1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Schlüsselbund, wie sicher ist er?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von loop09, 07.11.06.

  1. loop09

    loop09 Cripps Pink

    Dabei seit:
    28.04.06
    Beiträge:
    153
    Hallo,
    kann jemand qualifizierte Aussagen darber treffen, wie schwer es ist ohne das Anmeldekennwort die Kennwörter dem Schlüsselbund zu entnehmen?
     
  2. KayHH

    KayHH Gast

    Bis jetzt gilt AES-128 als sicher. Gruss KayHH
     
  3. Macgyver

    Macgyver Oberösterreichischer Brünerling

    Dabei seit:
    01.11.06
    Beiträge:
    718
    so sicher wie ne nadel im heuhaufen ;)
     
  4. Hausmeister76

    Hausmeister76 Adams Parmäne

    Dabei seit:
    17.08.04
    Beiträge:
    1.300
    aber wie groß ist der Heuhaufen?

    so long...
     
  5. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Erstens muß das Anmelde Passwort nicht mit dem Schlüsselbundpasswort ident sein.

    Zweitens kann man mehrere Schlüsselbunde (Schlüsselbunddokumente die mit dem Schlüsselbund Programm bearbeitet werden können) anlegen. Jeden mit einem anderen Passwort.

    Drittens kann jeder der die Schlüsselbund Datei entwenden kann sämtliche Objekte darin auflisten lassen. Das bedeutet man kann sehen was der User alles auf diesem Schlüsselbund gespeichert hat, nicht wie die Passwörter oder Inhalte der entsprechenden Notizen lauten. Jedoch können diese schon gewisse Hinweise liefern.

    Viertens ist jeder Schlüsselbund, bzw. die darauf gespeicherten Objekte nur so sicher wie das Passwort welches den Bund schützt. Wenn das also der Name Deiner Frau oder Freundin ist, der Name des Lieblingskaktus Deiner Katze oder Dein Geburtsdatum ist, dann würde ich mir um den Schutz nicht mehr allzuviele Gedanken machen.

    Um ein Passwort oder den Inhalt einer sicheren Notiz auf einem Schlüsselbund also im Klartext anzeigen zu können oder durch eine Applikation zu nutzen, muß man den Schlüsselbund öffnen. Dazu ist eben das korrekte Passwort notwendig. Bei einem Brute-Force Angriff (also dem Ausprobieren aller möglichen Schlüssel) dürftest Du statistisch gesehen ausreichend Zeit haben alle Passwörter zu ändern.

    Es ist immer möglich Objekte von einem Schlüsselbund zu löschen auch ohne diesen Vorher aufsperren zu müssen! Ich habe diesen gravierenden Bug schon vor gut 6 Monaten an Apple per Radar gemeldet. Leider ist er bis heute nicht behoben. Man hat sogar versucht dies als "Intended Behaviour" zu verkaufen. Nach nochmaligem Posting wurde der Bug dann immerhin akzeptiert, aber wie gesagt noch nicht behoben. Im schlimmsten Fall kann dies ein Denial of Service bedeuten. (zB indem unbekannte Passwörter gelöscht werden. Noch schlimmer wären Zertifikate oder Private Keys!)

    Insgesamt würde ich den Schlüsselbund als sichere Passwort Storage einstufen. Man sollte diesen jedoch aufgrund obigen Bugs und der generellen "Brisanz" der darauf enthaltenen Daten immer aktuell gebackupped haben!.
    Gruß Pepi
     
  6. marcozingel

    marcozingel Cox Pomona

    Dabei seit:
    07.12.05
    Beiträge:
    7.480
  7. KayHH

    KayHH Gast

    Hast Du mal eine Link dazu?


    Gruss KayHH
     
  8. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Habe gerade am Apple Radar nachgesehen und Apple scheint mein Posting gelöscht zu haben. Ich finde es in den "My originated Problems" nicht mehr. Den Mailverkehr habe ich aber noch archiviert. Die ursprüngliche Bug ID war 11975928.

    Ich werde das gleich wieder posten. Neue bug ID am Apple Radar: 4825626.
    Gruß Pepi
     
    #8 pepi, 08.11.06
    Zuletzt bearbeitet: 08.11.06
  9. loop09

    loop09 Cripps Pink

    Dabei seit:
    28.04.06
    Beiträge:
    153
    danke pepi... apple ist immer recht
    schnell mit auf-bugs-reagieren-und-zurückschreiben aber bis sich da was tut....
     
  10. macmds

    macmds Gast

    Besteht das Problem immer noch?

    Martin
     
  11. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Ja, der Bug besteht immer noch in Mac OS X 10.4.10 und auch in der aktuellen 10.5 WWDC 2007 Beta Version. Ich werde den Bug für Leopard erneut filen und den in Tiger ebenfalls nochmal eröffnen, da er als Duplicate inzwischen das 2. Mal geschlossen wurde.

    Jeder der Zugang zum Apple Bugreporter hat möge dies bitte ebenfalls erneut melden. Meiner Ansicht nach ist die eine potentielle Denial of Service Attacke. (zB wenn man private Keys oder Zertifikate löscht.) Mit einem Programm kann ich einen kompletten Schlüsselbund in unter 3s vollständig entleeren...
    Gruß Pepi
     
  12. macmds

    macmds Gast

    Ich habe mich soeben dafür angemeldet. Kannst Du Deine Angaben vielleicht zum Kopieren zur Verfügung stellen (allenfalls über eine private Nachricht)?

    Martin
     
  13. Tengu

    Tengu Apfel der Erkenntnis

    Dabei seit:
    05.02.07
    Beiträge:
    721
    Da würde ich auch drum bitten wollen. Wäre sehr interessant.

    Dann mach ich da mal Terror, wenn das stimmt. :)
     
  14. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Im Apple Bugreporter gibt es eh eine Vorlage was man alles reinschreiben sollen. Formuliert ruhig selbst in ein paar Worten, daß man von einem abgeschlossenen Schlüsselbund beliebige Objekte löschen kann ohne diesen mit dem Passwort öffnen zu müssen. Grundsätzlich sollte es genügen. Wird aber mit Sicherheit als Duplicate eingestuft werden, was schonmal ein gaaanz kleiner Erfolg wäre. Laßt Euch bloß nicht mit "Works as intended" abspeisen. In diesem Falle müßt Ihr einen Follow-Up posten, daß das sicher nicht intended sein kann.
    Gruß Pepi
     
  15. v0llpf0sten

    v0llpf0sten Erdapfel

    Dabei seit:
    01.08.08
    Beiträge:
    1
    ahoi, wie isn der stand hierbei?
    is der schlüsselbund inzwischen gesichert worden oder kann man mir immer noch meine passwörter weglöschen?
     
  16. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Ich kann mich am Apple BugReporter gerade nicht einloggen um den Bug konkret nachzusehen. Probiers doch einfach aus. Soweit ich mich erinnern kann ist das seit 10.5.3 behoben.

    Edit:
    Hab nun doch nachsehen können. Bug ID #4075510 wurde geclosed.
    Gruß Pepi
     
  17. schaeper02

    schaeper02 Starking

    Dabei seit:
    25.11.07
    Beiträge:
    221
    Hi, ich will kein neues thema fuer meine frage aufmachen. Ich bin einfach mal so frech und schreib sie hier rein.
    Ich habe vor 4 tagen im schluesselbund nach einem passwort gesucht da ich dieses brauchte.
    Nun muss ich seitdem ueberall mein passwort manuel eingeben. Was habe ich da verstellt und wie biege ich das wieder gerade?

    gruss schaeper
     
  18. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Mit einer Suche im Schlüsselbund kann das nichts zu tun haben. Was Du verstellt hast, müßtest Du uns schon sagen können. Wie sollen wir das erraten können?

    Was genau meinst Du mit "überall mein Passwort manuell eingeben"? Wo ist "überall" genau und nach welchem Passwort wird gefragt?
    Gruß Pepi
     
  19. schaeper02

    schaeper02 Starking

    Dabei seit:
    25.11.07
    Beiträge:
    221
    Ich habe die datei "login.keychain" im ordner "Keychains" geoeffnet. Dort kommt man dann zu "Keychain Access" wo ich auf einen eintrag geklickt habe. Da haben ich gemerkt, dass man das passwort nicht sehen kann. Bin kurz zu "Access Control" gegangen wo ich auch nix passwortaehnliches gefunden habe und hab dan mit apfel q alles geschlossen.

    Manuel muss ich mein passwort z.b bei diversen internetseiten eingeben. Bei Apfeltalk komischer weise nicht. Auch wenn ich meine mails sehen will muss ich jedesmal mein passwort eingeben.

    hoffe das ist nicht zu verwirrend.

    gruss schaeper
     
  20. Kernelpanik

    Kernelpanik Ingol

    Dabei seit:
    05.03.04
    Beiträge:
    2.098
    Also ich habe etwas beunruhigendes am Schlüsselbund festgestellt:
    Log Dich am Computer ein und ersetze Deinen Schlüsselbund mit dem welchen Du knacken willst. Nun kannst Du in der gleichen Session den eingefügten Schlüsselbund mit dem gleichen Passwort wie den vor dem Ersetzen öffnen. Brrrr....
     

Diese Seite empfehlen