3

Как и у любого другого человека, в настоящее время у меня есть куча паролей, и отследить их очень сложно, особенно если вам также нужно запомнить пароли базы данных и сервера.

Я рассматривал использование приложения цепочки для ключей, которое идет в комплекте с OSX, для хранения, это хорошая идея, это безопасно?

Я знаю, что он показывает вам пароль в виде простого текста, если A) имеет доступ к машине и B), если вы вводите пароль для входа в систему на своих машинах - так что с внешнего интерфейса это выглядит нормально, но безопасно ли это на сервере?

2 ответа2

4

Я знаю, что он показывает вам пароль в виде обычного текста, только если A) имеет доступ к машине и B), если вы вводите пароль для входа пользователя на свои машины

B верно для Keychain Access, но не для системы безопасности в целом. Если цепочка для ключей входа в систему разблокирована, как это происходит по умолчанию при входе в систему, вы можете использовать security чтобы увидеть все пароли в цепочке для ключей входа в систему без необходимости вводить какой-либо пароль:

security dump-keychain -d ~/Library/Keychains/login.keychain

security find-internet-password -s accounts.google.com -w

Вам нужно всего лишь нажать кнопку разрешения, и пароль отображается в виде простого текста. На самом деле странно (и вводит в заблуждение), что Keychain Access и Safari требуют ввода пароля цепочки для ключей, когда вы пытаетесь показать пароль.

Существует как минимум три способа сброса пароля для входа в однопользовательский режим или из раздела восстановления. Никто из них не сбрасывает пароль цепочки для ключей входа в систему, хотя. Если вы попытаетесь войти в систему после сброса пароля для входа, вы не увидите никаких паролей в цепочке для ключей входа в систему, используйте автоматическое заполнение в Safari или войдите автоматически в Mail. Но если, например, вы используете адрес Gmail для своего Apple ID, вы включили автоматический вход в веб-интерфейс Gmail и не используете двухэтапную проверку для Apple ID, злоумышленник может использовать учетную запись Gmail для сброса Apple Идентификационный пароль. Если опция "Разрешить пользователю сбрасывать пароль с помощью Apple ID" на панели настроек "Пользователи и группы" включена, злоумышленник может использовать Apple ID для сброса пароля цепочки для ключей входа в систему.

Хеш пароля для входа в систему хранится в /var/db/dslocal/nodes/Default/users/username.plist в 10.7 и 10.8. Если ваш пароль для входа в систему (который обычно также является паролем цепочки для ключей входа в систему) достаточно прост, хеш может быть взломан за практическое время с помощью DaveGrohl:

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

В 10.7 использовалась более слабая функция вывода ключей, которая позволяла легко взломать даже относительно сложные пароли. 10.8 переключился на PBKDF2, что ограничивает инструменты взлома до 10 догадок в секунду на ядро.

Если вы включили автоматический вход в систему, пароль цепочки для ключей входа в систему будет сохранен в /etc /kcpassword в простой для расшифровки форме, начиная с 10.8.

Если вы хотите разрешить кому-либо использовать вашу учетную запись, но не можете видеть пароли с security , вы можете заблокировать цепочку для ключей входа в систему с помощью Keychain Access или с помощью цепочки ключей security lock-keychain .

Когда вы находитесь вдали от компьютера, вы можете заблокировать его, например, установив флажок "Требовать пароль сразу после начала сна или заставки" на панели настроек "Безопасность" и нажав Control-Shift-Eject для отключения экранов.

Вы также можете включить автоматическую блокировку цепочки для ключей входа в систему из Keychain Access.

Если вы хотите запретить пользователям, имеющим физический доступ к вашему компьютеру, запускаться в однопользовательском режиме (и сбросить пароль для входа или увидеть хэш пароля для входа в систему), включите FileVault 2.

1

Любое хранилище данных, позволяющее получить текстовое представление пароля, будет уязвимым. Если это обратимо, это означает, что это также обратимый перебор.

Тем не менее, Apple Keychain использует Triple DES, который вряд ли будет подвергнут грубому насилию. Обратите внимание, что только пароль и защищенные заметки зашифрованы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .