Безопасное хранение паролей в связке ключей на Mac
Как и у любого другого человека, в настоящее время у меня есть куча паролей, и отследить их очень сложно, особенно если вам также нужно запомнить пароли базы данных и сервера.
Я рассматривал использование приложения цепочки для ключей, которое идет в комплекте с OSX, для хранения, это хорошая идея, это безопасно?
Я знаю, что он показывает вам пароль в виде простого текста, если A) имеет доступ к машине и B), если вы вводите пароль для входа пользователя на свои машины - так что с внешнего интерфейса это кажется нормальным, но безопасно ли это на сервере?
2 ответа
Я знаю, что он показывает вам пароль в виде простого текста, только если A) имеет доступ к машине и B), если вы вводите пароль для входа пользователя на свои машины
B верно для Keychain Access, но не для системы безопасности в целом. Если брелок для входа в систему разблокирован, как это происходит по умолчанию при входе в систему, вы можете использовать security
чтобы увидеть все пароли в цепочке для ключей входа без необходимости ввода пароля:
security dump-keychain -d ~/Library/Keychains/login.keychain
security find-internet-password -s accounts.google.com -w
Вам нужно всего лишь нажать кнопку разрешения, и пароль отображается в виде простого текста. На самом деле странно (и вводит в заблуждение), что Keychain Access и Safari требуют ввода пароля цепочки для ключей, когда вы пытаетесь показать пароль.
Существует как минимум три способа сброса пароля для входа в однопользовательский режим или из раздела восстановления. Никто из них не сбрасывает пароль брелка для входа, хотя Если вы попытаетесь войти в систему после сброса пароля для входа в систему, вы не увидите никаких паролей в цепочке для ключей входа в систему, используйте автоматическое заполнение в Safari или войдите в систему автоматически в Mail. Но если, например, вы используете адрес Gmail для своего Apple ID, вы включили автоматический вход в веб-интерфейс Gmail и не используете двухэтапную проверку для Apple ID, злоумышленник может использовать учетную запись Gmail для сброса Apple Идентификационный пароль. Если опция "Разрешить пользователю сбрасывать пароль с помощью Apple ID" на панели настроек "Пользователи и группы" включена, злоумышленник может использовать Apple ID для сброса пароля цепочки ключей для входа.
Хэш пароля для входа хранится в /var/db/dslocal/nodes/Default/users/username.plist
в 10,7 и 10,8. Если ваш пароль для входа в систему (который обычно также является паролем цепочки для ключей входа в систему) достаточно прост, хеш может быть взломан за некоторое время с помощью DaveGrohl:
$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack
-- Found password : 'y8d'
-- (incremental attack)
Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.
В 10.7 использовалась более слабая функция вывода ключей, которая позволяла легко взломать даже относительно сложные пароли. 10.8 переключился на PBKDF2, что ограничивает инструменты взлома до 10 догадок в секунду на ядро.
Если вы включили автоматический вход в систему, пароль цепочки для ключей входа в систему хранится в /etc/kcpassword в простой для расшифровки форме, начиная с 10.8.
Если вы хотите разрешить кому-либо использовать вашу учетную запись, но не видите пароли с security
, вы можете заблокировать брелок для входа в систему из Keychain Access или с помощью security lock-keychain
,
Когда вы находитесь вдали от компьютера, вы можете заблокировать его, например, установив флажок "Требовать пароль сразу после начала сна или заставки" на панели настроек "Безопасность" и нажав Control-Shift-Eject для отключения экранов.
Вы также можете включить автоматическую блокировку цепочки для ключей входа в систему из Keychain Access.
Если вы хотите запретить пользователям, имеющим физический доступ к вашему компьютеру, запускаться в однопользовательском режиме (и сбросить пароль для входа или увидеть хэш пароля для входа в систему), включите FileVault 2.
Любое хранилище данных, позволяющее получить текстовое представление пароля, будет уязвимым. Если это обратимо, это означает, что это также обратимый перебор.
Тем не менее, Apple Keychain использует Triple DES, который вряд ли будет подвергнут грубому насилию. Обратите внимание, что только пароль и защищенные заметки зашифрованы.