Связка ключей - это система управления паролями в macOS , разработанная Apple . Он был представлен в Mac OS 8.6 и был включен во все последующие версии операционной системы, теперь известной как macOS. Связка ключей может содержать различные типы данных: пароли (для веб-сайтов , FTP-серверов , учетных записей SSH , общих сетевых ресурсов , беспроводных сетей , приложений для групповой работы , зашифрованные образы дисков ), закрытые ключи , сертификаты и безопасные заметки.
Разработчики) | Apple Inc. |
---|---|
Первый выпуск | 1999 г. |
Операционная система | Mac OS 9 , macOS |
Тип | системная утилита |
Лицензия | APSL 2.0 |
Веб-сайт | Связки ключей |
Разработчики) | Apple Inc. |
---|---|
Стабильный выпуск | 10.5 (55237.200.14) / 21 августа 2018 г. |
Операционная система | Mac OS 9 , macOS |
Тип | менеджер паролей |
Веб-сайт | Справка по доступу к связке ключей |
Хранение и доступ
В macOS файлы связки ключей хранятся в ~ / Library / Keychains / (и подкаталогах), / Library / Keychains / и / Network / Library / Keychains / , а приложение GUI Keychain Access находится в папке Utilities в папке Applications. . [1] [2] Это бесплатно , с открытым исходным кодом программное обеспечение , выпущенное в соответствии с условиями APSL . [3] Эквивалент Keychain Access в командной строке: / usr / bin / security .
Файл (ы) связки ключей хранит множество полей данных, включая заголовок, URL, примечания и пароль. Только пароли и Secure Notes зашифрованы с помощью Triple DES . [4]
Блокировка и разблокировка
Файл связки ключей по умолчанию - это связка ключей для входа в систему , обычно разблокируемая при входе в систему с помощью пароля для входа в систему, хотя пароль для этой цепочки для ключей может вместо этого отличаться от пароля для входа в систему, что повышает безопасность за счет некоторого удобства. [5] Приложение Keychain Access не позволяет устанавливать пустой пароль для связки ключей.
Связка ключей может быть настроена на автоматическую «блокировку», если компьютер какое-то время бездействует, [6] и может быть заблокирована вручную из приложения Keychain Access. В заблокированном состоянии пароль необходимо будет повторно ввести при следующем доступе к связке ключей, чтобы разблокировать его. Перезапись файла в ~ / Library / Keychains / новым файлом (например, как часть операции восстановления) также приводит к блокировке связки ключей, и при следующем доступе требуется пароль.
Синхронизация паролей
Если связка ключей для входа защищена паролем для входа, то пароль цепочки для ключей будет изменяться всякий раз, когда пароль для входа изменяется в рамках сеанса входа в систему на macOS. В общей сети Mac / не-Mac пароль связки ключей входа может потерять синхронизацию, если пароль входа пользователя изменен из системы, отличной от Mac. Кроме того, если пароль изменен из службы каталогов, такой как Active Directory или Open Directory, или если пароль изменен из другой учетной записи администратора, например, с помощью системных настроек. Некоторые сетевые администраторы реагируют на это, удаляя файл связки ключей при выходе из системы, так что при следующем входе пользователя в систему будет создан новый. Это означает, что пароли связки ключей не будут запоминаться от одного сеанса к другому, даже если пароль для входа не было изменено. Если это произойдет, пользователь может восстановить файл связки ключей в ~ / Library / Keychains / из резервной копии, но это приведет к блокировке связки ключей, которую затем необходимо будет разблокировать при следующем использовании.
История
Связки ключей были первоначально разработаны для системы электронной почты Apple PowerTalk в начале 1990-х годов. Среди множества функций PowerTalk использовались плагины, которые позволяли получать почту с самых разных почтовых серверов и онлайн-сервисов. Концепция связки ключей естественным образом «выпала» из этого кода и использовалась в PowerTalk для управления всеми различными учетными данными пользователя для различных систем электронной почты, к которым мог подключаться PowerTalk.
Пароли было нелегко восстановить из-за шифрования, но простота интерфейса позволяла пользователю выбирать разные пароли для каждой системы, не опасаясь их забыть, поскольку один пароль открывает файл и возвращает их все. В то время реализации этой концепции не были доступны на других платформах. Связка ключей была одной из немногих частей PowerTalk, которая, очевидно, была полезна «сама по себе», что наводило на мысль, что ее следует продвигать, чтобы она стала частью базовой Mac OS. Но из-за внутренней политики он хранился внутри системы PowerTalk и, следовательно, был доступен очень немногим пользователям Mac. [ необходима цитата ]
Только после возвращения Стива Джобса в 1997 году концепция связки ключей была возрождена из уже прекращенного PowerTalk. К этому моменту концепция уже не была такой необычной, но все еще редко можно было увидеть систему связки ключей, которая не была связана с определенной частью прикладного программного обеспечения, обычно с веб-браузером . Позже брелок стал стандартной частью Mac OS 9 и был включен в Mac OS X в первых коммерческих версиях.
Безопасность
Связка ключей распространяется как на iOS, так и на macOS. Версия для iOS проще, потому что приложениям, работающим на мобильных устройствах, обычно требуются только самые базовые функции Связки ключей. Например, отсутствуют такие функции, как ACL (списки контроля доступа) и совместное использование элементов связки ключей между различными приложениями. Таким образом, элементы Связки ключей iOS доступны только приложению, которое их создало.
Keychain, являясь хранилищем конфиденциальной информации по умолчанию для пользователей Mac, является основной целью атак на безопасность.
Как сообщает Wired , в 2019 году 18-летний немецкий исследователь безопасности Линус Хенце продемонстрировал свой взлом, получивший название KeySteal, который захватывает пароли из связки ключей. Первоначально он не раскрыл подробностей взлома, потребовав от Apple назначить вознаграждение за обнаружение ошибок для macOS. Однако Apple не сделала этого, когда Хенце впоследствии раскрыл взлом. Он использовал доступ Safari к службам безопасности, замаскированный под утилиту в macOS, которая позволяет ИТ-администраторам управлять связками ключей.
Смотрите также
Рекомендации
- ^ «Справка Mac OS X 10.5 - Изменение пароля связки ключей» . Docs.info.apple.com. Архивировано из оригинального 31 мая 2012 года . Проверено 28 марта 2016 года .
- ^ «Справка Mac OS X 10.4 - Изменение пароля связки ключей» . Docs.info.apple.com. Архивировано из оригинального 31 мая 2012 года . Проверено 28 марта 2016 года .
- ^ Apple Inc. «Браузер исходного кода» . opensource.apple.com . Проверено 26 февраля 2012 года .
- ^ «Безопасность Mac OS X: простота обеспечения безопасности» (PDF) . Краткий обзор технологий . Корпорация Apple 20 августа, 2009. Архивировано из оригинального (PDF) 10 апреля 2011 года . Проверено 30 июля 2018 года .
- ^ «Справка Mac OS X 10.5: изменение пароля связки ключей» . Docs.info.apple.com. Архивировано из оригинального 13 июня 2011 года . Проверено 26 февраля 2012 года .
- ^ «Справка Mac OS X 10.4: блокировка и разблокировка связки ключей» . Docs.info.apple.com. Архивировано из оригинального 13 июня 2011 года . Проверено 26 февраля 2012 года .