Siche­re Pass­wor­te auf iPad und iPho­ne — Was muss beach­tet wer­den?

Wir bera­ten vie­le Unter­neh­men im Bereich der Mobi­li­ty und eines der wich­tigs­ten The­men hier­bei ist immer wie­der das The­ma Sicher­heit. Des­halb habe ich an den Beginn die­ses Bei­tra­ges ein Video gestellt, in dem die schwe­di­sche Fir­ma Micro Sys­te­ma­ti­on die Ver­si­on 6.2 (mitt­ler­wei­le gibt es 6.3.1) ihrer foren­si­schen Lösung XRY prä­sen­tiert. Sie kön­nen in die­sem Video und in den ande­ren Vide­os der Fir­ma sehen, dass es mit den rich­ti­gen Hilfs­mit­teln über­haupt kein Pro­blem ist, Mobil­te­le­fo­ne, Smart­pho­nes und Tablets aus­zu­le­sen und auch den kom­plet­ten Inhalt des Smart­pho­nes vom Smart­pho­ne weg­zu­si­chern, um dann auf die­sem Dump Pass­wort-Atta­cken durch­zu­füh­ren. Ich habe bewusst, die­ses Video ver­linkt, da Micro Sys­te­ma­ti­on in die­sem Video klar erklärt, dass sie mit 4 Zah­len gesi­cher­te iPho­nes pro­blem­los aus­le­sen kön­nen (Sie kön­nen mehr, nur läßt sich dies dann nur als Dienst­leis­tung anbie­ten).

Um Miss­ver­ständ­nis­se zu ver­mei­den: Die­se Lösung ist legal und Sie dür­fen davon aus­ge­hen, dass die Behör­den in Euro­pa über die­ses oder ver­gleich­ba­re Tools ver­fü­gen. Und nicht nur die Behör­den. Die um iOS und Andro­id her­um ent­stan­de­ne Ent­wick­ler­ge­mein­schaft ver­fügt über durch­aus leis­tungs­fä­hi­ge­re Tools, denn die von den Jail­b­rea­kern ent­deck­ten und genutz­ten Exploits sind die Basis für Pro­duk­te wie XRY. Der der­zeit ein­zi­ge Schutz vor Ent­schlüs­se­lung der mit die­sen Tools pro­du­zier­ten Daten ist die Ver­wen­dung siche­rer Pass­wor­te.

Die Sicher­heits­ar­chi­tek­tur von iOS kann man sehr gut im aktu­el­len Doku­ment von Apple hier­zu nach­le­sen — iOS Secu­ri­ty ist der schlich­te Name. Hier erhält man kla­re Aus­sa­gen zur Sicher­heits­geo­me­trie der Pass­wor­te. Jür­gen Schmidt hat auf hei​se​.de aus die­sem White­pa­per im Bei­trag Apple erklärt iOS-Secu­ri­ty wun­der­bar prä­gnant Rück­schlüs­se gezo­gen:

So erklärt Apple zwar, dass die Dau­er zur Über­prü­fung eines Pass­codes so jus­tiert wur­de, dass ein Knack­ver­such, der alle Kom­bi­na­tio­nen aus 6 alpha­nu­me­ri­schen Zei­chen durch­pro­biert, über fünf­ein­halb Jah­re dau­ern wür­de. Dass das gleich­zei­tig bedeu­tet, dass die stan­dard­mä­ßig vor­ge­se­he­nen 4 Zif­fern in weni­ger als 15 Minu­ten zu kna­cken sind und somit kei­nen aus­rei­chen­den Schutz bie­ten, muss man selbst nach­rech­nen.

Dort, wo wir Vor­schlä­ge für die mobi­le Sicher­heit unter­brei­ten, ist regel­mä­ßig eine Emp­feh­lung nur Pass­wor­te mit 6 alpha­nu­me­ri­schen Zei­chen zu ver­wen­den. Die­ser Vor­schlag wird regel­mä­ßig von den schutz­be­dürf­tigs­ten Funk­ti­ons­trä­gern wegen angeb­li­cher Unbe­quem­lich­keit ver­wor­fen — Vor­stän­den, Geschäfts­füh­rern, Auf­sichts­rä­ten. Mir hat aller­dings noch nie­mand von die­sen Men­schen glaub­wür­dig erklä­ren kön­nen, war­um das Ein­ge­ben von ‘1234’ kom­pli­zier­ter sein soll als ‘WM2012’. Erschwe­rend kommt in vie­len Infra­struk­tu­ren hin­zu, dass der Zeit­raum bis zum Auto­lock des Gerä­tes viel zu lang gesetzt wird. Statt des kleins­ten Wer­tes (oft 1 Minu­te) wer­den Wer­te von 5 — 15 Minu­ten ver­langt. Es ist ja auch so anstren­gend vor der Benut­zung des Gerä­tes sei­nen Pass­code ein­zu­ge­ben! Und noch weni­ger ver­brei­tet ist die Gewohn­heit, sein iPho­ne oder iPad unmit­tel­bar nach Gebrauch durch einen kur­zen Druck auf den Ein-/Aus­schal­ter sofort zu ver­rie­geln.

Was wie­der ein­mal zeigt, dass das größ­te Sicher­heits­ri­sko von den Bedie­nern der Gerä­te aus­geht. Wir blei­ben — trotz stän­dig ent­ge­gen­ge­setz­ter For­de­run­gen unse­rer Kun­den — bei unse­rer Emp­feh­lung:

Unter 6 alpha­nu­me­ri­schen Zei­chen geht gar nichts!

Wenn Sie ande­re Fra­gen zu mobi­ler Sicher­heit haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Wenn Ihnen die­ser Bei­trag gefal­len hat und Sie mei­nen, dass auch ande­re Men­schen mehr über siche­re Pass­wor­te auf mobi­len End­ge­rä­ten wis­sen soll­ten, emp­feh­len Sie die­sen Bei­trag bit­te auf Twit­ter, Face­book und Goog­le wei­ter.


Ande­re inter­es­san­te Bei­trä­ge:
Secu­re­View — schon wie­der ein neu­es Fea­ture für unse­re Lösung zum Mobi­le Device Manage­ment (MDM) von datomo
Heu­te haben wir ein wei­te­res mäch­ti­ges Fea­ture für datomo Device Manage­ment, unse­re viel­sei­ti­ge MDM-Lösung frei­ge­ge­ben und dazu auch eine Pres­se­mit­tei­lung ver­öf­fent­licht in unse­rer Pres­se­box. Was bringt dem Anwen­der Secu­re­View? Secu­re­View stellt sicher, dass Doku­men­te auf mobi­len End­ge­rä­ten sicher …
Black­Ber­ry Mobi­le Fusi­on — RIMs ers­ter Ver­such für Mobi­le Device Manage­ment (MDM)
Ers­ter Ver­such ist eine wohl­wol­len­de Beschrei­bung für die heu­te erfolg­te Ver­öf­fent­li­chung von Black­Ber­ry Mobi­le Fusi­on. Mich erin­nert Black­Ber­ry Mobi­le Fusi­on sehr stark an die Ein­füh­rung des Black­Ber­ry Mobi­le Voice Sys­tems (MVS). Jah­re­lan­gen Ankün­di­gun­gen folg­te nie eine durch­gän­gig funk­tio­nie­ren­de…
datomo Mobi­le Device Manage­ment (MDM) — Anders, mehr und bes­ser! — Neu­es White­pa­per erschie­nen
Wir reden hier bei Pre­tio­so von früh bis spät über Mobi­li­ty und dabei ganz beson­ders oft über Mobi­le Device Manage­ment, weil die­ses The­ma zur Zeit die meis­ten Anwen­der bewegt. So wird mir dann auch immer wie­der ein­mal gesagt, dass sich die gan­zen Sys­te­me doch im Kern nicht unter­schei­den. Das ist ric…
datomo Mobi­le Device Manage­ment (MDM) im kom­plet­ten Funk­ti­ons­um­fang in ver­schie­de­nen Sze­na­ri­en tes­ten
Ste­hen Unter­neh­men vor der Ein­füh­rung eines Mobi­le Device Manage­ment Sys­tems, wird sich idea­ler­wei­se vor­ab inten­siv mit dem Markt und den ange­bo­te­nen Lösun­gen beschäf­tigt. Nach Bewer­tung der ver­füg­ba­ren Infor­ma­tio­nen sowie ers­ter Gesprä­che mit den jewei­li­gen Anbie­tern ver­dich­tet sich dann die­ser Aus…
Gefah­ren von Bring Your Own Device (BYOD) — Key­log­ger auf Andro­id, iPad und iPho­ne
Quel­le: You­Tube Mitt­ler­wei­le haben es die regel­mä­ßi­gen Leser erkannt — ich bin kein Freund von Bring Your Own Device (BYOD) — trotz der Tat­sa­che, dass unse­re Lösung datomo Mobi­le Device Manage­ment der­zeit eine der bes­ten Lösun­gen ist, mit dem The­ma sicher umzu­ge­hen. Und trotz der Tat­sa­che, dass…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.