iPhone-Passcodes: 6 Stellen können in nur 11 Stunden geknackt werden
Aus wieviel Stellen besteht der Passcode für euer iPhone? Dass vier Stellen kaum Schutz bieten, überrascht wohl niemand. Mittlerweile ist aber auch klar, dass ein sechsstelliger Code recht flott geknackt ist. Zumindest solange Apple nicht dahinter kommt, welcher Sicherheitslücke sich die Entwickler der zu Preisen ab 15.000 Dollar erhältlichen GrayKey-Box bedienen.
GrayKey-Box – Bild: Malwarebytes)
Es steht wohl außer Frage, dass sich die kleine schwarze Kiste einer Schwachstelle in iOS bedient, um die Sicherheits-Codes der Geräte durch systematisches Ausprobieren zu ermitteln. Eigentlich schiebt Apple solchen Versuchen einen Riegel vor, und baut um eine schnelle automatisierte Passcode-Abfrage zu unterbinden künstliche Verzögerungen ein. Nur die ersten vier Versuche lassen sich direkt hintereinander durchführen, danach dauert es zunächst eine Minute, dann fünf und später 15, ab dem neunten Versuch muss sogar eine Stunde gewartet werden, ehe man den Passcode erneut eingeben kann.
Die Entwickler der GrayKey-Box haben wohl einen Weg gefunden, diese Sicherheitsmechanismen zu umgehen. Wenn die von ihnen gemachten Angaben stimmen, ist mithilfe ihrer Technik ein vierstelliger Passcode innerhalb von zwei Stunden und ein Code mit sechs numerischen Stellen innerhalb von maximal drei Tagen zu ermitteln.
Zumindest theoretisch lässt sich dies ohne den Einfluss von Schutzmaßnahmen sogar noch deutlich schneller bewerkstelligen. Der IT-Fachmann Matthew Green hat errechnet, dass sich ein Passcode aus vier Ziffern im Durchschnitt innerhalb von weniger als sieben Minuten finden lässt, für sechs Stellen sollten maximal 22 Stunden genügen. Anspruchsvoll wird es erst ab acht Ziffern, hier müssen Rechenzeiten von bis zu 92 Tagen eingeplant werden. Mit einem zehnstelligen Code seid ihr mit einem Durchschnitt von mehr als zwölf Jahren dann ziemlich gut aufgestellt.
Apple setzt standardmäßig auf eine sechsstelligen Code, ihr könnt über die Code-Optionen in den iOS-Einstellungen allerdings auch deutlich längere numerische oder alphanumerische Codes festlegen.
Wenn ich „Daten löschen“ nach 10 Versuchen aktiv habe ist doch eigentlich die Gefahr minimal oder?
Ja ok man kann Daten auch dann wiederherstellen aber mal abgesehen davon.
Nein, denn genau dieser Schutz soll hier ja umgangen werden.
Nein, steht auch so nicht im Text. 10 fehleingaben sind 10 fehleingaben!
@Sven, wird nichts bringen, weil, wenn das System keine drei Eingaben erkennt, kann es durch die Sicherheitslücke auch keine 10 Eingaben erkennen.
fire2002de hat keine Ahnung.
Laut Matthew Green dauert es im worst case Fall 11 Minuten bei einem 4 Stelligen Code aus nur Zahlen.
Selbst ein 6-stelliger Alphanumerischer Code ist um ein Vielfaches sicherer. Es lohnt sich also (besonders auf Geräten mit Touch oder Face ID).
Du weißt schon, dass du gegen deinen Willen von staatlichen Stellen dazu gezwungen werden kannst, den Finger auf die Sensor zu legen? Der hilft höchstens gegen Diebstahl oder Erpressung aber nicht gegen die Polizei.
Und genau das würde mir reichen. Mit der Polizei hab ich kein Problem. Wenn mir aber einer das iPhone entwendet, soll der damit auch nichts anfangen können (und erst recht nicht noch irgendwelche Daten abgreifen)!
Bei solch einem Fall legst du einfach 3 mal den falschen Finger auf den Sensor, behauptest dann, dass der Sensor deinen Finger aus welchen Gründen auch immer nicht erkennt. Nach den 3 Fehlversuchen wird der Sensor gesperrt und das Passwort muss manuell eingegeben werden.
Also darauf hättest du kommen können.
Wo kommen denn die 11 Stunden im Titel her? Im Text werden 72h bzw. 22h erwähnt.
Da steht maximal 22 Stunden.
11 Stunden ist dann wohl die mindestens Angabe..
Nein, 11 Stunden sind dann der Durchschnitt. Eine Mindest-Angabe macht keinen Sinn, denn theoretisch kann es ja auch mal beim ersten Versuch klappen.
Klick mal auf die verlinkung zu dem Twitter Profil von Matthew Green.
Wenn ich das dort gerade richtig überflogen habe, sind die 11 Stunden der Durchschnitt und wenn es schlecht läuft kann es 22 Stunden dauern.
Eigentlich ist es vollkommen egal ob 11h oder 72h.
Wenn es wirklich Interesse an deinen Daten gibt ist das keine Hürde!
Die Zeit investiert dann jeder gerne …
Schon klar. Mir fehlte nur der Zusammenhang zu den 11 Stunden. Mehr nicht. Danke für den Hinweis.
Vor allem wird das iPhone nicht das einzige interessante Gerät sein, wenn es wirklich um die Person und dessen Daten geht. Abgesehen davon wäre sicherlich günstiger, ein russisches Spezialkommando damit zu beauftragen, deinen Kot herauszufinden. Die Methoden sind zwar unglaublich schmerzhaft, jedoch deutlich effizienter und sicherlich kürzer als die Berechnung. Davon abgesehen macht es gerade Fes ID und Touch ID unglaublich leicht, an diesen Kot zu kommen. Dafür braucht man den Besitzer ja nicht mal liebend wie wir wissen. In allen anderen Fällen, wenn beispielsweise ein Smartphone geklaut wird, sind die Daten ohnehin irrelevant und man freut sich sogar, dass nach zehn Versuchen das Gerät zurückgesetzt wird. In diesem Zusammenhang frage ich mich schon seit Jahren, warum Apple nicht Geräte spezifische Seriennummer nicht so lange fest einer Apple ID zu ordnet, bis entweder der Besitzer das Gerät explizit freigibt, oder der neue Besitzer unmissverständlich nachweisen kann, dass er neue Eigentümer des Geräts ist. Testweise hatte ich auch mal einen langen Kot eingerichtet, die Usability ist aber grauenhaft.
Soll das russische Kommando den Code oder tatsächlich den Kot herausfinden/aufspüren?
…einen langen Kot… Ich hau mich weg.
Hmm… 10-stelliger alphanumerischer Code. Muss ich aber so gut wie nie eingeben da dies ja FaceID übernimmt.
Hab erstmal keine Sorge. :)
Oh ha! Du weißt aber schon, dass Du Face ID, umgehen kannst und das Gerät mit Deinem Code entsperrst bzw. Zwangsläufig sogar den Code eingeben musst! Gab es auch bei TouchID…
Und? Dann greift der 10 Stellige Code, der auf diese Art und Weise nicht sinnvoll geknackt werden kann. Lesen ist das eine, verstehen das andere…
Wie sieht es denn aus, wenn man die Option aktiviert hat, nach 10 Falscheingaben das Gerät zurückzusetzen? Wird dieser Schutz auch durch die GrayKey-Box ausgehebelt oder bleibt er bestehen?
.. das frage ich mich auch, wird leider nie weiter behandelt wenn die Frage aufkommt.
Wird wahrscheinlich genauso umgangen wie der „Zeitschutz“.
Ist es möglich, dass die Box einfach ein Backup des iPhones macht und aus diesem den Code zieht? Hier war doch vor ein paar Tagen ein Artikel, dass das möglich ist.
Die Box umgeht diesen (Schutz-) Mechanismus.
Die Box installiert einen eigenen Bootloader ähnlich dem Jailbreak so dass Apples Schutzmaßnahmen nicht greifen. Hier speziell die Verzögerungen bei der Eingabe und auch das Löschen des Telefons.
Alphanumerisch ist the way to go.
22 Zeichen: Buchstaben und Ziffern, kein logisches Wort und für mich gut zu merken. Anfangsbuchstaben von Familienmitgliedern, Straßen in denen ich gewohnt habe, ex-Freundinnen. Tippe ich in 10 Sekunden ein.
Exfreundinnen… da muss so mancher 50 und mehr Zeichen eintippen. Wenn er sich denn erinnert… ;-)
22 Zeichen: Buchstaben und Ziffern, kein logisches Wort und für mich gut zu merken. Anfangsbuchstaben von Familienmitgliedern, Straßen in denen ich gewohnt habe, ex-Freundinnen. Tippe ich in 10 Sekunden ein.
Statistisch gesehen hast du dein Passwort mit diesem Post um einiges unsicherer gemacht ^^
Ich baue auf Passphrasen wie „Mein erstes Auto war ein roter Golf 4 und hatte einen Getriebeschaden“. ergibt dann „MeAwerG4uheG“ .Da kann man beliebige Sachen zusammen bauen und man kann Dinge wählen die man sich selbst gut merken kann. Und nein, das ist keines der von mir benutzten Passwörter. :-) Leider muss ich das Passwort bei meinem Iphone öfter mal eingeben. Ich bin Motorrad Fahrer und mit Helm erkennt mich Face ID nicht. :-) Daher aus bequemlichkeit nur ein 6-stellige Code.
MeSweI4uhkG
Das Gleiche wie ich.
Mein erster Seat war ein I4 und hatte kein Getriebe.
Solche Passwörter haben aber eine geringe Entropie. Besser sind tatsächlich sinnlose kurze Sätze aus Wörtern, die im Wörterbuch stehen. Ihr könnt das mit dem Schlüsselbundprogramm von Mac OS X ausprobieren.
Ihr nehmt euch alle viel zu ernst. Wenn interessiert das iPhone von Meyer, Müller u. Schulze. Hier geht es um iPhone’s von Schwerverbrechern, Terroristen etc.. Ihr könnt also weiter ruhig schlafen.
Stimmt. Hier im Internet sind nur Leute mit ehrenwerten Absichten.
Rasterfahndungen haben schon zu einigen unangenehmen Situationen von unschuldigen Bürgern geführt. Man selbst sie das immer so lange gelassen, bis man selbst einmal in solch eine Situation geraten ist. Bis dahin gehören Kollateralschäden eben dazu.
Ob du das auch noch sagst, wenn du bei deiner nächsten USA-Reise dein iPhone bei der Einreise abgeben musst?
Ich wollte es eben schreiben, es geht um iOS Geräte von Kriminellen, nicht um eure. So ein Gerät wird sich mit Sicherheit kein einziger, Gelegenheit Taschendieb leisten.
Aber ganz ehrlich ? So ein geschiss wie Apple um das entsperren von Geräten betreibt, finde ich so ein Gerät gar nicht verkehrt. Letztens einen Fall gehabt, Todesfall, man wollte an die Fotos. Nichts zu machen.
Daumen des Toten draufdrücken sollte gehen. Oder war es ein iPhone X?
Nach 24 Stunden wird der Code verlangt. Man müsste man alle 24 Stunden mit dem Daumen (oder entspr. Finger) des Toten entsperren, weil man ohne Code die TouchID noch den Code entfernen kann.
Sicher, dass der Tote wollte, dass man seine geschützten Daten einsieht?
Genauso, wie Facebook keinen Zugriff auf Profile Toter gewährt.
Ermittlungsbehörden wird der sicherlich in begründeten Fällen gewährt.
Wer innerhalb seiner Familie seinen Code nicht preisgibt, ist selber Schuld. Notfalls gehört so etwas in das Testament, oder in den Brief an die Familie
„Er öffnen, nach meinem Tod“
Aber die Leute sterben ja nicht, es sterben immer nur die anderen!
Alleine schon aus Designgründen hätte ich längere Lightning-Kabel an der Box installiert.
hihi. Ich dachte auch als erstes, dass die kurzen Kabel total unpraktisch sind. Aber im ersten Artikel der über dieses Gerät wurde beschrieben, dass die iPhone dort nur kurz angesteckt werden müssen und die eigentliche „Arbeit“ dann später autark auf dem iPhone selbst ausgeführt werden. (eigener Bootloader etc.pp.blafasel)
Also manche Kommentare verstehe ich nicht: als ob man seine Daten nur auf dem iPhone hätte, als ob ein Smartphone überhaupt das einzig elementar wichtige Gerät sein könnte dass man besitzt und als ob wenn man wirklich wichtig wäre, auch ein langer Kot einen Schutz bieten würde. Die meisten die hier einen langen Kot verwenden sind glaube ich diejenigen, die einen Grund suchen, ihr schönes iPhone vor den Augen der anderen möglichst lange in der Hand halten zu müssen. Wenn man sich dann zwei bis dreimal vertippt, dauert es ja 1/2-1 Minute, bis das Gerät dann wirklich entsperrt ist. So wichtig bin ich nicht und so ein Status brauche ich auch nicht.
Ich hoffe keiner hat „Kot“ an sein Handy/Smartphone geschmiert.
Jeder benutzt hoffentlich einen „Code“.
;-)
Mit dem Kommentar, Stephan, tippst du auf jeden Fall alle anderen hier. ich glaube du willst durch den Unsinn nur auffallen. ;)
Und wenn ich die Musterkombination von Android nehme, dauert es keine 2 Minuten, toll was..
Kann man sich das auch ausrechnen wie lange eine andere länge dauert?
Also wenn 6 stellen mit 999.999 Möglichkeiten
11h dauern dann dann dauert 1 Versuch genau 0.03960004 sek.
Bei 7 stellen mit 9.999.999 möglichkeiten würde es dann 110h dauern.
Bei 8 stellen dann 1100h dauern?
Wenn ich Statt Zahlen auch Buchstaben und z.B. 8 Sonderzeichen habe komme ich bei 8 Stellen auf 207.999.792 Möglichkeiten.
Das würde dann bei 8 Stellen schon 54.326.886 JAHRE!!! dauern?
Immer unter der annahme das 1 Versuch mit dem Gerät 0,0396sek dauert.
Upps. Rechenfehler. Muss ich nachher nochmal in Ruhe ausrechnen :)
Du darfst nicht vergessen, dass es am unwahrscheinlichsten ist, das Passwort erst mit der allerletzten Möglichkeit herauszufinden. Genauso verhält es sich mit dem ersten Versuch. Die statistische Wahrscheinlichkeit steigt also mit jeder durchprobierten Kombination. Nach der Hälfte der möglichen Gesamtkombinationen ist die Wahrscheinlichkeit am höchsten, das Passwort herauszufinden. Bei einer 4-stelligen PIN, also 10.000 maximalen Kombinationen, ist die Wahrscheinlichkeit nach 5.000 Versuchen am höchsten, die PIN herauszufinden. Dann kommt noch hinzu, dass man nicht unbedingt das exakte Passwort herausfinden muss, sondern es reicht eine Hash-Kollision herauszufinden. Je Stärker der gewählte Hash-Algorithmus, umso unwahrscheinlicher wird auch eine Kollision. Moderne Brute-Force Systeme berücksichtigen zudem noch verschiedenste Heuristika, zum Beispiel das viele Menschen an ihr Passwort einfach nur eine Zahl dranhängen. Und mit alldem, steigt auch die Wahrscheinlichkeit, schon weit vor dem Erreichen der maximalen Kombinationen das Passwort herauszufinden.
Ich denke, man sollte sich nicht so verrückt machen. Heute braucht es teure Ausrüstung und spezifisches knowhow um an sensible Daten oder fremdes Eigentum zu kommen, früher war es das Brecheisen!
Wenn das Smartphone als zentrale Verwaltungsstelle seiner gesamten Identität genutzt wird oder man Geheimnisträger ist, dann könnte das Thema zum Problem werden…
Aber für Normal-User?!
An meine Akten-Ordner mit meinen persönlichen Unterlagen ist leider leider deutlich einfacher heranzukommen….
Da kann man das Smartphone zur Festung machen.., nützt das was, solange meine Steuererklärung mit langen Fingern aus dem heimischen Briefkasten gefischt werden könnte?!
Ich denke, es geht um Verhältnismäßigkeit!
Wer sich Zugriff auf mein Iphone verschafft mit solchen Mitteln, der will mir mit aller Macht schaden!
so einer bricht auch bei mir ein…
Ist es dann auch okay für dich, wenn Behörden, nur rein profilaotisch dein iPhone auf verdächtige Dinge untersuchen? Zum Beispiel am Flughafen?
Nein, weil ich stets davon ausgehe, dass mein Telefon kompromittiert ist.
Nein!
Aber die Fragestellung sollte nicht sein: „Ist es akzeptabel, dass mein iPhone Möglichkeiten nicht ausschließen kann, dass diese Behörden auf diese Art an meine Daten kommen“
sondern:
„Will ich als unbescholtener Staatsbürger in einem Land leben, wo Kontrollorgane das Recht haben, so etwas ohne richterlichen Beschluss zu tun?!“
und ich möchte die Frage stellen: Ist das tatsächlich gängige Praxis?
Ich fliege oft und bin viel an Flughäfen unterwegs. Mir ist es nie auch nur ansatzweise passiert, das mich jemand zu soetwas aufgefordert hätte. Und ich konnte so etwas bei anderen auch nie beobachten!!
Ich denke, das deutsche Recht lässt so etwas nur zu, wenn Gefahr im Verzug besteht, oder ein konkreter Terror-Verdacht.
Wenn dir so etwas schon passiert ist, solltest du nicht fragen, was man tun kann, um den Behörden den Zugang zu deinem Smartphone zu verschließen, sondern viel mehr: „Wie zur Hölle kommen die auf diesen Verdacht,…. Was hat mich in diese Lage gebracht“
Leider ist es nicht so einfach. Du bist an Flughäfen eine Zeit lang technisch nicht im Land und entsprechende Gesetze gelten nicht. Und leider ist es auch eine Wunschvorstellung dass Gesetze perfekt sind oder dass sie überhaupt in allen Ländern richtig sind bzw. richtig angewandt werden. Indien zum Beispiel ist eine Demokratie, aber das heißt noch gar nichts. Schon mal in China mit Behöreden in Kontakt gewesen? Das kann dir auch passieren ohne dass ich schon wirklich Mist baust.
An vielen Flughäfen wird man per Zufall rausgezogen, muss alle elektronischen Geräte abgegeben, Taschen durchsuchen lassen und Fragen über dein Leben beantworten. Mit Google findest du unendlich viele Berichte. Auch von Leuten die den Pass des Landes hätten zu dem der Flughafen gehört.