Ich weiß, dass das Kennwort nur in Klartext angezeigt wird, wenn A) Zugriff auf die Maschine haben und B), wenn Sie das Anmeldekennwort der Maschine eingeben
B gilt für Keychain Access, nicht jedoch für das Sicherheitssystem im Allgemeinen. Wenn der Login-Schlüsselbund wie bei der Anmeldung standardmäßig deaktiviert ist, können Sie security
alle Passwörter im Login-Schlüsselbund anzeigen, ohne ein Kennwort eingeben zu müssen:
security dump-keychain -d ~/Library/Keychains/login.keychain security find-internet-password -s accounts.google.com -w
Sie müssen nur eine Erlaubtaste drücken und das Passwort wird im Klartext angezeigt. Tatsächlich ist es komisch (und irreführend), dass Keychain Access und Safari die Eingabe des Kennworts für den Schlüsselbund erfordern, wenn Sie versuchen, ein Kennwort anzuzeigen.
Es gibt mindestens drei Möglichkeiten, das Anmeldekennwort im Einzelbenutzermodus oder über die Wiederherstellungspartition zurückzusetzen. Keines von ihnen setzt jedoch das Passwort des Login-Schlüsselbunds zurück. Wenn Sie versuchen, sich nach dem Zurücksetzen des Anmeldekennworts anzumelden, werden im Anmelde-Schlüsselbund keine Kennwörter angezeigt. Verwenden Sie das automatische Ausfüllen in Safari oder melden Sie sich automatisch in Mail an. Wenn Sie beispielsweise eine Google Mail-Adresse für Ihre Apple-ID verwenden, die automatische Anmeldung in der Web-Oberfläche von Google Mail aktiviert haben und keine Bestätigung in zwei Schritten für die Apple-ID verwenden, kann ein Angreifer das Google Mail-Konto verwenden, um Apple zurückzusetzen ID-Passwort Wenn die Option "Benutzer darf Kennwort mithilfe der Apple-ID zurücksetzen lassen" im Einstellungsbereich "Benutzer und Gruppen" aktiviert ist, kann der Angreifer die Apple-ID verwenden, um das Kennwort des Login-Schlüsselbunds zurückzusetzen.
Der Hash des Login-Passworts ist /var/db/dslocal/nodes/Default/users/username.plist
in 10.7 und 10.8 gespeichert . Wenn Ihr Anmeldekennwort (normalerweise auch das Kennwort des Anmeldeschlüssels) einfach genug ist, kann der Hash in einer praktischen Zeit mit DaveGrohl geknackt werden :
$ sudo dave -u $USER -- Loaded PBKDF2 (Salted SHA512) hash... -- Starting attack -- Found password : 'y8d' -- (incremental attack) Finished in 879.274 seconds / 31,385 guesses... 35 guesses per second.
10.7 verwendete eine schwächere Schlüsselableitungsfunktion, die es leicht machte, auch relativ komplexe Passwörter zu knacken. 10.8 wurde auf PBKDF2 umgestellt, wodurch die Risswerkzeuge auf etwa 10 Vermutungen pro Sekunde pro Kern begrenzt werden.
Wenn Sie die automatische Anmeldung aktiviert haben, wird das Kennwort des Login-Schlüsselbunds in / etc / kcpassword ab 10.8 in einer leicht zu entschlüsselnden Form gespeichert .
Wenn Sie zulassen möchten, dass jemand Ihr Konto verwendet, aber keine Passwörter mit security
angezeigt wird, können Sie den Login-Schlüsselbund über Keychain Access oder mit sperren security lock-keychain
.
Wenn Sie sich nicht am Computer befinden, können Sie den Computer sperren, indem Sie beispielsweise im Einstellungsbereich "Sicherheit" die Option "Kennwort sofort nach dem Einschlafen oder Bildschirmschoner erforderlich" aktivieren und durch Drücken von "Control-Shift-Eject" die Anzeige ausschalten.
Sie können das automatische Sperren des Anmeldeschlüssels auch über Keychain Access aktivieren.
Wenn Sie verhindern möchten, dass Personen mit physischem Zugriff auf Ihren Computer im Einzelbenutzermodus gestartet werden (und das Anmeldekennwort zurücksetzen oder den Hash des Anmeldekennworts sehen), aktivieren Sie FileVault 2.