Beeinträchtigt die Aktivierung der automatischen Anmeldung die sichere Passwortspeicherung?

Ja. Wenn Sie die automatische Anmeldung aktivieren, wird das Schlüsselbund-Passwort /etc/kcpasswordmithilfe der XOR-Verschlüsselung gespeichert , die leicht entschlüsselt werden kann. Sie benötigen jedoch Root-Rechte, um es zu lesen.

sudo ruby -e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read("/etc/kcpassword").bytes.each_with_index { |b, i| break if key.include?(b); print [b ^ key[i % key.size]].pack("U*") }'

Auch wenn die automatische Anmeldung deaktiviert wurde, kann das Anmeldepasswort im Einzelbenutzermodus zurückgesetzt werden . Das Passwort des Login-Schlüsselbunds wird jedoch nicht geändert. Wenn sich jemand nach dem Zurücksetzen des Anmeldekennworts bei Ihrem Konto anmeldete, konnte er normal auf die meisten Ihrer Dateien zugreifen, aber er konnte sich nicht bei Ihrem Konto in Mail anmelden oder das automatische Ausfüllen in Safari verwenden. Wenn die automatische Anmeldung aktiviert war, konnten sie Ihre Passwörter mit etwas wie sehen security find-internet-password -s accounts.google.com -wund Mail und automatisches Ausfüllen verwenden.

Bei aktivierter automatischer Anmeldung gab es eine Schwachstelle :

Laut Passware, einem führenden Entwickler von Passwort-Wiederherstellungssoftware, könnte Ihr Passwort einfach über den direkten Speicherzugriff zugegriffen werden, der mit dem FireWire-Anschluss des Mac verbunden ist.

Es scheint, dass der FireWire-Anschluss auf Ihrem Mac durch die Aktivierung der Funktion „automatische Anmeldung“ die Tür zur nicht autorisierten Kennwortwiederherstellung öffnet. Es scheint, dass dies ein Problem ist, das auch Snow Leopard geplagt hat, aber so wie es aussieht, gibt es keine Lösung dafür, abgesehen davon, dass Sie die „automatische Anmeldung“ deaktivieren und ein oder zwei zusätzliche Sekunden damit verbringen, Ihr Passwort einzugeben.

Der Hash des Login-Passworts (das normalerweise auch das Passwort des Login-Schlüsselbunds ist) wird /private/var/db/dslocal/nodes/Default/users/username.plistin 10.7 und 10.8 gespeichert. In 10.7 konnten sogar relativ komplexe Passwörter mit DaveGrohl geknackt werden , aber 10.8 wechselte zu PBKDF2, was es auf etwa 10 Rateversuche pro Sekunde pro Kern begrenzt.

Das Aktivieren der automatischen Anmeldung speichert das Passwort des Benutzers in wiederherstellbarer Form, aber es ist nicht im Klartext (es ist verdeckt, und nein, ich werde Ihnen nicht sagen, wo es ist). Der Grund dafür ist nicht, die automatische Anmeldung selbst zu aktivieren, sondern den automatischen Zugriff auf den Schlüsselbund des Benutzers zu ermöglichen (der basierend auf dem Passwort des Benutzers verschlüsselt ist).

Dies schwächt die Sicherheit nicht zu sehr; Die Hauptauswirkungen sind, dass jemand (/eine Malware) mit Root-Zugriff auf den Computer (und/oder physische Kontrolle darüber) Ihr Passwort herausfinden kann; aber da sie bereits die volle Kontrolle über den Computer haben, spielt das keine große Rolle. Es gibt ihnen Zugriff auf Ihren Schlüsselbund (was ihnen ein Zurücksetzen des Passworts nicht geben würde), und wenn Sie dasselbe Passwort für andere Dinge verwendet haben, wissen sie das ... aber das war es auch schon.

Wenn Sie sich überhaupt um Sicherheit kümmern, sollten Sie die automatische Anmeldung realistischerweise sowieso nicht aktivieren.