I know that it only shows you the password in plain text if A) have access to the machine and B) if you enter your machines user login password
B é verdadeiro para o Acesso às Chaves, mas não para o sistema de segurança em geral. Se a chave de login estiver desbloqueada, como é por padrão quando você está logado, você pode usar security
para ver todas as senhas no chaveiro de login sem precisar digitar nenhuma senha:
security dump-keychain -d ~/Library/Keychains/login.keychain
security find-internet-password -s accounts.google.com -w
Você só precisa pressionar um botão de permissão e a senha será mostrada em texto simples. Na verdade, é estranho (e enganoso) que o Keychain Access e o Safari exijam a inserção da senha do keychain quando você tenta mostrar uma senha.
Existem pelo menos três maneiras de redefinir a senha de login no modo de usuário único ou na partição de recuperação. Nenhum deles redefinir a senha do chaveiro de login embora. Se você tentar efetuar login depois de redefinir a senha de login, não poderá ver nenhuma senha nas chaves de login, usar o preenchimento automático no Safari ou efetuar login automaticamente no Mail. Mas se, por exemplo, você usar um endereço do Gmail para seu ID da Apple, ativar o login automático na interface da web do Gmail e não usar a verificação em duas etapas para o ID da Apple, um invasor poderá usar a conta do Gmail para redefinir a Apple ID senha. Se a opção "Permitir ao usuário redefinir a senha usando o ID da Apple" em Usuários & O painel de preferências Grupos está ativado, o invasor pode usar a ID da Apple para redefinir a senha das chaves de login.
O hash da senha de login é armazenado em /var/db/dslocal/nodes/Default/users/username.plist
em 10.7 e 10.8. Se a sua senha de login (que normalmente também é a senha das chaves de login) é simples o suficiente, o hash pode ser quebrado em um período de tempo prático com DaveGrohl :
$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack
-- Found password : 'y8d'
-- (incremental attack)
Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.
10.7 usava uma função de derivação de chave mais fraca, o que tornava fácil quebrar até mesmo senhas relativamente complexas. 10.8 mudou para PBKDF2, o que limita as ferramentas de cracking a cerca de 10 tentativas por segundo por núcleo.
Se você ativou o login automático, a senha do conjunto de chaves de login é armazenado em / etc / kcpassword em um formato fácil de decifrar a partir de 10.8.
Se você quiser permitir que alguém use sua conta, mas não veja senhas com security
, poderá bloquear as chaves de login do Acesso às Chaves ou com security lock-keychain
.
Quando você estiver longe do computador, poderá bloqueá-lo, por exemplo, verificando "Exigir senha imediatamente após o início da suspensão ou do protetor de tela" no painel de preferências Segurança e pressionando ejetar o controle para desativar as exibições.
Você também pode ativar o bloqueio das chaves de login automaticamente a partir do Acesso às Chaves.
Se você quiser impedir que pessoas com acesso físico ao seu computador inicializem no modo de usuário único (e redefinir a senha de login ou ver o hash da senha de login), ative o FileVault 2.