Se avete impostato un codice di sblocco iPhone a 4 o 6 cifre (composto da soli numeri) questo potrebbe non essere sufficente a renderlo sicuro. È molto meglio usare un codice di sblocco alfanumerico (composto da numeri, lettere, simboli) e questo più è lungo, più rende vani i tentativi di accesso.
Di default, il codice si può definire come un PIN numerico. Sui dispositivi con Touch ID, la lunghezza minima di un codice è sei cifre. Sugli altri dispositivi, la lunghezza minima è quattro cifre.
Gli utenti possono specificare un codice alfanumerico più lungo selezionando “Codice alfanumerico personalizzato” nelle opzioni relative al codice andando in Impostazioni > Codice. I codici più lunghi e complessi sono più difficili da indovinare o da attaccare e sono quelli consigliati ad esempio in ambito aziendale.
Entropia e forza bruta nello sblocco dell’iPhone
Configurando un codice per il dispositivo, l’utente abilita automaticamente la protezione dei dati. Come accennato, iOS supporta codici a sei cifre, a quattro cifre e codici alfanumerici di qualunque lunghezza. Oltre a sbloccare il dispositivo, un codice fornisce entropia per determinate chiavi di codifica. Ciò significa che un pirata informatico in possesso di un dispositivo non potrà accedere ai dati conservati in classi di protezione specifiche senza il codice.
Il codice è legato all’UID (“Unique ID”) del dispositivo, quindi l’unico attacco possibile consiste nell’eseguire un attacco di forza bruta. Per rendere ogni tentativo più lento viene utilizzato un numero di iterazioni alto. Il numero di iterazioni è calibrato in modo da far durare ogni tentativo 80 millisecondi circa. Questo significa che ci vorrebbero più di 5 anni e mezzo per provare tutte le combinazioni di un codice alfanumerico a sei caratteri con lettere minuscole e numeri.
Quanto più è sicuro il codice utente, tanto più diventa sicura la chiave di codifica. Touch ID può essere utilizzato per migliorare questa equazione consentendo all’utente di stabilire un codice molto più sicuro che altrimenti non sarebbe pratico. In questo modo si mira a ottenere la più alta entropia possibile con l’obiettivo di proteggere le chiavi di codifica utilizzate per la protezione dati, senza influire negativamente sulla praticità di utilizzo da parte dell’utente che si trova a sbloccare il dispositivo iOS svariate volte durante la giornata.
Inizializzare un dispositivo dopo troppi tentativi errati
Per dissuadere ulteriormente eventuali pirati informatici dal tentare di decifrare i codici, iOS applica ritardi sempre più lunghi dopo l’inserimento di un codice errato in “Blocco schermo”. Se nella sezione Impostazioni > Touch ID e codice, l’opzione “Inizializza dati” è attiva, il dispositivo verrà cancellato automaticamente dopo 10 tentativi errati consecutivi di inserimento del codice. I ritardi sono comandati da un coprocessore interno (“Secure Enclave”). Se il dispositivo viene riavviato durante un ritardo, tale ritardo viene comunque
applicato e il timer comincia da capo con l’intervallo attualmente in corso.
GrayKey, lo strumento con il quale la polizia USA viola gli iPhone
Una società denominata Grayshift ha realizzato un box esterno denominato GrayKey, uno scatolotto che promette di sbloccare gli iPhone. Il meno caro di questi dispositivi costa 15.000$ e permette di violare qualsiasi iPhone provando tutti le combinazioni possibili di codici. Come abbiamo accennato, iOS consente di attivare una funzione che inizilizza e rende inservibile il dispositivo dopo dieci tentativi errati ma GrayKey in qualche modo “inietta” nell’iPhone qualcosa in grado di bloccare il tentativo. In attesa che Apple metta una pezza al problema è possibile rendere vani anche i tentatvi di sblocco con il box GrayKey attivando una password di sblocco lunga.
Matthew Green, professore assistente e crittografo presso l’Information Security Institute alla Johns Hopkins University ha spiegato che il dispositivo in questione può sbloccare un iPhone protetto con un semplice codice numerico a 4 cifre mediamente in sei minuti e mezzo o, nella peggiore delle ipotesi in circa 13 minuti. Stando ai suoi calcoli, l’individuazione di un codice a 6 cifre può richiedere fino a 22.2 ore, mentre con 8 cifre si passa da almeno 46 ore fino a 92 giorni. I numeri arrivano a 25 anni o 12 anni di media per un robusto codice di 10 cifre composto da numeri casuali.
Più lungo è il codice, maggiore sarà il tempo necessario per sbloccare il dispositivo. Se voelete tenere al sicuro il vostro dispositivo, sfrittate un codice di sblocco composto da almeno 7 caratteri alfanumerici con numeri, lettere e simboli: complicherete non poco la possibilità di portare a termine attacchi che mirano ricerca del codice di sblocco.
Impostare un codice di sblocco lungo sull’iPhone
Per impostare un codice di sblocco più complesso nell’iPhone basta andare in Impostazioni, selezionare “Touch ID e codice”, indicare l’attuale codice di sblocco, scorrere in basso, selezionare “Cambia codice”, indicare il codice attuale.
Nella schermata che appare è possibile indicare un nuovo codice o selezionare “Opzioni codice”: selezionando quest’ultima è possibile impostare un codice alfanumerico personalizzato, indicando lettere, numeri e simboli. Specificando questa opzione, per sbloccare il telefono non sarà più mostrato il tastierino numerico sullo schermo ma la tastiera completa.
Su macitynet.it trovate centinaia di tutorial su iPhone e iPad: partite da questa pagina.