Sicheres Speichern von Passwörtern im Schlüsselbund auf dem Mac

2368
sam

Heute habe ich eine Menge Passwörter, und es ist ein großer Schmerz, sie zu verfolgen, besonders wenn Sie sich auch Datenbank- und Server-Passwörter merken müssen.

Ich habe mir die Verwendung der mit OSX mitgelieferten Schlüsselbund-Anwendung zum Speichern von Dateien angesehen. Ist dies eine gute Idee? Ist es sicher?

Ich weiß, dass Ihnen das Kennwort nur in Klartext angezeigt wird, wenn A) Zugriff auf die Maschine haben und B) wenn Sie das Anmeldekennwort für die Benutzer Ihres Computers eingeben - also vom Frontend aus scheint es in Ordnung zu sein, aber ist es im Backend sicher?

3
Ein standortübergreifendes Duplikat von [Wie sicher ist der Schlüsselbund unter OS X?] (Http://security.stackexchange.com/questions/756/how-secure-is-keychain-on-os-x) slhck vor 11 Jahren 0

2 Antworten auf die Frage

4
user495470

Ich weiß, dass das Kennwort nur in Klartext angezeigt wird, wenn A) Zugriff auf die Maschine haben und B), wenn Sie das Anmeldekennwort der Maschine eingeben

B gilt für Keychain Access, nicht jedoch für das Sicherheitssystem im Allgemeinen. Wenn der Login-Schlüsselbund wie bei der Anmeldung standardmäßig deaktiviert ist, können Sie securityalle Passwörter im Login-Schlüsselbund anzeigen, ohne ein Kennwort eingeben zu müssen:

security dump-keychain -d ~/Library/Keychains/login.keychain  security find-internet-password -s accounts.google.com -w 

Sie müssen nur eine Erlaubtaste drücken und das Passwort wird im Klartext angezeigt. Tatsächlich ist es komisch (und irreführend), dass Keychain Access und Safari die Eingabe des Kennworts für den Schlüsselbund erfordern, wenn Sie versuchen, ein Kennwort anzuzeigen.

Es gibt mindestens drei Möglichkeiten, das Anmeldekennwort im Einzelbenutzermodus oder über die Wiederherstellungspartition zurückzusetzen. Keines von ihnen setzt jedoch das Passwort des Login-Schlüsselbunds zurück. Wenn Sie versuchen, sich nach dem Zurücksetzen des Anmeldekennworts anzumelden, werden im Anmelde-Schlüsselbund keine Kennwörter angezeigt. Verwenden Sie das automatische Ausfüllen in Safari oder melden Sie sich automatisch in Mail an. Wenn Sie beispielsweise eine Google Mail-Adresse für Ihre Apple-ID verwenden, die automatische Anmeldung in der Web-Oberfläche von Google Mail aktiviert haben und keine Bestätigung in zwei Schritten für die Apple-ID verwenden, kann ein Angreifer das Google Mail-Konto verwenden, um Apple zurückzusetzen ID-Passwort Wenn die Option "Benutzer darf Kennwort mithilfe der Apple-ID zurücksetzen lassen" im Einstellungsbereich "Benutzer und Gruppen" aktiviert ist, kann der Angreifer die Apple-ID verwenden, um das Kennwort des Login-Schlüsselbunds zurückzusetzen.

Der Hash des Login-Passworts ist /var/db/dslocal/nodes/Default/users/username.plistin 10.7 und 10.8 gespeichert . Wenn Ihr Anmeldekennwort (normalerweise auch das Kennwort des Anmeldeschlüssels) einfach genug ist, kann der Hash in einer praktischen Zeit mit DaveGrohl geknackt werden :

$ sudo dave -u $USER -- Loaded PBKDF2 (Salted SHA512) hash... -- Starting attack  -- Found password : 'y8d' -- (incremental attack)  Finished in 879.274 seconds / 31,385 guesses... 35 guesses per second. 

10.7 verwendete eine schwächere Schlüsselableitungsfunktion, die es leicht machte, auch relativ komplexe Passwörter zu knacken. 10.8 wurde auf PBKDF2 umgestellt, wodurch die Risswerkzeuge auf etwa 10 Vermutungen pro Sekunde pro Kern begrenzt werden.

Wenn Sie die automatische Anmeldung aktiviert haben, wird das Kennwort des Login-Schlüsselbunds in / etc / kcpassword ab 10.8 in einer leicht zu entschlüsselnden Form gespeichert .

Wenn Sie zulassen möchten, dass jemand Ihr Konto verwendet, aber keine Passwörter mit securityangezeigt wird, können Sie den Login-Schlüsselbund über Keychain Access oder mit sperren security lock-keychain.

Wenn Sie sich nicht am Computer befinden, können Sie den Computer sperren, indem Sie beispielsweise im Einstellungsbereich "Sicherheit" die Option "Kennwort sofort nach dem Einschlafen oder Bildschirmschoner erforderlich" aktivieren und durch Drücken von "Control-Shift-Eject" die Anzeige ausschalten.

Sie können das automatische Sperren des Anmeldeschlüssels auch über Keychain Access aktivieren.

Wenn Sie verhindern möchten, dass Personen mit physischem Zugriff auf Ihren Computer im Einzelbenutzermodus gestartet werden (und das Anmeldekennwort zurücksetzen oder den Hash des Anmeldekennworts sehen), aktivieren Sie FileVault 2.

Jemand mit physischem Zugriff müsste sich auch bei Ihrem und / oder einem Administratorkonto anmelden können, obwohl dies korrekt ist. Sie können nicht einfach das Gastkonto eröffnen und den Schlüsselbund ohne Sudo-Kennwort entleeren. Das klingt nach einer [luftdichteren Luke] (http://blogs.msdn.com/b/oldnewthing/archive/2010/09/02/10057047.aspx) -Lücke. - Neil Neyman vor 1 Stunde Neil Neyman vor 11 Jahren 0
@NeilNeyman Ja, sie müssten sich anmelden und wenn sich das Passwort des Login-Schlüsselbunds vom Login-Passwort unterscheidet, müssen sie auch den Login-Schlüsselbund entsperren. Ich habe nicht gesagt, dass es sich um eine Sicherheitsanfälligkeit handelt, aber Keychain Access und Safari erfordern die Eingabe des Kennworts für den Schlüsselbund, wenn Sie versuchen, ein Kennwort anzuzeigen. Daher kann es überraschend sein, dass "Sicherheit" dies nicht tut, obwohl das Schlüsselbundsystem so ist arbeitet im Allgemeinen. user495470 vor 11 Jahren 0
1
ernie

Jede Art von Datenspeicher, mit dem Sie die Klartextdarstellung eines Kennworts erhalten können, ist anfällig. Wenn es umkehrbar ist, bedeutet es, dass es auch umkehrbar ist.

Das heißt, Apple Keychain verwendet Triple DES, was wahrscheinlich nicht brutal erzwungen wird. Beachten Sie, dass nur das Kennwort und Secure Notes verschlüsselt werden .