7 votos

user13414 avatar

¿La activación de auto-inicio de sesión de compromiso de contraseña segura de almacenamiento?

Preguntado el 7 de Mayo, 2012
Cuando se hizo la pregunta
2056 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

o: ¿Habilitación de auto-inicio de sesión en OS X agregar cualquier adicional de los riesgos de seguridad?

¿Cómo funciona este auto-inicio de sesión de trabajo? Yo no soy un experto en seguridad, pero me imagino que dicho procedimiento requiere que la contraseña se almacena en algún lugar en texto plano, a la derecha? Pero luego esta ubicación específica que podría ser aprovechada por software malintencionado.

Donde es la contraseña para el auto-inicio de sesión almacenados?

La configuración que me estoy refiriendo se encuentra en:
Los usuarios & Grupos → Opciones de inicio de Sesión → inicio de sesión Automático

enter image description here

Preguntado el 7 de Mayo, 2012 por user13414

Respuestas

¿Demasiados anuncios?

9voto

Fuzzy Purple Monkey avatar
Fuzzy Purple Monkey Puntos 702

Sí. Si usted habilitar inicio de sesión automático, el llavero de la contraseña se almacena en /etc/kcpassword el uso de cifrado XOR, que puede ser decodificado con facilidad. Se necesitan privilegios de root para leer.

sudo ruby -e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read("/etc/kcpassword").bytes.each_with_index { |b, i| break if key.include?(b); print [b ^ key[i % key.size]].pack("U*") }'

Incluso si el inicio de sesión automático se deshabilita, la contraseña de inicio de sesión se puede restablecer en modo de usuario único. No cambiar la contraseña del llavero de inicio de sesión, aunque. Si alguien inicia sesión en tu cuenta después de restablecer la contraseña de inicio de sesión, se puede acceder a la mayoría de sus archivos normalmente, pero no podían entrar en tu cuenta en el Correo o en el uso de auto-llenado en Safari. Si el inicio de sesión automático se habilita, se podía ver sus contraseñas con algo como security find-internet-password -s accounts.google.com -w y el uso de Correo y de auto-llenado.

Hubo una vulnerabilidad cuando el inicio de sesión automático fue habilitado:

Según un líder de software de recuperación de contraseña de desarrollador de Passware, su contraseña podría ser fácilmente accesible a través de el acceso directo a la memoria asociado con la Mac del puerto FireWire.

Parece que al permitir el "inicio de sesión automático" cuentan con el puerto FireWire en tu Mac, abre la puerta para no autorizado de la contraseña de recuperación. Parece que este es un problema que ha plagado a Snow Leopard así, pero tal como está no se ve como hay alguna solución para que, además de la desactivación de "inicio de sesión automático" y el gasto extra o dos segundos de escribir su contraseña.

El hash de la contraseña de inicio de sesión (que suele ser también la contraseña del llavero de inicio de sesión) se almacena en /private/var/db/dslocal/nodes/Default/users/username.plist en 10.7 y 10.8. En 10.7 incluso relativamente complejas contraseñas podría ser roto con DaveGrohl, pero 10.8 cambiado a PBKDF2, lo que lo limita a unos 10 conjeturas por segundo por cada núcleo.

Respondido el 7 de Mayo, 2012 por Fuzzy Purple Monkey (702 Puntos )

4voto

Nate avatar
Nate Puntos 220

Habilitar inicio de sesión automático almacena la contraseña del usuario en recuperable forma, pero no en texto plano (es oscurecida, y no, no voy a decir dónde es). La razón de esto no es para habilitar el inicio de sesión automático de sí mismo, sino para permitir el acceso automático para el usuario del llavero (que está cifrado basado en contraseña del usuario).

Esto no debilitar la seguridad demasiado; las principales consecuencias de que alguien (o algunos programas de malware) con acceso root al ordenador (y/o control físico de la misma) puede averiguar cuál es su contraseña; pero, puesto que ya se tiene el control total de la computadora, que no importa mucho. Se les da acceso a su llavero (que un restablecimiento de la contraseña no la dan ellos), y si se utiliza la misma contraseña para otras cosas que ellos saben que... pero de eso se trata.

Siendo realistas, si usted se preocupa en absoluto acerca de la seguridad, usted no debe habilitar inicio de sesión automático de todos modos.

Respondido el 8 de Mayo, 2012 por Nate (220 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X