Otomatik oturum açmayı etkinleştirmek güvenli parola depolamayı tehlikeye atıyor mu?

veya: OS X'te otomatik oturum açmayı etkinleştirmek herhangi bir ek güvenlik riski oluşturuyor mu?

Bu otomatik giriş nasıl çalışır? Ben bir güvenlik uzmanı değilim, ancak böyle bir prosedürün şifrenin düz bir yerde bir yerde saklanmasını gerektirdiğini hayal ediyorum, değil mi? Ancak daha sonra bu spesifik konum kötü amaçlı yazılım tarafından kullanılabilir.

Otomatik giriş şifresi nerede saklanıyor?

Bahsettiğim ayar şurada bulunur:
Kullanıcılar ve Gruplar → Giriş Seçenekleri → Otomatik giriş

Evet. Otomatik oturum açmayı etkinleştirirseniz, anahtarlık şifresi, kolayca çözülebilen XOR şifresi/etc/kcpassword kullanılarak saklanır . Ancak okumak için kök ayrıcalıklarına ihtiyacınız var.

sudo ruby -e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read("/etc/kcpassword").bytes.each_with_index { |b, i| break if key.include?(b); print [b ^ key[i % key.size]].pack("U*") }'

Otomatik giriş devre dışı bırakılsa bile , giriş şifresi tek kullanıcı modunda sıfırlanabilir . Ancak, giriş anahtarlığının şifresini değiştirmez. Bir kullanıcı giriş şifresini sıfırladıktan sonra hesabınıza giriş yaptıysa, dosyalarınızın çoğuna normal olarak erişebilir, ancak Posta ile hesabınıza giriş yapamaz veya Safari’de otomatik doldurmayı kullanamazlar. Otomatik giriş etkinleştirildiyse, şifrelerinizi bunun gibi bir şeyle görebilir security find-internet-password -s accounts.google.com -wve Posta ve otomatik doldurmayı kullanabilir.

Otomatik giriş etkinleştirildiğinde bir güvenlik açığı vardı:

Önde gelen bir şifre kurtarma yazılımı geliştiricisi Passware'e göre, şifrenize Mac'in FireWire portuyla ilişkili doğrudan bellek erişimi yoluyla kolayca erişilebilir.

“Otomatik oturum açma” özelliğini etkinleştirerek Mac'inizdeki FireWire portunun yetkisiz şifre kurtarma işleminin kapısını açtığı anlaşılıyor. Bu, Snow Leopard'ı da rahatsız eden bir sorun gibi görünüyor, ancak durduğu gibi, “otomatik oturum açmayı” devre dışı bırakmaktan ve bu fazladan ikinci veya iki şifreyi şifrenizde harcamaktan başka bir sorun yok gibi görünüyor.

Giriş şifresinin özeti (genellikle giriş şifresinin şifresidir) /private/var/db/dslocal/nodes/Default/users/username.plist10.7 ve 10.8'de saklanır . 10.7'de nispeten karmaşık şifreler bile DaveGrohl ile kırılabilir , ancak 10.8 çekirdeği başına saniyede 10 tahminle sınırlayan PBKDF2'ye geçti.

Autologin'i etkinleştirmek, kullanıcının şifresini kurtarılabilir biçimde saklar, ancak düz metin değildir (gizlenmiş ve hayır, size nerede olduğunu söyleyemem). Bunun nedeni otologun kendisini etkinleştirmek değil, kullanıcının anahtar zincirine (kullanıcının şifresine göre şifrelenmiş) otomatik erişime izin vermek değildir.

Bu, güvenliği çok zayıflatmaz; Ana çıkarımlar, bilgisayara kök erişimi olan (ve / veya fiziksel kontrolü olan) şifrenizin ne olduğunu bulabilmesidir; ama zaten bilgisayarda tam kontrol sahibi olduklarından, bunun önemi yok. Anahtar zincirinize erişebilmelerini sağlar (ki bu bir şifre sıfırlama onları vermez) ve aynı şifreyi bildikleri başka şeyler için kullandıysanız ... ama bununla ilgili.

Gerçekçi olarak, güvenliği önemsiyorsanız, yine de otolog yapmamalısınız.