Я знаю, что он показывает вам пароль в виде обычного текста, только если A) имеет доступ к машине и B), если вы вводите пароль для входа пользователя на свои машины
B верно для Keychain Access, но не для системы безопасности в целом. Если цепочка для ключей входа в систему разблокирована, как это происходит по умолчанию при входе в систему, вы можете использовать security
чтобы увидеть все пароли в цепочке для ключей входа в систему без необходимости вводить какой-либо пароль:
security dump-keychain -d ~/Library/Keychains/login.keychain
security find-internet-password -s accounts.google.com -w
Вам нужно всего лишь нажать кнопку разрешения, и пароль отображается в виде простого текста. На самом деле странно (и вводит в заблуждение), что Keychain Access и Safari требуют ввода пароля цепочки для ключей, когда вы пытаетесь показать пароль.
Существует как минимум три способа сброса пароля для входа в однопользовательский режим или из раздела восстановления. Никто из них не сбрасывает пароль цепочки для ключей входа в систему, хотя. Если вы попытаетесь войти в систему после сброса пароля для входа, вы не увидите никаких паролей в цепочке для ключей входа в систему, используйте автоматическое заполнение в Safari или войдите автоматически в Mail. Но если, например, вы используете адрес Gmail для своего Apple ID, вы включили автоматический вход в веб-интерфейс Gmail и не используете двухэтапную проверку для Apple ID, злоумышленник может использовать учетную запись Gmail для сброса Apple Идентификационный пароль. Если опция "Разрешить пользователю сбрасывать пароль с помощью Apple ID" на панели настроек "Пользователи и группы" включена, злоумышленник может использовать Apple ID для сброса пароля цепочки для ключей входа в систему.
Хеш пароля для входа в систему хранится в /var/db/dslocal/nodes/Default/users/username.plist
в 10.7 и 10.8. Если ваш пароль для входа в систему (который обычно также является паролем цепочки для ключей входа в систему) достаточно прост, хеш может быть взломан за практическое время с помощью DaveGrohl:
$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack
-- Found password : 'y8d'
-- (incremental attack)
Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.
В 10.7 использовалась более слабая функция вывода ключей, которая позволяла легко взломать даже относительно сложные пароли. 10.8 переключился на PBKDF2, что ограничивает инструменты взлома до 10 догадок в секунду на ядро.
Если вы включили автоматический вход в систему, пароль цепочки для ключей входа в систему будет сохранен в /etc /kcpassword в простой для расшифровки форме, начиная с 10.8.
Если вы хотите разрешить кому-либо использовать вашу учетную запись, но не можете видеть пароли с security
, вы можете заблокировать цепочку для ключей входа в систему с помощью Keychain Access или с помощью цепочки ключей security lock-keychain
.
Когда вы находитесь вдали от компьютера, вы можете заблокировать его, например, установив флажок "Требовать пароль сразу после начала сна или заставки" на панели настроек "Безопасность" и нажав Control-Shift-Eject для отключения экранов.
Вы также можете включить автоматическую блокировку цепочки для ключей входа в систему из Keychain Access.
Если вы хотите запретить пользователям, имеющим физический доступ к вашему компьютеру, запускаться в однопользовательском режиме (и сбросить пароль для входа или увидеть хэш пароля для входа в систему), включите FileVault 2.