Mobile Security – PIN oder Passwort

Nur noch 100 Meter, Sie können das Ziel Ihres ersten Marathons schon sehen. Nochmals alles geben und nach 4h15 ist es geschafft. Natürlich darf das obligatorische Zielfoto auf dem eigenen Smartphone nicht fehlen, dafür haben Sie es ja 42.195 km mitgetragen. Jedoch als Sie Ihr iPhone entsperren wollen, erscheint ein „freundliches“ „Hello“ auf dem Bildschirm. Diese Meldung lässt darauf schliessen, dass sich das Smartphone zurückgesetzt hat und alles neu eingerichtet werden muss. Was für eine Enttäuschung nach einem vollendeten Marathon.

Jedoch was ist da genau passiert. Eine Fehlfunktion oder sogar ein Hackerangriff? Nein, eine mittlerweile in jedem iOS-Gerät enthaltene Funktion hat das Telefon zurückgesetzt. Dabei handelt es sich um die Sicherheitsfunktion, dass nach zehnmaligen falscher Eingabe des Passwortes sich das iPhone automatisch löscht, auch „wipen“ genannt. Die falschen Eingaben müssen während des Laufens passiert sein.

Das ist kein erfundenes Szenario, um über dieses Thema zu schreiben. Genau das ist einem unserer Mitarbeiter so passiert.

Dabei kam bei uns die Frage auf, wie sinnvoll und zeitgemäss diese Funktion ist. Kann die Sicherheit nicht anders erhöht werden, damit das automatische „wipen“ nicht benötigt wird?

Auf der Suche nach der Antwort auf meine Frage habe ich mich mit den verschiedenen Sicherheitsfunktionen moderner Smartphones beschäftigt. Dabei habe ich festgestellt, dass ein umfangreicher Bericht über alle Funktionen diesen Blog sprengen würde. Deshalb werde ich mich nur auf die Funktionen PIN und Passwort beschränken. Die Sicherheitschecks der Biometrischen (Fingerabdruck, Face-ID) verschiebe ich auf einen späteren Blog.

Viele Fragen, ein Ziel

Um die Frage, ob es noch angebracht ist ein Gerät zu „wipen“, in Relation zu einem PIN oder Passwort zu stellen, muss eine andere Frage gestellt werden. Wie lange dauert es, ein PIN oder Passwort auf einem modernen Smartphone zu knacken? Wenn diese Frage beantwortet ist, kann die daraus resultierende Zeit genommen werden und eine weitere Frage formuliert werden. Angenommen ein Angreifer nimmt sich die Zeit für das Knacken, ist das sein Lebenswerk oder doch nur eine kleine Aufgabe?

Unterschied der Hersteller

Wie in allen Bereichen in der IT gibt es keine allgemeine Norm zum Verhalten der PIN/Passworteingabe. Deshalb habe ich mich bei den Herstellern auf die beiden grossen Betriebssystem Hersteller Apple (iOS) und Google (Android) fokussiert. Beim Android gilt es natürlich immer zu beachten, dass dies von Hardwareherstellern an die jeweiligen Geräte angepasst werden kann und es somit auch keinen garantierten Standard gibt. Bei meinen Tests habe ich mich deshalb auf das Android One gestützt, welches ohne grosse Änderungen durch die Hardwarelieferanten ausgeliefert wird.

Der Apfel machts vor

Apple liefert in seinen aktuellen iOS Geräten ein sehr ausgeklügeltes System mit, welches in der Einleitung schon teilweise beschrieben wurde. Egal ob PIN oder Passwort, sobald ein solches fünfmal falsch eingegeben wurde, ist das Gerät für 1 Minute deaktiviert. Bei einer weiteren falschen Eingabe wird das Smartphone weitere 5 Minuten deaktiviert. Das geht weiter, sodass bei der siebten falschen Eingabe der Timer auf 15 Minuten steht, nach der achten ebenfalls 15 Minuten, ab der neunten 1 Stunde und mit der zehnten falschen Eingabe nochmals 1 Stunde angehängt wird. Danach wird es erst richtig interessant. Mit der elften falschen Eingabe eines PIN oder Passwortes kommt es darauf an, was auf dem Telefon eingestellt ist, wobei das Ergebnis beinahe das gleiche ist. Dabei ist entscheidend, ob unter den „Einstellungen“ > „Touch ID & Code“/“Face ID & Code“ der Schalter unter „Daten löschen“ auf grün ist oder nicht.

Ist dieser Schalter, wie im Beispielbild, deaktiviert, erscheint nach der elften falschen Eingabe die Meldung „iPhone ist deaktiviert | Mit iTunes verbinden“. Das einzige was nun noch gemacht werden kann, ist über iTunes auf den Recovery Mode zuzugreifen. Die Anleitung dazu gibt es direkt von Apple. Nun kommt der Clou: Ausser das Gerät zurückzusetzen, Apple nennt das liebevoll „Wiederherstellen“, kann nichts mehr unternommen werden. Wenn Sie an diesem Punkt angekommen sind, hoffe ich, dass Sie ein aktuelles Backup von Ihrem Smartphone haben. Ich hatte bei meinen Tests leider kein solches. Ich ging davon aus, dass die Daten ja eben nicht gelöscht werden.

Falls der Schalter aktiviert ist, können Sie sich den Schritt mit dem iTunes sparen, da das Smartphone sich von selbst nach der elften falschen Eingabe „wiederherstellt“. In beiden Fällen sind Sie Ihre Daten sehr kreativ losgeworden.

Hinsichtlich dieser beiden „einzigen“ Optionen, stellt sich natürlich die Frage: „Benötige ich wirklich ein 12-stelliges Passwort mit Gross-und Kleinbuchstaben, Zahlen und Sonderzeichen, wenn ein Angreifer nur elf Chancen hat dies zu erraten? Ich meine, bei einem vierstelligen PIN gibt es schon 10’000 Kombinationen. Wenn ein sechsstelliger PIN verwendet wird, gibt es 1 Million Möglichkeiten. Und wenn ich nun nicht gerade [1234] oder [4321] verwende, ist das ja nahezu nicht zu erraten.“ Das stimmt natürlich, jedoch kann nie ausgeschlossen werden, dass es einen anderen Weg gibt, ein iPhone PIN/Passwort zu knacken, als direkt am Gerät. Daher empfiehlt es sich auch hier, eine möglichst komplexe Kombination zu wählen.

Die eigentliche Frage, ob es angemessen ist ein Smartphone automatisch nach gewissen falschen Eingaben zu „wipen“, hat sich jedoch bei iOS Geräten erübrigt. Es gibt gar keine anderen Optionen, daher muss der ausdauernde Jogger mit dem Risiko leben, kein Zielfoto machen zu können. Die einzige Möglichkeit ist, mittels MDM-System (Mobile Device Management) die Zahl der akzeptierten fehlerhaften Eingaben vor dem „wipen“ zu erhöhen. Mit einem Microsoft Exchange kann z.B. die Zahl auf 16 Versuche erhöht werden. Gemäss meiner Rechnung, mit der Annahme, dass ab dem neunten Versuch 1 Stunde gewartet werden muss, müsste ein Jogger mindestens 9 Stunden und 36 Minuten unterwegs sein, bevor dieser auf ein aktuelles Backup angewiesen ist. Ja, ich weiss: Es soll Menschen geben, die solange Joggen…

Der Roboter zieht nach

Bei Android sieht die Sache anders aus. Standardmässig gibt es keine Beschränkung, wo das Gerät komplett auf „stuur“ schaltet und nicht mehr zu gebrauchen ist. Auch sieht es mit den Wartezeiten zwischen den Fehlversuchen anders aus. In den Standardeinstellungen muss nach fünf Fehlversuchen 30 Sekunden gewartet werden. Danach werden bei jedem weiteren Versuch 30 Sekunden Wartezeit angehängt. Nach meiner Rechnung benötigt ein Angreifer maximal 3 Tage 11 Stunden 17 Minuten und 30 Sekunden um einen vierstelligen PIN zu knacken und 347 Tage 5 Stunden 17 Minuten und 30 Sekunden für einen sechsstelligen. Wenn ein 12-stelliges Passwort mit Gross-und Kleinbuchstaben, Zahlen und Sonderzeichen verwendet wird, wie wir das bei jedem anderen Account empfehlen, ergibt das eine maximale Knackzeit von etwa 452-billiarden Jahren. Welche Variante davon nun die Beste ist, ist unbestritten. Jedoch ergibt sich immer die Frage nach der „Usability“, Gebrauchstauglichkeit. Einen Mittelweg wäre ein 5-stelliges Passwort mit Gross-und Kleinbuchstaben, Zahlen und Sonderzeichen. Um dieses zu knacken müssten immerhin noch maximal 7’000 Jahre investiert werden. Diese Zahlen beschränken sich natürlich, wie unter den Apple-Geräten erwähnt, nur auf den Fall, dass es nebst den Versuchen direkt auf den Geräten keine anderen Möglichkeiten gibt. Sowas kann jedoch nie ausgeschlossen werden.

Der Vorteil beim Roboter (Android) ist sicherlich, dass es auch Varianten gibt, bei denen es kein Schockerlebnis gibt und ein Backup benötigt wird. Der Nachteil hingegen ist, dass auch ein sechsstelliger Code auf dem Gerät geknackt werden kann. Natürlich lässt sich das über diverse MDM-Systeme ändern, jedoch können wir so unsere ursprüngliche Frage klären. Ist das „Wipen“ angemessen, oder können wir über unsere eigenen Daten auf dem Smartphone sagen: „Wenn ein Angreifer zum Knacken meines sechsstelligen PINs fast ein Jahr aufwendet, dann hat er diese auch verdient.“ Diese Frage kann ich nicht für Sie beantworten, nur die Zahlen offen legen.

Der Plot Twist

Okay, vielleicht ist der Abschnitt-Name ein wenig übertrieben, jedoch möchte ich die ganze Thematik noch aus einem anderen Winkel anschauen. Damit erhoffe ich mir, dass ich Sie womöglich doch noch für den Einsatz eines mehrstelligen Passworts motivieren kann. Und zwar beginne ich wieder mit einer Frage:

Wieviel mal am Tag geben Sie Ihr PIN/Passwort auf einem modernen Smartphone ein?

Also ich kann die Frage mit 3-4 mal im Monat beantworten. Einmal nachdem das monatliche Update installiert wurde und das Gerät neustartet. Die restlichen Eingaben kommen davon, weil ich mit meinen Händen in den Hosentaschen meinem Smartphone das falsche Gefühl vermittle, dass ich es entsperren möchte. Ansonsten verwende ich nur noch meinen Fingerabdruck. Daher kann ich sagen, dass ich in meinem täglichen Dasein wenig gestört bin durch mein 12-stelliges Passwort auf meinem Smartphone.

Vielleicht auch etwas für Sie?

Informationen zum Autor: Stefan Fröhlich

Meine Affinität zur IT-Sicherheit habe ich während meiner Zeit als System Engineer erlangt. Dabei habe ich mich vor allem um die Einrichtung, die Wartung und den Betrieb von Security-Komponenten (insbesondere Firewalls) gekümmert. Ich musste immer wieder feststellen, dass eine perfekte Firewall allein wenig nützt. Sicherheit kann nur durch eine ganzheitliche Betrachtungsweise erlangt werden. Genau hier will ich bei goSecurity meine ganze Energie einsetzten. Für die gesamtheitliche Sicherheit Ihrer IT.