Waarom een korte cijfercode op je iPhone niet genoeg is

Eerder schreven we al over GrayKey, het kastje waarmee iPhones ontgrendeld kunnen worden. Diverse politiediensten blijken GrayKey al in gebruik te hebben om bijvoorbeeld toegang te krijgen tot iPhones die bij een misdrijf zijn gebruikt. Nu zal de gemiddelde iCulture-lezer misschien niet zo snel in aanraking komen met een Amerikaanse politiedienst, maar de kastjes zijn ook erg aantrekkelijk voor criminele bendes die iPhones stelen.

Matthew Green, assistent-professor en cryptograaf bij het Johns Hopkins Information Security Institute zegt dat een code van 4 cijfers in een tijdsbestek van tussen de 6,5 en 13 minuten te kraken is. Een code met 6 cijfers neemt zo’n 11 tot 22 uur in beslag. Dat maakt overigens wel meteen duidelijk dat je als gewone burger ook niet meteen in paniek moet raken. Een kwaadwillende moet wel heel gemotiveerd zijn om een dure tool te kopen én meer dan 10 uur te besteden aan het ontgrendelen van jouw iPhone. Er moet vrij belangrijke informatie op jouw toestel staan om die investering te rechtvaardigen. Bij de iPhone van een verdachte in een moordzaak is het die investering waard. Wil je alleen maar de kattenfoto’s op iemands telefoon bekijken of kijken of je partner vreemdgaat, dan ga je waarschijnlijk niet al die moeite nemen.

Paar cijfers, groot verschil
Green laat zien hoe een paar cijfers verschil kunnen maken: zou je een code van 8 cijfers kiezen, dan duurt het tussen de 46 uur en 92 dagen om de code te raden. Ga je helemaal los met een 10-cijferige code met alleen getallen, dan duurt het met de stand van de huidige techniek vele jaren voordat de code geraden is. Green schat het op 12 tot 25 jaar. Dat maakt ook duidelijk dat een complexe toegangscode met letters en symbolen niet altijd nodig is om jezelf veiliger te voelen. Ook met een langere cijfercode lukt het, al moet je natuurlijk niet je geboortedatum of trouwdatum erin verwerken.

Bekijk ook

Zo maak je je iPhone toegangscode veiliger met een complexe, alfanumerieke code

Je kunt de iPhone pincode veiliger maken door een langere toegangscode met cijfers, letters en speciale karakters te kiezen. Zo'n alfanumerieke code is moeilijker te raden.

Let op je code
De discussie over toegangscodes is opeens actueel nu de GrayKey in omloop is, het kastje waarmee overheidsdiensten met brute force de toegangcode van een iPhone kunnen raden. Niemand buiten het bedrijf zelf weet exact hoe het kastje werkt, maar de indruk bestaat dat er gebruik wordt gemaakt van een exploit die Apple’s beveiliging omzeilt. Normaal moet je na het invoeren van een foute code steeds langer wachten, maar de makers van GrayKey hebben iets bedacht waardoor ze snel heel veel codes achter elkaar kunnen proberen – totdat de juiste code gevonden is. Daardoor wordt GrayKey ook interessant voor dieven, al moet je wel heel veel gestolen iPhones hebben om de aanschafprijs van $15.000 tot $30.000 eruit te halen.

Wat kun je zelf doen?
In 2015 werd een toegangcode van 6 cijfers standaard in iOS, terwijl voorheen een 4-cijferige code werd gebruikt. Gebruik je nu een 4- of 6-cijferige code, dan kun je die het beste wijzigen in een complexere toegangscode, zoals in onderstaande tip wordt uitgelegd.

Zoals uit de informatie van Matthew Green blijkt biedt een cijfercode van 8 of 10 getallen al een veel betere bescherming. Nog beter is om te kiezen voor een alfanumeriek wachtwoord met letters, cijfers en speciale tekens. Ook kun je instellen dat je iPhone wordt gewist na 10 mislukte pogingen. Dit beschermt je wellicht niet tegen de GrayKey-tool, maar wel tegen andere brute force-aanvallen.