iPhone で 6 桁のパスコードを使用するのは安全ではなくなりました。
新しい種類の特殊な解読装置のおかげで、法執行機関は iPhone の 6 桁のパスコードを最長 11 時間以内に回避できる一方、4 桁のパスコードは平均 6.5 分、最長 13 分で計算できる。
チュートリアル:より強力なiPhoneパスコードを設定する方法
幅4インチ、奥行き4インチ、高さ2インチの灰色の箱で、前面から2本のLightningケーブルが突き出ているGrayKeyボックスは、Grayshiftという会社によって設計されました。最近のiPhone全モデルで使用できます。
この装置は法執行官向けに設計されています。
VICE の Motherboard によると、インターネットに接続されたこの 15,000 ドルのデバイスは、未公開の iPhone 脱獄またはゼロデイ エクスプロイトを使用して、Apple 設計の Secure Enclave 暗号化コプロセッサによって強制されているパスワード入力制限を突破できるという。
パスコードの入力を4回連続して失敗すると、Secure Enclave は以降の試行を遅延させます。5回目の失敗で1分、9回目の失敗で1時間遅延されます。GrayKey はこのフェイルセーフを回避するだけでなく、パスコードの入力を10回連続して失敗するとiPhoneのコンテンツを消去するiOSのオプションも回避します。
ジョンズ・ホプキンス大学情報セキュリティ研究所の助教授兼暗号学者であるマシュー・グリーン氏によると、8桁のパスコードの解読には46時間から92日かかる可能性がある。乱数を含む強力な10桁のパスコードの解読には最長25年、平均で13年以上かかる可能性がある。
iOS のパスコード解読時間の推定ガイド (ランダムな 10 進パスコード + SEP スロットリングを破るエクスプロイトを想定):
4桁: 最悪約13分 (平均約6.5分)
6桁: 最悪約22.2時間 (平均約11.1時間)
8桁: 最悪約92.5日 (平均約46日)
10桁: 最悪約9259日 (平均約4629日)— マシュー・グリーン(@matthew_d_green)2018年4月16日
2014 年 9 月、Apple は iPhone のディスク暗号化をデフォルトにしました。
フルディスク暗号化はデータを保護しますが、パスコードを推測できる人は簡単にデータを読み取ったり抽出したりできます。クラッキングボックスを使用してデバイスのロック解除に成功すると、ファイルシステムの完全な内容(暗号化されていないシステムキーチェーンの内容を含む)がGrayKeyデバイスにダウンロードされます。
アカウントの認証情報、名前、電話番号、電子メール、テキスト、銀行口座情報、さらにはクレジットカード番号や社会保障番号に、接続されたコンピューターの Web ベースのインターフェースを通じてアクセスして分析することができます。
iOSを研究する研究者であり、Point3 Securityのサイバーソリューション担当ディレクターであるライアン・ダフ氏は、オンラインチャットでマザーボードに次のように語った。
辞書攻撃を受けない英数字のパスコードを使用することをお勧めします。パスコードは7文字以上で、少なくとも大文字、小文字、数字を組み合わせたものを使用してください。記号を追加することを推奨します。パスコードは複雑で長いほど効果的です。
iOS 9 のリリース以降、Apple はデフォルトで 6 桁のパスコードを要求します。
iPhone または iPad のセキュリティを強化したい場合は、カスタムの数字パスコードまたは英数字のパスワードを設定して、パスコードの強度をさらに高めることができます。
私なら、英数字のパスワードを設定します。
確かに、長い英数字のコードを入力するのは面倒ですが、複数の文字と数字が含まれているため、簡単に破られてしまう6桁のパスコードよりもはるかに強力です。あ、それから、パスコードの長さも必ずご確認ください。新しいiPhoneにアップグレードした際にバックアップを復元した人は、まだ4桁のパスコードを使用している可能性があります。
GrayKeyボックスのようなデバイスは、Appleが何らかの脆弱性を修正するまでは動作します。修正されれば、アップデートされたiPhoneはこのようなパスワード攻撃の影響を受けなくなります。ちなみに、GrayKeyデバイスはiOS 11.2.5を搭載した最新のハードウェアで動作します。
ヒーローイメージ:GrayKey iPhoneクラッキングボックス(MalwareBytes提供)
