Советую всем поменять пароль блокировки iPhone

Никита Горяинов avatar | 53
FavoriteLoading В закладки
Советую всем поменять пароль блокировки iPhone

Вы не говорите пароль от iPhone незнакомым людям точно так же, как скрываете пин-код своей банковской карты.

Но что, если я скажу, что ваш пароль от айфона можно угадать всего за несколько часов? Возможно, даже минут.

Это не секрет, а банальная математика. Её давно превратили в оружие против тех, кто не может или не хочет добровольно отдать код блокировки смартфона.

Но математика работает в обе стороны, и поэтому у такого оружия есть одно слабое место: время.

Я предлагаю каждому из вас сменить пароль блокировки на такой, который не удастся подобрать никому за всю жизнь.

Почему пароль от iPhone – горячая тема в СМИ


Фото террориста, устроившего стрельбу в декабре 2015 года в Сан-Бернардино, штат Калифорния

Который год ФБР воюет с Apple, требуя предоставить службам безопасности США готовое решение для взлома любой современной модели iPhone и iPad.

Apple не поддаётся, потому что появление таких решений рано или поздно станет достоянием не только других государств, но и злоумышленников. Несложно представить, что будет дальше.

История вокруг двух запароленных айфонов террориста-стрелка тянется четыре года, в ней неоднократно участвовал президент США Дональд Трамп. Конфликт подогревается желанием ФБР как можно сильнее и публичнее надавить на компанию в политических целях.

Других причин нет, потому что как минимум к одному из устройств они получили доступ ещё в 2016 году. И сегодня ночью выяснилось, каким образом им это удалось.

Способ оказался старым, как мир: они просто подобрали пароль случайным образом через генератор.

Оставим за бортом вопрос морали, в котором можно найти аргументы за позиции и ФБР, и Apple. Я хочу обратить ваше внимание на другое – на пароль блокировки конкретно вашего iPhone.

Каким образом защищается пароль и личные данные в iPhone, iPad и Mac

При активации iPhone каждому владельцу предлагается установить пароль блокировки. Это обязательное условие для работы многих функций: от Touch ID и Face ID до оплаты покупок через Apple Pay.

Изначально iOS предлагала установить четырёхзначный цифровой код-пароль, а начиная с iOS 9 – уже 6-значный. Разбуди вас в 4 утра, вы наизусть продиктуете эти цифры, настолько они важны.

Пароль блокировки играет ключевую роль в защите iPhone: он хранится в зашифрованном виде в специальном сопроцессоре безопасности под названием Secure Enclave, появившемся во всех устройствах, начиная с iPhone 5S. Почти каждое обращение за личными данными в iOS проходит через сопроцессор, и в немалой степени благодаря ему гаджеты Apple считаются высоко защищёнными.


iPhone 5S, первый смартфон Apple с Touch ID и Secure Enclave. Фото из нашего обзора, 2013 год.

Secure Enclave отвечает за привязку датчиков Face ID и Touch ID к процессору устройства, поэтому те перестают работать, если подменить либо материнскую плату, либо сами датчики. А последние два года он работает и в MacBook, так как лежит в основе чипа T2.

До сих пор не существует метода прямого взлома системы Secure Enclave. Векторы атаки задействуют уязвимости других систем и железа. Сопроцессор безопасности же остаётся непобеждённым, чем Apple заслуженно гордится.

Но Secure Enclave бессилен, если злоумышленник или сотрудник правоохранительных органов каким-то образом угадает, узнает пароль владельца устройства. В том числе, если пароль подберут через генератор, как и вышло в случае с ФБР.

Процедура перебора пароля автоматизирована, называется “брутфорс”, и в ней почти всегда используются внешние устройства-генераторы. Стоимость таких для государственных служб колеблется от 5 до 20 тысяч долларов.

Почему вам нужно отказаться от цифрового пароля на iPhone


Сотрудник ФБР использует брутфорс-систему GrayKey. Она в серой коробочке на столе.

При брутфорсе через генераторы, сопроцессор Secure Enclave в iPhone и чипе T2 принимает по одному паролю каждые 80 миллисекунд, что превращается в 12,5 попыток в секунду.

Это делают не вручную, а через устройства, подобные системе GrayKey на фото выше.

Итак, представим, что…

У вас стоит 4-значный цифровой код блокировки iPhone. Он был стандартным до релиза iOS 9, некоторые пользуются таким до сих пор.

На подбор такого пароля уйдёт всего… 14 минут. Это абсолютный максимум, в большинстве случаев на это уходит не больше 8 минут.

Окей, но у большинства всё-таки 6-значный код-пароль, верно? Спешу разочаровать…

У вас стоит 6-значный цифровой код. Именно его настойчиво предлагает установить iOS при первичной настройке.

На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.

Повторюсь, это не типичный взлом, а банальный перебор вариантов. Они математически ограничены: 10 цифр, 6 позиций на каждую. 10 в шестой степени равняется ровно 1 миллиону вариантов цифрового пароля. Это лучше, чем 4-значный цифровой код, в котором может быть лишь 10 тысяч уникальных комбинаций.

Остаётся последний вариант.

У вас 6-значный цифро-буквенный пароль. Эта опция есть при установке пароля на iPhone, но её нужно выбирать вручную.

На подбор такого кода уйдёт… 72 года. ГОДА.

Если же в парольной фразе будут использоваться символы (вроде !, @ и так далее), а сама она будет длиннее 6 символов, то в прямом смысле жизни не хватит, чтобы добыть ваш пароль через брутфорс.

Теперь понимаете, к чему я клоню?

Поменяйте пароль на iPhone с цифрового на цифро-буквенный

Сделать это можно двумя способами.

1. Если у вас уже стоит пароль блокировки, зайдите в Настройки -> Face ID и код-пароль (Touch ID и код-пароль) -> Сменить код-пароль.

Когда система запросит новую парольную фразу, выберите пункт Параметры код-пароля. В открывшемся списке нажмите на Произвольный код (буквы + цифры).

Запомните наизусть то, что введёте далее. Крайне желательно использовать уникальное сочетание букв и цифр, не повторяющееся с паролем от какого-нибудь сервиса в интернете или от Mac.

2. Если вы проходите процедуру первичной активации iOS, то на экране ввода нажмите на Параметры код-пароля и там выберите Произвольный код (буквы + цифры).

Единственным неудобством такого пароля, кроме забывчивости, будет увеличившееся время его ввода. Но с учётом почти поголовного наличия Touch ID и Face ID, вводить этот усложнившийся пароль вам придётся редко.

Добавив в пароль один-два символа, вы сделаете его подбор абсолютно бессмысленным и защитите устройство от брутфорса. Так что 6-значный цифровой пароль, давай до свидания.

P.S. Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников. Так спокойнее.

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (4.70 из 5, оценили: 46)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Ваш слишком легко взломать.
Прокомментировать

🙈 Комментарии 53

  1. Mavpa avatar
    Mavpa20 мая в 11:10
    12

    Почему же его не вскрыли за 11 минут или хотя бы 22 часа, а?

  2. FiLunder_7 avatar
    FiLunder_720 мая в 11:13
    14

    “На подбор этого кода уходит… 22 часа. Максимум. В среднем – 11 часов.”

    Што? После 5-ти неправильных вводов, нужно будет ввести уже пароль от учетки. И по кабелю подбирают именно пароль от учетки, а не пароль разблокировки. Так что ерунды не пишите.

    И вообще, как-то я сомневаюсь что фотографии моего кота и 10000 рублей на карте заинтересуют ФБР.

    Никита Горяинов avatar
    3

    Если бы всё было так просто, никакого GrayKey бы не существовало.

    Но всё не так просто.

    По кабелю подбирается не пароль учётки, а пароль блокировки устройства.

    FiLunder_7 avatar
    FiLunder_720 мая в 12:01
    1

    @Никита Горяинов, Под этим устройством имеется в виду GrayKey, упоминания про которое датируются 2018 годом. Когда как раз Эппл и выпустила заплатку от перебора паролей по кабелю. А после этого, все упоминания носят единичный характер. И доподлинно известно только о вскрытии одного айфона и то без доказательств. Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься. И нам уж точно не стоит переживать по этому поводу.

    Никита Горяинов avatar
    2

    Прямых доказательств нет и вряд ли будет, но то, что GrayKey по-прежнему актуальна, а Grayshift даже позволяет себе поднимать цену ежегодных лицензий использования – факт.

    FiLunder_7 avatar
    FiLunder_720 мая в 14:16
    0

    @Никита Горяинов, Ну это не факт, а скорее домыслы.

    ProtcessusVitelius avatar
    ProtcessusVitelius20 мая в 19:29
    0

    @FiLunder_7, «Так что все это больше похоже на государственный распил средств, чем в США тоже очень любят заниматься»
    …..
    в кремлевской системе пропаганды редко придумывают что то свое, поэтому часто занимаются простейшим плагиатом, факт с массовыми распилами в РФ пытаются транслировать на США

    FiLunder_7 avatar
    FiLunder_720 мая в 19:31
    6

    @ProtcessusVitelius, Наши распилы по масштабам даже рядом с распилами США не стояли. Если вы думаете что где-то иначе, я вас разочарую. Везде одно и то же.

    fimoz avatar
    fimoz20 мая в 12:15
    1

    @Никита Горяинов, а если вкл Erase all data on this iPhone after ten passcode attempts?

    Никита Горяинов avatar
    1

    GrayKey ломает конкретно это условие (оно не связано с Secure Enclave), поэтому после 10 попыток удаления не будет. Не будет и увеличения промежутка времени между попытками.

    fimoz avatar
    fimoz20 мая в 13:26
    0

    @Никита Горяинов, не знал, спасибо!

    FedorS avatar
    FedorS21 мая в 11:13
    0

    @Никита Горяинов, в москве есть подпольные конторы, которые взламывают айофоны. Вся эта история с ФБР и надежностью айфона , только пиар. Не нужно вестись на эту чушь.

  3. iWolf avatar
    iWolf20 мая в 11:18
    0

    А как же время ожидания после каждого неправильного ввода пароля?

    Никита Горяинов avatar
    2

    GrayKey обходит конкретно это ограничение, увы.

    FiLunder_7 avatar
    FiLunder_720 мая в 12:02
    2

    @Никита Горяинов, Это не так. Точнее этому нет доказательств.

    Никита Горяинов avatar
    2

    То, что устройство успешно используется для этих целей до сих пор (ему надо продлевать лицензию каждый год!), можно считать как доказательство. В противном случае оно бы вообще не работало, айфоны бы просто лочились на 100 лет после нескольких попыток.

    В любом случае, повышенную защищенность цифро-буквенного пароля от брутфорса это не отменяет.

    Mr. Cat avatar
    Mr. Cat20 мая в 13:05
    4

    @Никита Горяинов, как айтишник, понимающий в сертификатах и прочей защите данных, скажу: невозможно взломать айфон, только если сами Apple не дадут апиху цру/фбр/васе. Все это фигня полная для запугивания.

    FiLunder_7 avatar
    FiLunder_720 мая в 14:18
    1

    @Никита Горяинов, У нас тоже много чего продают и покупают на гос. закупках, только это совсем не значит что все что там покупают – работает. Если бы эта хрень работала, ФБР не обращались бы в Эппл с требованием разблокировать айфон, и не подавали бы на них в суд.

    Petrov196720 мая в 12:23
    0

    @FiLunder_7, вроде как техника там такая: девайс копирует рам телефона в виртуалку, в вируалке он вводит пароль, после ошибки откатывает ром в предыдущее состояние(до ввода неправильного пароля),пробует следующий.

    hC20 мая в 14:05
    1

    @FiLunder_7, грейкей от грейшифт продают официально свои коробки или ломают пасс удаленно, цена коробки с лицензией очень недешевая, но ломка отдельного устройства удаленно в районн 10к усд. Всё есть и всё работает как надо.

    FiLunder_7 avatar
    FiLunder_720 мая в 14:14
    0

    @hC, ПРодаёт официально ≠ работает. Вспоминаем детекторы взрывчатки, которые не работали, но при этом армия США их закупала. Это скорее всего попил бабла, так как если бы эта хрень работала, во-первых было бы больше случаев разблокирования, во-вторых ФБР не подали бы недавно в суд на Эппл, из-за отказа разблокировать айфон преступника.

    hC20 мая в 15:27
    1

    @FiLunder_7, всё там норм. Контора израильская. Работают очень давно. Фбр в суд на Эпл это всё игры разума, которые затихли так же скромно как и начались. Обладаю коробкой, которая работает до 11.0.1, лицензия не продлена. Куплена на Ебее, когда по причине закончившихся лицензий их выкинули в продажу многие конторы. Было около 100 лотов, но продажи Грейкея на Ебее завернули в течении полутора недель (по понятным причинам и известно кто), как говорится кто не успел тот опоздал.

  4. covfefe avatar
    covfefe20 мая в 11:23
    6

    Функция актуальна если вас нет в живых, как говорится пусть мудохаются, но если вы живы и совершили преступление полиция без всякой навороченной техники из вас этот пароль за пол часа выбьет 😂 как-то раз гулял вечером по парку, подошли двое полицейских попросили показать галерею и карты, думали что ищу закладки, я человек не гордый пусть смотрят, в итоге все норм, развернулись и пошли дальше без скандалов и выяснения отношений, так вот попробовал бы я отказать, минимум поехал бы в отделение. Запомните, наша безопасность и конфиденциальность заканчивается ровно там, где начинаются интересы полиции.

    Артём Суровцев avatar
    Артём Суровцев20 мая в 11:38
    1

    @covfefe, даже у тех, кого нет в живых, есть отпечаток пальца и лицо. Первые сутки и пароль не понадобится.

    alexmaru avatar
    alexmaru20 мая в 11:47
    3

    @covfefe, фигасе, а очередь на кол с пятницы тоже занимаете?

    covfefe avatar
    covfefe20 мая в 11:54
    1

    @alexmaru, что тебя так смутило? Нравится нам это или нет – они делают свою работу.

    ssrg avatar
    ssrg20 мая в 12:19
    0

    @alexmaru, и с вазелином ходит.
    ну или как вариант, терпит без вазелина.

    ssrg avatar
    ssrg20 мая в 12:18
    0

    @covfefe, я бы на их месте, отмудохал бы, ненуачо? а вдрук ты террорист? и, ссука, картами не пользуешься, а всё в голове держишь. Отсутствие точки на карте не доказывает же, что ты закладку не ищешь, ведь правда же?

    covfefe avatar
    covfefe20 мая в 12:42
    1

    @ssrg, ну не все менты козлы, сколько раз не сталкивался с ними, всегда нормально общались без выебонов, просто если ты чмо по жизни, то и ситуации такие будут попадаться.

    BersergVL avatar
    BersergVL20 мая в 16:22
    0

    @covfefe, плюсую. Качать права, только потому, что у тебя есть право качать права – накладно в итоге, да и глупо в большинстве случаев.

    ProtcessusVitelius avatar
    ProtcessusVitelius20 мая в 19:26
    3

    @covfefe, запомните, никогда не говорите «запомните» там где вы опираетесь исключительно на личный бытовой опыт, требования предъявленные вам незаконны и опираются исключительно на концепцию «авось струхнет и решит что время/здоровье дороже», возможно в темном парке 1 на 1 с ментами не стоит бодаться, это вопрос чистого самосохранения, все таки контингент в полиции сегодня весьма неоднозначный, но если речь идет о публичном месте то ваше «запомните» не имеет никакого смысла, подробное изложение правовых последствий незаконного задержания(только не начинайте белиберду про бородатого Васю, который якобы похож на меня и разнарядку на него сделают он-лайн во время моего задержания) охладит любого копа, иначе говоря ваши проблемы от вашей юридической неграмотности просто на гражданском уровне

  5. adamob avatar
    adamob20 мая в 11:25
    1

    А почему вдруг забыли про USB Restrictive Mode?

    Никита Горяинов avatar
    2

    В 2018 году была информация, что конкретно его уже обошли.

    adamob avatar
    adamob20 мая в 11:53
    0

    @Никита Горяинов, судя по тексту это были только слова, возможно блеф.

  6. Arseniy Pereverzev20 мая в 11:27
    6

    если выбрать установку цифро-буквенного пароля, но использовать только цифры, то при разблокировке будет появляться клавиатура только с цифрами, но при этом не будет видно сколько символов установлено 4, 6, 8 или 128. это еще сильнее усложнит подбор пароля.

  7. clariosan avatar
    clariosan20 мая в 11:44
    1

    apple pay не юзаю, из дома не выхожу, gps не включаю, взлом пароля не страшен)

  8. Артём Суровцев avatar
    Артём Суровцев20 мая в 11:45
    2

    Частично решает проблему выключение опции “USB-аксессуары” в настройках пароля. Через час после последней разблокировки iPhone не будет распознавать подключаемые устройства.

  9. igorer avatar
    igorer20 мая в 12:41
    0

    Принесли как то iPhone 4 , забыли типа код блокировки , а на экране надпись следующий ввод пароля через 48 лет (только в часах), так что пробуйте за 22 часа снять 4-х значный код подбором :-)

    hC20 мая в 15:17
    0

    @igorer, это просто глюк из-за слетевших часов по причине разряда в ноль батареи. На 4-4s это было нормой. Там пасскод снимается гораздо проще, не нужны такие дорогие коробки.

  10. ars_p avatar
    ars_p20 мая в 13:24
    0

    ПО Hide UI доступно клиентам Grayshift уже около года, однако о его существовании стало известно только сейчас. Во многом это связано с соглашением о неразглашении, подписываемым правоохранительными органами при закупке аппаратов GrayKey, предназначенных для взлома iPhone.

    Сначала правоохранителям нужно незаметно установить ПО на целевое устройство и вернуть его владельцу (например, разрешив позвонить своему адвокату). Когда пользователь введет код для разблокировки, Hide UI запишет его в текстовом файле, извлечь который можно, подключив iPhone к GrayKey.

    CrazyRabbit avatar
    CrazyRabbit20 мая в 14:59
    0

    @ars_p, а как им без пароля на устройство что-то установить?

    hC20 мая в 15:20
    2

    @ars_p, не надо ничего заранее устанавливать, коробка брутит всё быстро и так (за исключением буквенно-цифрового паса, о которм в посте как раз и говорится). Лицензия на коробку (включая оную) от 100к €, в зависимости от количества учтройств, которые вам надо вскрывать. Удаленный брут – от 10к

  11. mal20 мая в 16:12
    0

    Давно такой )

  12. Strong Tequila avatar
    Strong Tequila20 мая в 17:07
    0

    у меня вообще нету пароля и никакой блокировки

    smbros avatar
    smbros20 мая в 18:38
    0

    @Strong Tequila, до первой потери/кражи. Когда придётся все пароли из заметок менять.

    Alex318i avatar
    Alex318i21 мая в 0:20
    0

    @smbros, зачем хранить пароли в заметках??

  13. e-ch avatar
    e-ch20 мая в 18:08
    0

    Если бы я был на месте Apple и сливал данные, то только при условии неразглашения.
    Если бы я был на месте ФБР, то не раскрывал бы секретов: набрутфорсили и всё!

  14. rsergio avatar
    rsergio20 мая в 22:29
    0

    Перешел на буквенный пароль неделю назад – даже 6-ти значный как-то уже не вдохновлял. Во времена фейсайди и тачайди его приходится вводить очень редко, поэтому пусть будет надежным. И если вдруг iPhone вдруг захочет попросить код перед кассой, то мало кто поймет что я там ввел на клавиатуре, а 4 или 6 цифр могут запомнить и тогда вся защита идет насмарку. Вопрос не в органах, а те же друзья или родственники – кто-то любопытен, кто-то захочет подшутить…

  15. Alex318i avatar
    Alex318i21 мая в 0:20
    0

    С маской вводить пароль приходится часто. 😥

  16. lu+ avatar
    lu+21 мая в 14:41
    0

    кому вы нахрен нужны,у вас мания преследования

  17. walkman00 avatar
    walkman0021 мая в 22:27
    0

    Я не помню цифры пароля. Я запомнил его “графический” набор :)

  18. m01n avatar
    m01n22 мая в 23:16
    0

    “Прятать от государства что-либо я не советую. На вас и так предостаточно информации. Да и скрывать абсолютному большинству из нас банально нечего. Мой совет лишь касается личной безопасности и защиты от злоумышленников.”

    вот от главных воров в РФ все-таки и стоит прятать

  19. xava avatar
    xava23 мая в 1:42
    0

    Для ценителей privacy есть Librem 5 , если что)

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь