De checklist URL gaat naar https://www.cisecurity.org/tools2/iphone/CIS_iPhone_2.2.1_Benchmark_v1.0.0.pdf
, maar het ssl certificaat is getekend door een onbekende partij.

Jezus..., fix eerst je eigen website zou ik zeggen!

De auteur van dit document is redelijk de mist in gegaan en het beperkte groepje reviewers heeft hem niet tegengehouden.
- Een passcode voor een iPhone (of een PDAphone van een ander merk) is geen paswoord gelinked aan een userid waarvan een hash gestockeerd wordt in een paswoord-db. Regels zoals voor PIN codes zijn dus ruim voldoende en bovendien krijg je dit soort regels (complexe paswoorden die heel regelmatig moeten veranderd worden) in de meeste bedrijven gewoon niet verkocht aan de gebruikers (lees management).
- Dit zijn wel heel originele settings en combinaties van settings: de passcode moet complex zijn maar toch is 5 lang genoeg en mag de gebruiker liefst 10 maal proberen voorlaleer het toestel zichzelf wist; een expiration van 42 dagen is ook eens iets anders maar ik vind het niet leuk dat mijn favoriete getal in deze context misbruikt wordt (-:
Mijn voorstel:
- verplichte passcode (OK)
- alleen cijfers geen probleem (PIN-code, een numerieke code kan ook veel gemakkelijker ingetikt worden)
- minimum lengte 5 (OK, vermijd meest gemaakte fout om verjaardag als passcode te gebruiken)
- geen maximum passcode age (ik verander de PIN-code van mijn betaalkaart ook nooit)
- auto-lock na 5 minuten (OK, de gebruiker kan namelijk zelf niet locken)
- inhoud wissen na 3 foute pogingen (na meer dan 3 pogingen is men toch maar aan het gokken)

Toon
-

Helemaal eens met Toon, alleen met zijn laatste eis: 3 pogingen, ben ik het niet eens. 5 is het minimum.
Stel je maar voor:
- passcode aangepast a.g.v. policy, je gaat slapen......
- smorgens vroeg, je ontwaakt,
- even mail checken:
- passcode invoeren: 1e poging.... fout.... huh? knipper, knipper, handen door je haren, nog een keer
- passcode invoeren, natuurlijk probeer je dezelfde: 2e poging ......fout....... PANIEK!!!!!! want je weet dat je er nog maar een hebt en je weet zeker dat je de je goed bekende code goed had ingevoerd.
- derde poging, maar nu helemaal in paniek, FOUT..... het toestel begint zich te wissen..... (dank je wel Toon)

Met nog 2 pogingen over heb je dan nog de kans om eerst eens goed wakker te worden te douchen en na te denken, en dan onder de douche bij het haren wassen ontdek je weer de oorzaak... O ja, ik moest van Toon mijn passcode veranderen... ;-)

Caroline

@Caroline

Als de policy zou vragen om je passcode aan te passen: iets meer reden om naar 5 (of 6) te gaan.
Als de polciy dat niet vraagt (zoals ik voorstel): iets minder reden om hoger dan 3 te gaan.

Algemeen toepasbare strategie:

Zet de policy enkele maanden op 5 (of 6) en check of de helpdesk statistieken effectief een merkbare vermindering van het aantal 'ik heb mijn toestel geblokkeerd/gewist want ik heb teveel keer gemist terwijl ik mijn passcode toch nog ken' incidenten aantonen. Indien dit zo is heb je een businessreden om de zaak op 5 (of 6) te laten staan wetend dat als het securityrisico verhoogt dat toch vrij weinig zal zijn. Als de statistieken geen tastbare bewijzen geven van wat meestal subjectief verondersteld wordt, ka je best terug overschakelen naar het geval '3'.

Iets om over na te denken onder de douche bij het haren wassen ... ;-)

Toon