образом угадает, узнает пароль владельца устройства. В том числе, если пароль подберут через генератор, как и вышло в случае с ФБР.
Процедура перебора пароля автоматизирована, называется “брутфорс”, и в ней почти всегда используются внешние устройства-генераторы. Стоимость таких для государственных служб колеблется от 5 до 20 тысяч долларов.
Почему вам нужно отказаться от цифрового пароля на iPhone
Сотрудник ФБР использует брутфорс-систему GrayKey. Она в серой коробочке на столе.
При брутфорсе через генераторы, сопроцессор Secure Enclave в iPhone и чипе T2 принимает по одному паролю каждые 80 миллисекунд, что превращается в 12,5 попыток в секунду.
Это делают не вручную, а через устройства, подобные системе GrayKey на фото выше.
Итак, представим, что…
▹ У вас стоит 4-значный цифровой код блокировки iPhone. Он был стандартным до релиза iOS 9, некоторые пользуются таким до сих пор.
На подбор такого пароля уйдёт всего… 14 минут. Это абсолютный максимум, в большинстве случаев на это уходит не больше 8 минут.
Окей, но у большинства всё-таки 6-значный код-пароль, верно? Спешу разочаровать…
▹ У вас стоит 6-значный цифровой код. Именно его настойчиво предлагает установить iOS при первичной настройке.
На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.
Повторюсь, это не типичный взлом, а банальный перебор вариантов. Они математически ограничены: 10 цифр, 6 позиций на каждую. 10 в шестой степени равняется ровно 1 миллиону вариантов цифрового пароля. Это лучше, чем 4-значный цифровой код, в котором может быть лишь 10 тысяч уникальных комбинаций.
Остаётся последний вариант.
▸ У вас 6-значный цифро-буквенный пароль. Эта опция есть при установке пароля на iPhone, но её нужно выбирать вручную.
На подбор такого кода уйдёт… 72 года. ГОДА.
Если же в парольной фразе будут использоваться символы (вроде !, @ и так далее), а сама она будет длиннее 6 символов, то в прямом смысле жизни не хватит, чтобы добыть ваш пароль через брутфорс.
Теперь понимаете, к чему я клоню?
Поменяйте пароль на iPhone с цифрового на цифро-буквенный
Сделать это можно двумя способами.
1. Если у вас уже стоит пароль блокировки, зайдите в Настройки -> Face ID и код-пароль (Touch ID и код-пароль) -> Сменить код-пароль.
Когда система запросит новую парольную фразу, выберите пункт Параметры код-пароля. В открывшемся списке нажмите на Произвольный код (буквы + цифры).
Запомните наизусть то, что введёте далее. Крайне желательно использовать уникальное сочетание букв и цифр, не повторяющееся с паролем от какого-нибудь сервиса в интернете или от Mac.
2. Если вы проходите процедуру первичной активации iOS, то на экране ввода нажмите на Параметры код-пароля и там выберите Произвольный код (буквы + цифры).
Единственным неудобством такого пароля, кроме забывчивости, будет увеличившееся время его ввода. Но с учётом почти поголовного наличия Touch ID и Face ID, вводить этот усложнившийся пароль вам придётся редко.
Добавив в пароль один-два символа, вы сделаете его подбор абсолютно бессмысленным и защитите устройство от брутфорса. Так что 6-значный цифровой пароль, давай до свидания.
P.S. Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников. Так спокойнее.
(56 голосов, общий рейтинг: 4.64 из 5)
Никита Горяинов
@ngoryainovГлавный редактор iPhones.ru. Спасибо, что читаете нас. Есть вопрос, предложение или что-то интересное? Пишите на [email protected].
50 комментариев
Форум →Почему же его не вскрыли за 11 минут или хотя бы 22 часа, а?
“На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.”
Што? После 5-ти неправильных вводов, нужно будет ввести уже пароль от учетки. И по кабелю подбирают именно пароль от учетки, а не пароль разблокировки. Так что ерунды не пишите.
И вообще, как-то я сомневаюсь что фотографии моего кота и 10000 рублей на карте заинтересуют ФБР.
Если бы всё было так просто, никакого GrayKey бы не существовало.
Но всё не так просто.
По кабелю подбирается не пароль учётки, а пароль блокировки устройства.
@Никита Горяинов, Под этим устройством имеется в виду GrayKey, упоминания про которое датируются 2018 годом. Когда как раз Эппл и выпустила заплатку от перебора паролей по кабелю. А после этого, все упоминания носят единичный характер. И доподлинно известно только о вскрытии одного айфона и то без доказательств. Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься. И нам уж точно не стоит переживать по этому поводу.
Прямых доказательств нет и вряд ли будет, но то, что GrayKey по-прежнему актуальна, а Grayshift даже позволяет себе поднимать цену ежегодных лицензий использования – факт.
@Никита Горяинов, Ну это не факт, а скорее домыслы.
@FiLunder_7, «Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься»
…..
в кремлевской системе пропаганды редко придумывают что то свое, поэтому часто занимаются простейшим плагиатом, факт с массовыми распилами в РФ пытаются транслировать на США
@ProtcessusVitelius, Наши распилы по масштабам даже рядом с распилами США не стояли. Если вы думаете что где-то иначе, я вас разочарую. Везде одно и то же.
@Никита Горяинов, а если вкл Erase all data on this iPhone after ten passcode attempts?
GrayKey ломает конкретно это условие (оно не связано с Secure Enclave), поэтому после 10 попыток удаления не будет. Не будет и увеличения промежутка времени между попытками.
@Никита Горяинов, не знал, спасибо!
@Никита Горяинов, в москве есть подпольные конторы, которые взламывают айофоны. Вся эта история с ФБР и надежностью айфона , только пиар. Не нужно вестись на эту чушь.
А как же время ожидания после каждого неправильного ввода пароля?
GrayKey обходит конкретно это ограничение, увы.
@Никита Горяинов, Это не так. Точнее этому нет доказательств.
То, что устройство успешно используется для этих целей до сих пор (ему надо продлевать лицензию каждый год!), можно считать как доказательство. В противном случае оно бы вообще не работало, айфоны бы просто лочились на 100 лет после нескольких попыток.
В любом случае, повышенную защищенность цифро-буквенного пароля от брутфорса это не отменяет.
@Никита Горяинов, как айтишник, понимающий в сертификатах и прочей защите данных, скажу: невозможно взломать айфон, только если сами Apple не дадут апиху цру/фбр/васе. Все это фигня полная для запугивания.
@Никита Горяинов, У нас тоже много чего продают и покупают на гос. закупках, только это совсем не значит что все что там покупают – работает. Если бы эта хрень работала, ФБР не обращались бы в Эппл с требованием разблокировать айфон, и не подавали бы на них в суд.
@FiLunder_7, вроде как техника там такая: девайс копирует рам телефона в виртуалку, в вируалке он вводит пароль, после ошибки откатывает ром в предыдущее состояние(до ввода неправильного пароля),пробует следующий.
@FiLunder_7, грейкей от грейшифт продают официально свои коробки или ломают пасс удаленно, цена коробки с лицензией очень недешевая, но ломка отдельного устройства удаленно в районн 10к усд. Всё есть и всё работает как надо.
@hC, ПРодаёт официально ≠ работает. Вспоминаем детекторы взрывчатки, которые не работали, но при этом армия США их закупала. Это скорее всего попил бабла, так как если бы эта хрень работала, во-первых было бы больше случаев разблокирования, во-вторых ФБР не подали бы недавно в суд на Эппл, из-за отказа разблокировать айфон преступника.
@FiLunder_7, всё там норм. Контора израильская. Работают очень давно. Фбр в суд на Эпл это всё игры разума, которые затихли так же скромно как и начались. Обладаю коробкой, которая работает до 11.0.1, лицензия не продлена. Куплена на Ебее, когда по причине закончившихся лицензий их выкинули в продажу многие конторы. Было около 100 лотов, но продажи Грейкея на Ебее завернули в течении полутора недель (по понятным причинам и известно кто), как говорится кто не успел тот опоздал.
А почему вдруг забыли про USB Restrictive Mode?
В 2018 году была информация, что конкретно его уже обошли.
@Никита Горяинов, судя по тексту это были только слова, возможно блеф.
если выбрать установку цифро-буквенного пароля, но использовать только цифры, то при разблокировке будет появляться клавиатура только с цифрами, но при этом не будет видно сколько символов установлено 4, 6, 8 или 128. это еще сильнее усложнит подбор пароля.
@covfefe, даже у тех, кого нет в живых, есть отпечаток пальца и лицо. Первые сутки и пароль не понадобится.
apple pay не юзаю, из дома не выхожу, gps не включаю, взлом пароля не страшен)
Частично решает проблему выключение опции “USB-аксессуары” в настройках пароля. Через час после последней разблокировки iPhone не будет распознавать подключаемые устройства.
@covfefe, фигасе, а очередь на кол с пятницы тоже занимаете?
@alexmaru, и с вазелином ходит.
ну или как вариант, терпит без вазелина.
@covfefe, я бы на их месте, отмудохал бы, ненуачо? а вдрук ты террорист? и, ссука, картами не пользуешься, а всё в голове держишь. Отсутствие точки на карте не доказывает же, что ты закладку не ищешь, ведь правда же?
@covfefe, плюсую. Качать права, только потому, что у тебя есть право качать права – накладно в итоге, да и глупо в большинстве случаев.
Принесли как то iPhone 4 , забыли типа код блокировки , а на экране надпись следующий ввод пароля через 48 лет (только в часах), так что пробуйте за 22 часа снять 4-х значный код подбором :-)
@igorer, это просто глюк из-за слетевших часов по причине разряда в ноль батареи. На 4-4s это было нормой. Там пасскод снимается гораздо проще, не нужны такие дорогие коробки.
ПО Hide UI доступно клиентам Grayshift уже около года, однако о его существовании стало известно только сейчас. Во многом это связано с соглашением о неразглашении, подписываемым правоохранительными органами при закупке аппаратов GrayKey, предназначенных для взлома iPhone.
Сначала правоохранителям нужно незаметно установить ПО на целевое устройство и вернуть его владельцу (например, разрешив позвонить своему адвокату). Когда пользователь введет код для разблокировки, Hide UI запишет его в текстовом файле, извлечь который можно, подключив iPhone к GrayKey.
@ars_p, а как им без пароля на устройство что-то установить?
@ars_p, не надо ничего заранее устанавливать, коробка брутит всё быстро и так (за исключением буквенно-цифрового паса, о которм в посте как раз и говорится). Лицензия на коробку (включая оную) от 100к €, в зависимости от количества учтройств, которые вам надо вскрывать. Удаленный брут – от 10к
Давно такой )
у меня вообще нету пароля и никакой блокировки
@Strong Tequila, до первой потери/кражи. Когда придётся все пароли из заметок менять.
@smbros, зачем хранить пароли в заметках??
Если бы я был на месте Apple и сливал данные, то только при условии неразглашения.
Если бы я был на месте ФБР, то не раскрывал бы секретов: набрутфорсили и всё!
@covfefe, запомните, никогда не говорите «запомните» там где вы опираетесь исключительно на личный бытовой опыт, требования предъявленные вам незаконны и опираются исключительно на концепцию «авось струхнет и решит что время/здоровье дороже», возможно в темном парке 1 на 1 с ментами не стоит бодаться, это вопрос чистого самосохранения, все таки контингент в полиции сегодня весьма неоднозначный, но если речь идет о публичном месте то ваше «запомните» не имеет никакого смысла, подробное изложение правовых последствий незаконного задержания(только не начинайте белиберду про бородатого Васю, который якобы похож на меня и разнарядку на него сделают он-лайн во время моего задержания) охладит любого копа, иначе говоря ваши проблемы от вашей юридической неграмотности просто на гражданском уровне
Перешел на буквенный пароль неделю назад – даже 6-ти значный как-то уже не вдохновлял. Во времена фейсайди и тачайди его приходится вводить очень редко, поэтому пусть будет надежным. И если вдруг iPhone вдруг захочет попросить код перед кассой, то мало кто поймет что я там ввел на клавиатуре, а 4 или 6 цифр могут запомнить и тогда вся защита идет насмарку. Вопрос не в органах, а те же друзья или родственники – кто-то любопытен, кто-то захочет подшутить…
С маской вводить пароль приходится часто. ?
кому вы нахрен нужны,у вас мания преследования
Я не помню цифры пароля. Я запомнил его “графический” набор :)
“Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников.”
вот от главных воров в РФ все-таки и стоит прятать
Для ценителей privacy есть Librem 5 , если что)
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как созвониться по FaceTime с пользователями Android или Windows
Можно ли использовать Apple Pencil на iPhone?
Как на iPhone заблокировать входящие вызовы с неизвестных номеров
Как отключить автоматическое воспроизведение роликов YouTube в iPhone
Почему умные розетки и выключатели с HomeKit иногда недоступны в приложении Дом
Почему iTunes на Windows-компьютере не видит iPhone
Почему на iPhone не работает распознавание текста Live Text
Как отобразить на экране iPhone регион звонящего?