Gli iPhone e i Mac più recenti integrano un chip denominato T2 che integra numerosi controller quali: il Controller di gestione del sistema, il processore del segnale immagine, il controller dell’audio e il controller SSD.
Il chip in questione integra funzioni che permettono ad Apple di offrire nuove capacità al Mac garantendo, ad esempio, un livello di sicurezza ancora più elevato di prima. È alla base della nuova archiviazione criptata (che cifra in automatico le unità disco) e delle funzionalità che consentono di proteggere l’Avvio del Mac.
Come l’iPhone, il Mac integra un meccanismo di protezione contro quello che in gergo si chiama “attacco di forza bruta”, metodi di accesso al sistema che consistono nel verificare tutte le parole chiave teoricamente possibili fino a quando si trova la password corretta. Su iPhone è possibile inserire quattro codici di sblocco errati prima che il sistema imposti automaticamente un ritardo a ogni nuovo tentativo di sblocco. Dopo cinque tentativi errati, bisogna attendere un minuto; dopo 6 tentativi bisogna attendere 5 minuti; dopo 7-8 tentativi bisogna attendere 15 minuti; dopo 9 tentatavi errati, bisognerà attendere un’ora prima di riprovare. Sul Mac il concetto è lo stesso, ma il numero di tentativi offerti è diverso:
- da 1 a 4 tentativi: nessun ritardo
- da 5 a 17 tentativi: un minuto di ritardo
- dopo 15-20 tentativi: 5 minuti di ritardo
- dopo 21-26 tentativi: 15 minuti di ritardo
- da 27 a 30 tentativi: 1 ora di ritardo prima di poter riprovare
I ritardi in questione sono gestiti dal chip t2 e dunque anche se il Mac viene riavviato, il ritardo rimane attivo.
Apple spiega tutto questo in una guida alla sicurezza del T2 (PDF) indicando funzionalità che impediscono ad esempio a un programma dannoso di cancellare dati, provando tutti i tentativi possibili. Superati i 30 tentativi, è possibile eseguire massimo altre 10 prove dopo l’avvio dalla partizione di macOS Recovery. Esauriti anche questi tentativi altri 60 sono disponibili per i meccanismi di recovering di FileVault (iCloud recovery, chiave di recupero FileVault e chiave di recovering per Mac usati in ambito scolastico).
Esauriti i vari tentativi, il Secure Enclave non elaborerà più nessuna richiesta per decifrare il volume o di verifica delle password e non è più possibile ripristinare i dati sull’unità. L’unica opzione possibile è inizializzare il disco e ricominciare da zero.