Schlüsselbund, wie sicher ist er?

loop09

Cripps Pink
Registriert
28.04.06
Beiträge
153
Hallo,
kann jemand qualifizierte Aussagen darber treffen, wie schwer es ist ohne das Anmeldekennwort die Kennwörter dem Schlüsselbund zu entnehmen?
 

Macgyver

Oberösterreichischer Brünerling
Registriert
01.11.06
Beiträge
717
so sicher wie ne nadel im heuhaufen ;)
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Erstens muß das Anmelde Passwort nicht mit dem Schlüsselbundpasswort ident sein.

Zweitens kann man mehrere Schlüsselbunde (Schlüsselbunddokumente die mit dem Schlüsselbund Programm bearbeitet werden können) anlegen. Jeden mit einem anderen Passwort.

Drittens kann jeder der die Schlüsselbund Datei entwenden kann sämtliche Objekte darin auflisten lassen. Das bedeutet man kann sehen was der User alles auf diesem Schlüsselbund gespeichert hat, nicht wie die Passwörter oder Inhalte der entsprechenden Notizen lauten. Jedoch können diese schon gewisse Hinweise liefern.

Viertens ist jeder Schlüsselbund, bzw. die darauf gespeicherten Objekte nur so sicher wie das Passwort welches den Bund schützt. Wenn das also der Name Deiner Frau oder Freundin ist, der Name des Lieblingskaktus Deiner Katze oder Dein Geburtsdatum ist, dann würde ich mir um den Schutz nicht mehr allzuviele Gedanken machen.

Um ein Passwort oder den Inhalt einer sicheren Notiz auf einem Schlüsselbund also im Klartext anzeigen zu können oder durch eine Applikation zu nutzen, muß man den Schlüsselbund öffnen. Dazu ist eben das korrekte Passwort notwendig. Bei einem Brute-Force Angriff (also dem Ausprobieren aller möglichen Schlüssel) dürftest Du statistisch gesehen ausreichend Zeit haben alle Passwörter zu ändern.

Es ist immer möglich Objekte von einem Schlüsselbund zu löschen auch ohne diesen Vorher aufsperren zu müssen! Ich habe diesen gravierenden Bug schon vor gut 6 Monaten an Apple per Radar gemeldet. Leider ist er bis heute nicht behoben. Man hat sogar versucht dies als "Intended Behaviour" zu verkaufen. Nach nochmaligem Posting wurde der Bug dann immerhin akzeptiert, aber wie gesagt noch nicht behoben. Im schlimmsten Fall kann dies ein Denial of Service bedeuten. (zB indem unbekannte Passwörter gelöscht werden. Noch schlimmer wären Zertifikate oder Private Keys!)

Insgesamt würde ich den Schlüsselbund als sichere Passwort Storage einstufen. Man sollte diesen jedoch aufgrund obigen Bugs und der generellen "Brisanz" der darauf enthaltenen Daten immer aktuell gebackupped haben!.
Gruß Pepi
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Habe gerade am Apple Radar nachgesehen und Apple scheint mein Posting gelöscht zu haben. Ich finde es in den "My originated Problems" nicht mehr. Den Mailverkehr habe ich aber noch archiviert. Die ursprüngliche Bug ID war 11975928.

Ich werde das gleich wieder posten. Neue bug ID am Apple Radar: 4825626.
Gruß Pepi
 
Zuletzt bearbeitet:

loop09

Cripps Pink
Registriert
28.04.06
Beiträge
153
danke pepi... apple ist immer recht
schnell mit auf-bugs-reagieren-und-zurückschreiben aber bis sich da was tut....
 

macmds

Gast
Habe gerade am Apple Radar nachgesehen und Apple scheint mein Posting gelöscht zu haben. Ich finde es in den "My originated Problems" nicht mehr. Den Mailverkehr habe ich aber noch archiviert. Die ursprüngliche Bug ID war 11975928.

Ich werde das gleich wieder posten. Neue bug ID am Apple Radar: 4825626.
Besteht das Problem immer noch?

Martin
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ja, der Bug besteht immer noch in Mac OS X 10.4.10 und auch in der aktuellen 10.5 WWDC 2007 Beta Version. Ich werde den Bug für Leopard erneut filen und den in Tiger ebenfalls nochmal eröffnen, da er als Duplicate inzwischen das 2. Mal geschlossen wurde.

Jeder der Zugang zum Apple Bugreporter hat möge dies bitte ebenfalls erneut melden. Meiner Ansicht nach ist die eine potentielle Denial of Service Attacke. (zB wenn man private Keys oder Zertifikate löscht.) Mit einem Programm kann ich einen kompletten Schlüsselbund in unter 3s vollständig entleeren...
Gruß Pepi
 

Tengu

Apfel der Erkenntnis
Registriert
05.02.07
Beiträge
721
Da würde ich auch drum bitten wollen. Wäre sehr interessant.

Dann mach ich da mal Terror, wenn das stimmt. :)
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Im Apple Bugreporter gibt es eh eine Vorlage was man alles reinschreiben sollen. Formuliert ruhig selbst in ein paar Worten, daß man von einem abgeschlossenen Schlüsselbund beliebige Objekte löschen kann ohne diesen mit dem Passwort öffnen zu müssen. Grundsätzlich sollte es genügen. Wird aber mit Sicherheit als Duplicate eingestuft werden, was schonmal ein gaaanz kleiner Erfolg wäre. Laßt Euch bloß nicht mit "Works as intended" abspeisen. In diesem Falle müßt Ihr einen Follow-Up posten, daß das sicher nicht intended sein kann.
Gruß Pepi
 

v0llpf0sten

Erdapfel
Registriert
01.08.08
Beiträge
1
ahoi, wie isn der stand hierbei?
is der schlüsselbund inzwischen gesichert worden oder kann man mir immer noch meine passwörter weglöschen?
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ich kann mich am Apple BugReporter gerade nicht einloggen um den Bug konkret nachzusehen. Probiers doch einfach aus. Soweit ich mich erinnern kann ist das seit 10.5.3 behoben.

Edit:
Hab nun doch nachsehen können. Bug ID #4075510 wurde geclosed.
Gruß Pepi
 

schaeper02

Starking
Registriert
25.11.07
Beiträge
221
Hi, ich will kein neues thema fuer meine frage aufmachen. Ich bin einfach mal so frech und schreib sie hier rein.
Ich habe vor 4 tagen im schluesselbund nach einem passwort gesucht da ich dieses brauchte.
Nun muss ich seitdem ueberall mein passwort manuel eingeben. Was habe ich da verstellt und wie biege ich das wieder gerade?

gruss schaeper
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Mit einer Suche im Schlüsselbund kann das nichts zu tun haben. Was Du verstellt hast, müßtest Du uns schon sagen können. Wie sollen wir das erraten können?

Was genau meinst Du mit "überall mein Passwort manuell eingeben"? Wo ist "überall" genau und nach welchem Passwort wird gefragt?
Gruß Pepi
 

schaeper02

Starking
Registriert
25.11.07
Beiträge
221
Ich habe die datei "login.keychain" im ordner "Keychains" geoeffnet. Dort kommt man dann zu "Keychain Access" wo ich auf einen eintrag geklickt habe. Da haben ich gemerkt, dass man das passwort nicht sehen kann. Bin kurz zu "Access Control" gegangen wo ich auch nix passwortaehnliches gefunden habe und hab dan mit apfel q alles geschlossen.

Manuel muss ich mein passwort z.b bei diversen internetseiten eingeben. Bei Apfeltalk komischer weise nicht. Auch wenn ich meine mails sehen will muss ich jedesmal mein passwort eingeben.

hoffe das ist nicht zu verwirrend.

gruss schaeper
 

Kernelpanik

Herrenhut
Registriert
05.03.04
Beiträge
2.300
Also ich habe etwas beunruhigendes am Schlüsselbund festgestellt:
Log Dich am Computer ein und ersetze Deinen Schlüsselbund mit dem welchen Du knacken willst. Nun kannst Du in der gleichen Session den eingefügten Schlüsselbund mit dem gleichen Passwort wie den vor dem Ersetzen öffnen. Brrrr....