Nachdem bereits vor einigen Wochen bekannt wurde, dass mit Hilfe eines kleinen Geräts Apples Sicherheitsvorkehrungen im iPhone umgangen werden können, gibt es nun konkrete Zahlen, wie schnell euer Smartphone die Türen öffnen kann.

 

iOS 11

Facts 

Sechsstellige iPhone-Passcodes können in 22 Stunden geknackt werden

Die meisten iPhone-Nutzer dürften als Alternative zum Fingerabdruck oder Gesicht einen sechs- oder gar nur vierstelligen Passcode aus Zahlen verwenden. Matthew Green, Sicherheits- und Kryptographie-Experte des Johns Hopkins Information Security Institute, schaute sich die Zahlen aus Apples Sicherheitshandbuch für iOS (PDF) genauer an und errechnete so, dass ein sechsstelliger PIN-Code theoretisch in durchschnittlich rund 11 Stunden bestimmt werden kann; maximal dauert es rund 22 Stunden. Nutzt ihr einen Code aus nur vier Zahlen, reduziert sich diese Zeit auf im Durchschnitt 6,5 Minuten. Im längsten Fall vergehen ebenfalls nur vergleichsweise geringe 13 Minuten bis der korrekte Code gefunden wurde.

Wählt ihr hingegen einen längeren Passcode mit 8 Stellen, wächst die Zeit im längsten Fall auf mehr als 92 Tage; bei 10 Stellen sind es sogar mehr als 9.200 Tage — das sind mehr als 25 Jahre. Green geht des Weiteren darauf ein, welche Vor- und Nachteile die Wahl eines alphanumerischen Passworts haben kann.

Green weist etwa darauf hin, dass iOS bei der Wahl eines alphanumerischen Passworts nur noch die vergleichsweise kleine Tastatur anzeigt. Dies gilt auch dann, wenn man nur eine zufällige Zahlenreihe als Passwort wählt. Diese vergleichsweise kleinen Tasten des herkömmlichen Keyboards könnten sich in der Praxis als umständlich erweisen.

Wer auf Nummer sicher gehen will, ist weiterhin mit einem langem und zufällig gewählten Passwort, welches aus Zahlen, Sonderzeichen sowie großen und kleinen Buchstaben besteht, besser aufgestellt. Des Weiteren sollte man dasselbe Passwort nicht mehrfach für unterschiedlichen Zwecke oder Geräte verwenden.

GrayKey: Kleine Box knackt Passcodes und umgeht künstliche Verzögerungen

Außerdem haben die Entwickler der GrayKey-Box eine Möglichkeit gefunden, die Verzögerung bei fehlerhaften Eingabeversuchen zu deaktivieren. Gleiches gilt für die optionale Einstellung, welche Daten auf dem Gerät nach 10 falschen Eingaben gelöscht werden sollen. Die in iOS integrierten Funktionen, welche die persönlichen Daten auf dem Gerät schützen sollen, bieten gegen GrayKey keine Hilfe.

Die kleine Box ist aber etwas langsamer als die theoretischen Angaben von Matthew Green. Die Brute-Force-Methode, bei der alle möglichen Zahlenkombinationen ausprobiert werden, kann bei sechsstelligen Passcodes bis zu drei Tage dauern. GrayKey wird derzeit nur an Behörden verkauft. Die Preise variieren je nach Modell zwischen 15.000 und 30.000 US-Dollar.

Quellen: Matthew Green/Twitter, Vice