題 安全地將密碼存儲在mac上的鑰匙串中


和現在的任何人一樣,我有大量的密碼,並且跟踪它們是一個真正的痛苦,特別是當你還必須記住數據庫和服務器密碼時。

我正在考慮使用OSX附帶的鑰匙串應用程序存儲這些是一個好主意,它是否安全?

我知道如果A)可以訪問機器,它只會以純文本顯示密碼,而B)如果你輸入你的機器用戶登錄密碼 - 所以從前端看似沒問題,但它在後端安全嗎?


3
2017-09-10 20:15


起源


跨站點副本 OS X上的Keychain有多安全? - slhck


答案:


我知道如果A)可以訪問機器,它只會以純文本顯示密碼,而B)如果輸入您的機器用戶登錄密碼

B適用於Keychain Access,但一般不適用於安全系統。如果登錄密鑰鏈已解鎖,就像您在登錄時默認情況下一樣,您可以使用 security 要查看登錄密鑰鏈中的所有密碼,而無需輸入任何密碼:

security dump-keychain -d ~/Library/Keychains/login.keychain

security find-internet-password -s accounts.google.com -w

您只需按下允許按鈕,密碼就會以純文本顯示。實際上,當您嘗試顯示密碼時,Keychain Access和Safari確實需要輸入鑰匙串的密碼,這很奇怪(並且具有誤導性)。

至少有三種方法可以重置登錄密碼 在單用戶模式下或從恢復分區。但是他們都沒有重置登錄密鑰鏈的密碼。如果您在重置登錄密碼後嘗試登錄,則無法在登錄密鑰鏈中看到任何密碼,在Safari中使用自動填充或在Mail中自動登錄。但是,如果您使用Gmail地址作為Apple ID,則您已啟用Gmail網絡界面中的自動登錄功能,並且您不對Apple ID使用兩步驗證,攻擊者可以使用Gmail帳戶重置Apple ID密碼。如果啟用了“用戶和組”首選項窗格中的“允許用戶使用Apple ID重置密碼”選項,則攻擊者可以使用Apple ID重置登錄密鑰鏈的密碼。

登錄密碼的哈希值存儲在 /var/db/dslocal/nodes/Default/users/username.plist 在10.7和10.8。如果您的登錄密碼(通常也是登錄密鑰鏈的密碼)足夠簡單,則哈希可以在實際的時間內破解 戴夫·格羅爾

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

10.7使用了較弱的密鑰派生函數,這使得即使是相對複雜的密碼也很容易破解。 10.8切換到PBKDF2,它將破解工具限制為每核每秒約10次猜測。

如果您已啟用自動登錄,則登錄密鑰鏈的密碼為 以易於解密的形式存儲在/ etc / kcpassword中 截至10.8。

如果您想允許某人使用您的帳戶但卻看不到密碼 security,您可以從Keychain Access或使用鎖定登錄鑰匙串 security lock-keychain

當您離開計算機時,可以通過例如從“安全性”偏好設置面板中選中“在睡眠或屏幕保護程序開始後立即需要密碼”並按control-shift-eject關閉顯示來鎖定它。

您還可以從Keychain Access自動鎖定登錄密鑰鏈。

如果要阻止對您的計算機具有物理訪問權限的用戶以單用戶模式啟動(並重置登錄密碼或查看登錄密碼的哈希值),請啟用FileVault 2。


4
2017-09-10 23:53



有物理訪問權限的人還需要能夠登錄您的和/或管理員帳戶,雖然正確嗎?您不能只打開來賓帳戶並在沒有sudo密碼的情況下轉儲鑰匙串。這聽起來更像是一個 密閉艙口 漏洞。 - Neil Neyman 1小時前 - Neil Neyman
@NeilNeyman是的,他們必須登錄,如果登錄鑰匙串的密碼與登錄密碼不同,他們還必須解鎖登錄鑰匙串。我並不是說這是一個漏洞,但是當您嘗試顯示密碼時,Keychain Access和Safari確實需要輸入鑰匙串的密碼,所以它可能會令人驚訝 security 雖然這就是鑰匙串系統的工作方式,但事實並非如此。 - user495470


任何允許您獲取密碼的純文本表示的數據存儲都將容易受到攻擊。如果它是可逆的,那意味著它的蠻力也是可逆的。

也就是說,Apple Keychain使用 三重DES,這不太可能是暴力強迫。注意 只加密密碼和安全說明


1
2017-09-10 20:25