Mit Polizeibehörden und Bundesbehörden, die sich zum Kauf von Technologie von zwei Unternehmen, deren Produkte iPhone Sicherheitsmechanismen umgehen können, sagten Experten, dass Benutzer, die über den Datenschutz besorgt sind, ein starkes Passwort verwenden sollten, um unerwünschten Zugriff auf Daten zu verhindern. Das gilt auch für Unternehmensanwender mit iPhones, die auf potenziell sensible Unternehmensdaten zugreifen.
Einfach ausgedrückt, sind komplexe Passwörter immer besser für die Sicherheit, so Phil Hochmuth, Programmdirektor für Unternehmensmobilität bei IDC. Gängige Best Practices für die Erstellung eines schwer zu knackenden Passworts sind die Verwendung von Groß- und Kleinbuchstaben, Zahlen und ungewöhnlichen Wörtern. „Ich gehe davon aus, dass Unternehmen mit hohen Sicherheitsanforderungen und großen iOS-Implementierungen dies verlangen und über ihre MDM/EMM-Plattformen durchsetzen werden“, sagte Hochmuth per E-Mail.
iPhone Cracking-Technologie jetzt im Einsatz
Sowohl der israelische Technologieanbieter Cellebrite als auch das in Atlanta ansässige Unternehmen Grayshift haben eine relativ kostengünstige Technologie zur Freischaltung von iPhones entwickelt. Das GrayKey Entschlüsselungsgerät von Grayshift ist eine 4 Zoll x 4 Zoll Box mit zwei iPhone-kompatiblen Blitzkabeln. Es kann angeblich ein iPhone in etwa zwei Stunden freischalten – wenn der Besitzer nur ein vierstelliges Passwort verwendet. (Ein sechsstelliger Passcode kann drei Tage oder länger dauern.)
Eine GrayKey-Box kostet $15.000 und ist an einen bestimmten Ort geofenced, was eine Internetverbindung erfordert, die bis zu 300 Freischaltungen ermöglicht. Es gibt auch ein $30.000 GrayKey-Modell, das unabhängig von der Internetverbindung verwendet werden kann und laut Motherboard eine unbegrenzte Anzahl von Gerätefreischaltungen bietet. Cellebrite bietet den Strafverfolgungsbehörden einen iPhone Entriegelungsservice an, der angeblich $5.000 pro Gerät kostet.
Letzte Woche berichtete Motherboard, dass lokale und regionale US-Polizeidienststellen und die Bundesregierung die Technologien am frühesten gekauft haben. Während beide Unternehmen behaupten, dass sie nur an Polizei und staatliche Strafverfolgungsbehörden verkaufen, ist es praktisch unmöglich, diesen Geist in der Flasche zu behalten, so Nate Cardozo, Senior Staff Attorney bei der Electronic Frontier Foundation (EFF), einer gemeinnützigen Digital Rights Group.
„Wenn Sie glauben, dass die einzigen Leute, die Zugang zu GreyKey oder Celebrate haben, die Cops sind, habe ich eine Brücke, um Sie zu verkaufen“, sagte Cardozo. Die Standard-Sicherheitseinstellung auf aktuellen iPhones ist das Löschen aller Daten auf dem Gerät nach 10 fehlgeschlagenen Entsperrversuchen. Ein Algorithmus, der einen Brute-Force-Angriff auf ein iPhone versuchte, sollte daher scheitern. Es wird also spekuliert, dass die Technologien von Cellebrite und GrayKey einen anderen Entschlüsselungsmechanismus verwenden müssen.
„Im Grunde genommen täuscht man den Mechanismus, der den Zähler „10 Versuche“ aktualisiert. Oder Sie stellen den Speicher dar und machen 10 Versuche auf verschiedenen Kopien“, sagte der Kryptograph und Computersicherheitsspezialist Bruce Schneier in einer E-Mail.
Mehr Ziffern bedeuten mehr Sicherheit für das iPhone
Verbraucher und Unternehmen sollten mindestens einen sechsstelligen alphanumerischen Passcode oder eine Passphrase verwenden, die Risiken im Zusammenhang mit der Weitergabe von persönlichen und Unternehmensdaten adressiert, so Gartner-Forschungsleiter Dionisio Zumerle.
„Bei der Risikobewertung sollte jeder davon ausgehen, dass sich die Instrumente verbessern. Sicherheit ist ein sich bewegendes Ziel, und die Menschen müssen sich mit ihr bewegen“, sagt John Girard, Vice President von Gartner Research. „Stärkere PINs und Passwörter, Phrasen und so weiter zu verwenden, ist ein notwendiger Schritt vorwärts.“
Apple’s Touch ID und Face ID helfen zwar auch bei der Sicherheit, aber sie schließen die Verwendung eines Passworts zum Entsperren eines Telefons nicht aus. Das Betriebssystem iOS 9 von Apple hat das Standardpasswort für das iPhone von vier auf sechs Stellen erhöht, aber eine noch stärkere Option, ein alphanumerisches Passwort, ist sicherer.