text.skipToContent text.skipToNavigation

iOS Security - Sichere Apps für iPhone und iPad von Eilers, Carsten (eBook)

  • Erscheinungsdatum: 21.04.2014
  • Verlag: entwickler.press
eBook (PDF)
22,99 €
inkl. gesetzl. MwSt.
Sofort per Download lieferbar

Online verfügbar

iOS Security - Sichere Apps für iPhone und iPad

Apple betont gerne, wie sicher iOS ist. Doch jede Sicherheit ist relativ, wenn eine App nicht ausreichend geschützt ist. Dieses Buch erläutert die Möglichkeiten für Angriffe auf iOS-Geräte sowie iOS-Apps und erläutert, welche Schwachstellen sich im System befinden. Gleichzeitig werden die Schutzmaßnahmen wie die Sandbox, die Key Chain und weitere Apple Sicherheitsfunktionen so offengelegt, dass Sie deren Möglichkeiten voll ausnutzen und Ihre App richtig schützen können.

Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz. Seine Arbeitsschwerpunkte sind die Sicherheit von Webanwendungen, lokalen Netzen und einzelnen Client-Rechnern. Er ist regelmäßiger Autor für das PHP- und das Entwickler-Magazin und schreibt auch für andere Fachzeitschriften und Onlinemedien. Sie erreichen ihn unter www.ceilers-it.de, sein Blog mit Grundlagenartikeln zur IT-Sicherheit sowie Kommentaren zu aktuellen Entwicklungen finden Sie unter www.ceilers-news.de.

Produktinformationen

    Format: PDF
    Kopierschutz: watermark
    Seitenzahl: 274
    Erscheinungsdatum: 21.04.2014
    Sprache: Deutsch
    ISBN: 9783868022889
    Verlag: entwickler.press
    Größe: 3845kBytes
Weiterlesen weniger lesen

iOS Security - Sichere Apps für iPhone und iPad

2.10 Sperrcode und Zugriffsschutz

Oben wurde ja bereits beschrieben, wie die auf dem iOS-Gerät gespeicherten Daten mithilfe kryptografischer Verfahren vor unbefugten Zugriffen geschützt werden, nun geht es um den Schutz der Benutzeroberfläche des Geräts. Dazu dient der Sperrcode (Passcode).

Wird für ein iOS-Gerät ein Sperrcode gesetzt, wird damit automatisch die Data Protection aktiviert. Außer zum Entsperren des Geräts wird der Sperrcode auch als Eingabe für verschiedene Krypto-Schlüssel verwendet. Da er nicht auf dem Gerät gespeichert ist, kann ein Angreifer, der sich Zugriff auf das Gerät verschafft hat, ohne den Sperrcode keinen Zugriff auf die Daten in bestimmten Schutzklassen erlangen.

Da der Sperrcode mit der UID des Geräts verknüpft ist, müssen Brute-Force-Angriffe zum Ermitteln des Sperrcodes auf dem angegriffenen Gerät erfolgen. Da ein Versuch ungefähr 80 Millisekunden dauert, dauert zum Beispiel das Ausprobieren aller möglichen Werte eines sechsstelligen alphanumerischen Sperrcodes aus Kleinbuchstaben und Ziffern mehr als 5 ½ Jahre, für einen neunstelligen Sperrcode, der nur aus Ziffern besteht, sind es noch 2 ½ Jahre.

Zusätzlich verlangsamen wachsende Pausen des Lock Screens nach jeder Falscheingabe den Angriff. Außerdem kann das Gerät so konfiguriert werden, dass es nach einer bestimmten Anzahl falsch eingegebener Sperrcodes gelöscht wird. Die Konfiguration kann auch durch einen MDM-Server und Exchange ActiveSync erfolgen.

2.10.1 Anforderungen an den Sperrcode

Per Default ist der Sperrcode eine vierstellige PIN, iOS kann aber auch so konfiguriert werden, dass längere und vor allem alphanumerische Sperrcodes verwendet werden. Diese Möglichkeit sollten Sie möglichst auch nutzen, denn längere und vor allem komplexere Sperrcodes sind schwerer zu erraten und schwerer durch einen Brute-Force-Angriff zu ermitteln.

In Unternehmen können die Anforderungen an das Passwort und weitere Regeln entweder über ein Mobile Device Management (MDM) oder Exchange ActiveSync oder aber über manuell installierte Konfigurationsprofile konfiguriert werden. Für den Sperrcode stehen dabei die folgenden Policies zur Verfügung:

Einfache Werte erlauben: Der Sperrcode darf aufeinanderfolgende oder sich wiederholende Zeichen enthalten, zum Beispiel sind "1234" oder "AAAA" zulässige Sperrcodes.
Alphanumerische Werte erforderlich: Der Sperrcode muss mindestens einen Buchstaben oder eine Ziffer enthalten
Mindestlänge des Codes: Die Anzahl der Zeichen, die der Sperrcode mindestens enthalten muss.
Mindestanzahl von komplexen Zeichen: Die Anzahl der nicht alphanumerischen Zeichen (zum Beispiel $, & und !), die der Sperrcode mindestens enthalten muss.
Maximale Codegültigkeit (in Tagen): Der Sperrcode muss nach Ablauf des angegebenen Zeitintervalls geändert werden.
Codeverlauf: Anzahl der alten Sperrcodes, mit denen ein neuer Sperrcode verglichen werden soll; der neue Sperrcode wird nicht akzeptiert, wenn er mit einem bereits verwendeten Sperrcode übereinstimmt.
Automatische Sperre (in Minuten): Nach Ablauf einer bestimmten Zeit ohne Aktivität wird das Gerät gesperrt; hier wird konfiguriert, welchen Maximalwert der Benutzer dafür angeben darf.
Zeitraum bis zur Gerätesperrung: Eine gewisse Zeit nach der letzten Verwendung kann die Sperre aufgehoben werden, ohne dass der Sperrcode erneut eingegeben werden muss. Hier wird konfiguriert, welchen Maximalwert der Benutzer dafür angeben darf. Wird "ohne" ausgewählt, kann der Benutzer den Zeitraum beliebig wählen. Wird "sofort" ausgewählt, muss der Sperrcode jedes Mal eingegeben wer

Weiterlesen weniger lesen

Kundenbewertungen