22 febrero 2010

Contraseña más robusta para acceso a Iphone

Tiempo atrás Jose Antonio nos daba unos cuantos buenos consejos para securizar la por defecto mediocre configuración de nuestros Iphones, sobre todo si los íbamos a utilizar para conectarnos a Internet, en un entorno de alto riesgo como puede ser una conferencia de hackers.

Sin embargo, para evitar a curiosos con acceso físico al dispositivo, este tipo de teléfono permite, como otros, configurar una clave númerica como mecanismo de seguridad para poder desbloquearlo y operar con él. Esta clave numérica tiene el formato de un código PIN de una SIM, es decir, un número de cuatro dígitos (0000-9999); 10000 combinaciones diferentes posibles con numeros grandes para ser marcados, y fácilmente vistos por curiosos que nos observen operar con nuestro teléfono a una distancia demasiado cercana. Quién sabe si además utilizamos ese mismo código de seguridad para el PIN de la SIM, el código de la alarma o el de seguridad de la tarjeta de crédito para operar en un cajero automático.

En general se considera que una contraseña ha de ser lo suficientemente robusta como para que el averiguarla por fuerza bruta sea más caro en el tiempo, que lo que supone acceder a la información que esa contraseña (o mecanismo de seguridad) protege. Si nos roban el iPhone, puede ser una tarea tediosa probar 10000 combinaciones a mano, pero, puede hacerse. En Iphone podemos configurar por defecto que a los 10 intentos de contraseña incorrecta el teléfono, la información personal interna, se borre automáticamente. Esto que puede parecer una ventaja de seguridad, puede llegar a ser la consecuencia de una "broma pesada", si perdemos de vista el teléfono un tiempo y tenemos algún "amigo" excesivamente gracioso.

Por ello, y aunque ya ha sido publicado en múltiples foros dedicados a aplicaciones para Iphone exclusivamente, me gustaría comentar que existe una nueva configuración de seguridad de acceso físico para Iphone. En 9to5mac.com podemos descargar, desde el propio dispositivo, un perfil de seguridad que, una vez instalado no permitirá/obligará a configurar una contraseña alfanumérica con cierta complejidad (mezcla de letras y números) para acceso al teléfono.

Puede resultar un poco incómodo tener que escribir una contraseña más larga y compleja sobre el teclado típico de Iphone en vez del cómodo teclado númerico infalible que se ofrece por defecto. Sin embargo, si de verdad nos importan los datos que contiene nuestro dispositivo, con una mayor dificultad a la hora de ser crackeada por shoulder surfing y por fuerza bruta, esta puede ser una buena medida.

En caso que queramos volver a dejar el dispositivo como estaba, resultará tan sencillo como ir a "Sistema -> General -> Perfiles -> 9to5mac" y darle al botón Eliminar. Después hay que ir a "Sistema -> General -> Bloqueo con código", deshabilitar el acceso con código y luego volver a habilitar un código numérico de los de toda la vida.

6 comments :

Jordi Prats dijo...

Desconozco el funcionamiento del iPhone si es más restrictivo pero yo desde hace años que tengo el PIN de 8 cifras (10^8) Este es el máximo que permite la SIM

José G Sánchez dijo...

Excelente aplicación. Gracias por la info.
Saludos.

a0rtega dijo...

Según leí en la docu oficial, en las nuevas versiones cuando se mete la clave > 10 veces mal no se borran los datos, sino que se borra la clave de cifrado de estos datos.
Si esta clave de cifrado es la misma que la que nosotros metemos, sacarla por fuerza bruta sería cuestión de segundos.
De forma que, ni aún teniendo esa opción configurada estamos muy seguros ... :S

a0rtega dijo...

Aquí está lo que comentaba antes, por si a alguien le interesa:

Después de introducir un código equivocado diez veces, se restaurarán los ajustes por
omisión y se borrarán todos los datos y contenidos:
(iPhone)
En los iPhone 3GS: eliminando la clave de encriptación de los datos (que están encriptados
mediante la encriptación AES de 256 bits)
En el iPhone y en el iPhone 3G: sobrescribiendo los datos
(iPod T)
En los modelos de otoño de 2009 con 32 GB o más: eliminando la clave de encriptación
de los datos (que están encriptados mediante la encriptación AES de 256 bits)
En los modelos de otoño de 2009 con menos de 32 GB y en los modelos anteriores a otoño de 2009: sobrescribiendo los datos

Saludos

Lorenzo Martínez dijo...

@Jordi -> tienes razón, el ejemplo que cogí no es el más acertado, puesto que permite hasta 8 dígitos. Sin embargo, por defecto te lo dan con uno de 4.

@José G Sánchez -> Gracias por tus ánimos :D

@a0rtega -> Sea como sea que se sobrescriben los datos o que se borra la clave AES de 256 bits, lo que parece claro es que no es tan sencillo rcuperar los datos.

Yo de momento tengo activada esta configuración. Próximamente os daré alguna otra sorpresilla respecto a la configuración de las opciones de seguridad de Iphone.

jcea dijo...

10.000 combinaciones son pocas si nos roban el teléfono, porque tienen todo el tiempo del mundo. Pero si lo perdemos de vista 5 minutos es razonable, porque el iPhone mete una penalización de tiempo creciente tras el primer par de fallos.

El último verano un compi se quedó sin teléfono durante más de una hora, con la "gracia" :-). Menos mal que yo llevaba otro GPS :-).