7 votes

gentmatt avatar

L'activation de la connexion automatique compromet-elle le stockage sécurisé des mots de passe ?

Demandé el 7 de Mai, 2012
Quand la question a-t-elle été
3145 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ou : L'activation de la connexion automatique dans OS X ajoute-t-elle quelque chose ? supplémentaires les risques de sécurité ?

Comment fonctionne cette connexion automatique ? Je ne suis pas un expert en sécurité, mais j'imagine qu'une telle procédure nécessite que le mot de passe soit stocké quelque part en texte clair, n'est-ce pas ? Mais cet emplacement spécifique pourrait alors être exploité par un logiciel malveillant.

Où est stocké le mot de passe pour la connexion automatique ?

Le paramètre auquel je fais référence se trouve à l'adresse suivante :
Utilisateurs et groupes → Options de connexion → Connexion automatique

enter image description here

Demandé el 7 de Mai, 2012 par gentmatt

Réponses

Trop de publicités?

9voto

Fuzzy Purple Monkey avatar
Fuzzy Purple Monkey Points 702

Si vous activez la connexion automatique, le mot de passe du trousseau est stocké dans le fichier /etc/kcpassword en utilisant Chiffre XOR qui peut être décodé facilement. Il faut cependant disposer des privilèges Root pour le lire.

sudo ruby -e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read("/etc/kcpassword").bytes.each_with_index { |b, i| break if key.include?(b); print [b ^ key[i % key.size]].pack("U*") }'

Même si la connexion automatique a été désactivée, le mot de passe de connexion peut être réinitialisé en mode mono-utilisateur . Il ne modifie cependant pas le mot de passe du trousseau de connexion. Si quelqu'un se connecte à votre compte après avoir réinitialisé le mot de passe de connexion, il peut accéder à la plupart de vos fichiers normalement, mais il ne peut pas se connecter à votre compte dans Mail ou utiliser le remplissage automatique dans Safari. Si la connexion automatique était activée, cette personne pouvait voir vos mots de passe avec quelque chose comme security find-internet-password -s accounts.google.com -w et utiliser le courrier et le remplissage automatique.

Il y avait un vulnérabilité lorsque la connexion automatique a été activée :

Selon Passware, l'un des principaux développeurs de logiciels de récupération de mots de passe, il est possible d'accéder facilement à votre mot de passe via l'accès direct à la mémoire associé au port FireWire du Mac.

Il semble qu'en activant la fonction de "connexion automatique", le port FireWire de votre Mac ouvre la porte à une récupération non autorisée du mot de passe. Il semble qu'il s'agisse d'un problème qui a également affecté Snow Leopard, mais pour l'instant, il ne semble pas qu'il y ait de solution, à part désactiver la "connexion automatique" et passer une seconde ou deux de plus à taper votre mot de passe.

Le hachage du mot de passe de connexion (qui est généralement aussi le mot de passe du trousseau de connexion) est stocké dans le fichier /private/var/db/dslocal/nodes/Default/users/username.plist en 10.7 et 10.8. Dans la version 10.7, même des mots de passe relativement complexes pouvaient être déchiffrés à l'aide de la fonction DaveGrohl Mais la version 10.8 est passée à PBKDF2, ce qui la limite à environ 10 suppositions par seconde et par cœur.

Répondu el 7 de Mai, 2012 par Fuzzy Purple Monkey (702 Points )

4voto

Gordon Davisson avatar
Gordon Davisson Points 30215

L'activation de l'autologin stocke le mot de passe de l'utilisateur sous une forme récupérable, mais il n'est pas en clair (il est masqué, et non, je ne vais pas vous dire où il se trouve). La raison n'est pas d'activer l'autologin lui-même, mais de permettre l'accès automatique au trousseau de l'utilisateur (qui est crypté en fonction du mot de passe de l'utilisateur).

Cela n'affaiblit pas trop la sécurité ; les principales implications sont que quelqu'un (ou un logiciel malveillant) ayant un accès Root à l'ordinateur (et/ou le contrôle physique de celui-ci) peut découvrir votre mot de passe ; mais comme il a déjà le contrôle total de l'ordinateur, cela n'a pas beaucoup d'importance. Cela leur donne accès à votre trousseau de clés (ce qu'une réinitialisation du mot de passe ne leur donnerait pas), et si vous avez utilisé le même mot de passe pour d'autres choses, ils le savent... mais c'est à peu près tout.

En réalité, si vous vous souciez un tant soit peu de la sécurité, vous ne devriez de toute façon pas activer l'autologin.

Répondu el 8 de Mai, 2012 par Gordon Davisson (30215 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X