Securly armazenar senhas no keychain no mac

I know that it only shows you the password in plain text if A) have access to the machine and B) if you enter your machines user login password

B é verdadeiro para o Acesso às Chaves, mas não para o sistema de segurança em geral. Se a chave de login estiver desbloqueada, como é por padrão quando você está logado, você pode usar security para ver todas as senhas no chaveiro de login sem precisar digitar nenhuma senha:

security dump-keychain -d ~/Library/Keychains/login.keychain

security find-internet-password -s accounts.google.com -w

Você só precisa pressionar um botão de permissão e a senha será mostrada em texto simples. Na verdade, é estranho (e enganoso) que o Keychain Access e o Safari exijam a inserção da senha do keychain quando você tenta mostrar uma senha.

Existem pelo menos três maneiras de redefinir a senha de login no modo de usuário único ou na partição de recuperação. Nenhum deles redefinir a senha do chaveiro de login embora. Se você tentar efetuar login depois de redefinir a senha de login, não poderá ver nenhuma senha nas chaves de login, usar o preenchimento automático no Safari ou efetuar login automaticamente no Mail. Mas se, por exemplo, você usar um endereço do Gmail para seu ID da Apple, ativar o login automático na interface da web do Gmail e não usar a verificação em duas etapas para o ID da Apple, um invasor poderá usar a conta do Gmail para redefinir a Apple ID senha. Se a opção "Permitir ao usuário redefinir a senha usando o ID da Apple" em Usuários & O painel de preferências Grupos está ativado, o invasor pode usar a ID da Apple para redefinir a senha das chaves de login.

O hash da senha de login é armazenado em /var/db/dslocal/nodes/Default/users/username.plist em 10.7 e 10.8. Se a sua senha de login (que normalmente também é a senha das chaves de login) é simples o suficiente, o hash pode ser quebrado em um período de tempo prático com DaveGrohl :

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

10.7 usava uma função de derivação de chave mais fraca, o que tornava fácil quebrar até mesmo senhas relativamente complexas. 10.8 mudou para PBKDF2, o que limita as ferramentas de cracking a cerca de 10 tentativas por segundo por núcleo.

Se você ativou o login automático, a senha do conjunto de chaves de login é armazenado em / etc / kcpassword em um formato fácil de decifrar a partir de 10.8.

Se você quiser permitir que alguém use sua conta, mas não veja senhas com security , poderá bloquear as chaves de login do Acesso às Chaves ou com security lock-keychain .

Quando você estiver longe do computador, poderá bloqueá-lo, por exemplo, verificando "Exigir senha imediatamente após o início da suspensão ou do protetor de tela" no painel de preferências Segurança e pressionando ejetar o controle para desativar as exibições.

Você também pode ativar o bloqueio das chaves de login automaticamente a partir do Acesso às Chaves.

Se você quiser impedir que pessoas com acesso físico ao seu computador inicializem no modo de usuário único (e redefinir a senha de login ou ver o hash da senha de login), ative o FileVault 2.

Qualquer tipo de armazenamento de dados que permita obter a representação de texto simples de uma senha ficará vulnerável. Se for reversível, isso significa que a força bruta também é reversível.

Dito isto, a Apple Keychain usa o Triple DES , que provavelmente não será forçado a brutar. Note que apenas a senha e as Notas Seguras são criptografadas .