Det är inte längre säkert att använda ett sexsiffrigt lösenord på din iPhone.
Tack vare en ny typ av specialiserad krackningsanordning kan brottsbekämpande tjänstemän kringgå alla 6-siffriga iPhone-lösenord på upp till elva timmar eller mindre medan ett fyrsiffrigt lösenord kan beräknas på 6,5 minuter i genomsnitt eller 13 minuter längst.
HANDLEDNING: Hur man ställer in en starkare iPhone-lösenord
En grå ruta som mäter fyra tum breda och fyra tum djupa och två tum höga, med två Lightning-kablar som sticker ut framifrån, GrayKey-rutan designades av ett företag som heter Grayshift. Det fungerar med alla nya iPhone-modeller.
Enheten är utformad för brottsbekämpande tjänstemän.
Enligt VICE: s moderkort använder den Internet-anslutna $ 15 000 enheten en odisponerad iPhone-jailbreak eller nolldagars utnyttjande som gör det möjligt att bryta lösenordspåtriktning som upprätthålls av den Apple-designade Secure Enclave kryptografiska coprocessor.
Efter fyra på varandra följande lösenordförsök börjar Secure Enclave att försena ytterligare försök, med en minut för ett femte misslyckat försök eller en timme för det nionde i följd lösenordsfel. GrayKey kringgår inte bara detta misslyckade, utan också iOS: s alternativ att låta innehållet på din iPhone torkas efter tio i rad misslyckade lösenordförsök.
Enligt Matthew Green, biträdande professor och kryptograf vid John Hopkins Informationssäkerhetsinstitut, kan ett åttasiffrigt lösenord ta någonstans mellan 46 timmar och 92 dagar att gissa. En stark 10-siffrig lösenord med slumpmässiga nummer kan ta upp till 25 år att spricka, eller mer än 13 år i genomsnitt.
Guide till iOS uppskattade lösenordskrackningstider (antar slumpmässigt decimalkod + ett utnyttjande som bryter SEP-strypning):
4 siffror: ~ 13 min värst (~ 6,5avg)
6 siffror: ~ 22.2 timmar värst (~ 11.1avg)
8 siffror: ~ 92,5 dagar sämst (~ 46avg)
10 siffror: ~ 9259 dagar värst (~ 4629avg)- Matthew Green (@matthew_d_green) 16 april 2018
I september 2014 gjorde Apple skivkryptering som standard på iPhone.
Medan fullständig diskskryptering skyddar dina data, kan någon som kan gissa ditt lösenord enkelt läsa eller extrahera dina data. När din enhet har låsts upp med hjälp av sprickrutan laddas ner hela systemets innehåll till GrayKey-enheten, inklusive det okrypterade innehållet i systemnyckelringen.
Dina kontouppgifter, namn och telefonnummer, e-postmeddelanden, texter, bankkontouppgifter och till och med kreditkortsnummer eller personnummer kan nås därifrån via ett webbaserat gränssnitt på en ansluten dator för analys.
Ryan Duff, en forskare som har studerat iOS och chef för Cyber Solutions for Point3 Security, berättade för Motherboard i en onlinechatt:
Människor bör använda en alfanumerisk lösenord som inte är mottaglig för en ordbokattack och som är minst 7 tecken lång och har en blandning av minst stora bokstäver, små bokstäver och siffror. Att lägga till symboler rekommenderas och ju mer komplicerat och längre lösenordet är, desto bättre.
Sedan iOS 9 släpps kräver Apple som standard en 6-siffrig lösenord.
Om du vill stärka säkerheten för din iPhone eller iPad kan du stärka lösenordets styrka ännu mer genom att ange ett anpassat numeriskt lösenord eller ett alfanumeriskt lösenord.
Om jag var du skulle jag ställa in ett alfanumeriskt lösenord.
Visst, att skriva en lång alfanumerisk kod är en smärta i du-vet-vad, men eftersom det innehåller flera bokstäver och siffror kommer det att bli oerhört starkare än de lätt knäckbara 6-siffriga lösenkoderna. Åh, och var noga med att kontrollera dina lösenordslängd-personer som har återställt säkerhetskopior vid uppgradering till nyare iPhones kan fortfarande ha fyrsiffriga lösenord.
Enheter som GrayKey-rutan fungerar tills Apple fixar de utnyttjande de litar på, då uppdaterade iPhones inte längre skulle vara mottagliga för lösenordsattacker som detta. För dem som undrar fungerar GrayKey-enheten på den senaste hårdvaran med iOS 11.2.5.
Hjältebild: GrayKey iPhone cracking box, med tillstånd av Malwarebytes