V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
noir
V2EX  ›  iCloud

iCloudu 钥匙串安全性问题

  •  
  •   noir · 2019-09-01 17:12:09 +08:00 · 5125 次点击
    这是一个创建于 1078 天前的主题,其中的信息可能已经有所发展或是发生改变。
    手里有 iPhone 和 Macbook,iPhone 上倒没什么,有 faceid 做安全防护。
    但是 Macbook 上的钥匙串就有很大问题,因为输入开机密码就能查看钥匙串中的所有密码。
    是否有办法像 1Password 一样对钥匙串本身设置一个独立于开机密码的主密码?
    18 条回复    2019-09-05 12:52:32 +08:00
    yihaomizhijia
        1
    yihaomizhijia  
       2019-09-01 17:50:40 +08:00 via iPhone
    我没开启钥匙串,也是怕,别人猜到我手机的六位数字开机密码,就能拿到钥匙串里面的复杂密码。
    yihaomizhijia
        2
    yihaomizhijia  
       2019-09-01 17:57:17 +08:00 via iPhone
    用手机的六位数字锁屏密码,能拿到钥匙串里面的复杂密码吗?
    ynyounuo
        3
    ynyounuo  
       2019-09-01 18:09:52 +08:00
    可以额外添加 Keychain,但是 login 和 iCloud 其实就已经足够了。
    macOS 用户密码是用 SALTED-SHA512-PBKDF2 加密的,简单的复杂度就可以足够难破解,建议设置一个较为复杂的密码就好。凭借肌肉记忆来加速每次输入的时间,当然频繁输入密码的场景也可以借助密码管理软件之类的。
    Mutoo
        4
    Mutoo  
       2019-09-01 19:28:56 +08:00   ❤️ 1
    现代 OS 开发了这么好用的多用户管理机制不用,非要把自己的桌面密码给别人。不是作大死是啥。
    noir
        5
    noir  
    OP
       2019-09-01 22:36:15 +08:00
    @Mutoo 你在说什么呢?我们跟这儿讨论其可能导致的安全性问题,你在这儿说什么把密码留给别人?
    电脑密码作为每日需要高频次进行输入的东西,搞成很长的强密码是很麻烦的,相当多的人可能都是简单密码
    那么就有很大概率被人偷看、不小心泄露,加上 MACOS 只能用电脑登陆密码来管理 KEYCHAIN,那么觉得很危险有什么问题吗?
    被别人登陆到自己电脑又不是只有「主动告诉别人」这一种可能性
    noir
        6
    noir  
    OP
       2019-09-01 22:37:48 +08:00
    @ynyounuo 额外的钥匙串我试过貌似无法同步到手机或其他 APPLE 设备,必须使用 iCloud 那个钥匙串才能同步,所以来这里询问是不是有给 iCloud 钥匙串加独立密码的可能性
    noir
        7
    noir  
    OP
       2019-09-01 22:38:43 +08:00
    @yihaomizhijia 知道手机密码就能到你手机的钥匙串里面看到所有你保存在钥匙串里的密码
    theolin
        8
    theolin  
       2019-09-01 23:02:29 +08:00   ❤️ 1
    很多人根本没意识到,开机密码是整个 iCloud 的安全性的基础。苹果一直在强调它不保存用户密钥,指的就是这个开机密码,因为整个 iCloud 的密钥是基于这个开机密码来生成的。所以每次开机,都必须重新输入这个密码。

    一旦别人知道了你的开机密码,那其实你的手机没有任何安全性可言了。因为,知道开机密码,就能修改 Face ID 和 TouchID,这意味着你的所有被 Face ID 和 Touch ID 保护着的东西都已经不安全了。同时,知道开机密码,在本机上可以直接重置 Apple ID 密码,不需要原始密码。这意味着你的 iCloud 也已经不安全了。iCloud 所绑定的全部设备也都处于不安全的状态了。

    需要担心的,真的不只是 keychain。
    SingeeKing
        9
    SingeeKing  
       2019-09-01 23:33:51 +08:00
    @theolin #8 「知道开机密码,就能修改 Face ID 和 TouchID,这意味着你的所有被 Face ID 和 Touch ID 保护着的东西都已经不安全了。同时,知道开机密码,在本机上可以直接重置 Apple ID 密码,不需要原始密码。」好像不对。。大部分应用你修改了 FaceID / TouchID 信息都需要你重新输入相应的密码才行,而直接重置 Apple ID 密码也是需要 FaceID / TouchID 验证,如果你改了之后也是需要输入密码
    seansong
        10
    seansong  
       2019-09-02 10:20:16 +08:00   ❤️ 1
    iPhone 跟 mac 上的钥匙串安全性有任何区别?不都是知道了一个锁屏密码 /账号密码,就可以无限制查看么? faceid 的级别是低于密码级别的,楼主怎么会以为 Face ID 更安全呢,整个系统设计里面 Face ID 就是一个安全性次于密码的设定

    至于 macos 上在读取钥匙串内容的时候需要重复输入密码的问题,macos10.15 已经改善了,使用 Touch ID 就可以了
    noir
        11
    noir  
    OP
       2019-09-02 13:46:14 +08:00
    @seansong 我是基于日常使用的场景来看的 因为日常生活中 FACEID 解锁别人没法儿偷看密码,且手机大部分时间都在自己手上,所以泄露密码导致查看钥匙串的概率较低
    而电脑使用是放在桌面上,输入密码被隔壁人看到的概率比较高也比较容易
    seansong
        12
    seansong  
       2019-09-03 09:51:23 +08:00
    @noir 防火防盗防不了身边人,还怕隔壁人看到,要不用手遮一遮?如果实在担心,换个带 touch id 的 macbook 产品吧
    noir
        13
    noir  
    OP
       2019-09-03 17:23:23 +08:00
    @seansong 这毕竟是一个可能性,也是一个极大的隐患
    所以是考虑把电脑换成带 TOUCHID 的了....
    tagtag
        14
    tagtag  
       2019-09-03 20:39:42 +08:00
    说实话这问题没有什么讨论意义,管理员密码本身就是安全的根基,便捷与安全不可兼得,如果对安全性要求够高就设置足够复杂的密码并防止被窃取,手机上也是一样,FaceID 或者 TouchID 是都是密码的快捷验证手段而不是代替密码或者做二次验证的,FaceID 多次验证失败输入密码一样可以查看钥匙串,所以一般安全性要求高的设备都再引入一个硬件,比如 U 盾,来做双重认证。
    wangxm
        15
    wangxm  
       2019-09-04 11:23:37 +08:00 via iPhone
    你可以更改 login keychain 密码 但是系统会一直要求你输入这个 keychain 的密码
    Eagleyes
        16
    Eagleyes  
       2019-09-04 13:29:49 +08:00
    我建议你找一个家里人的 apple id 试试看,假如你知道了他的锁屏密码,
    试试能不能在不拿到他手机,并且不知道 apple id 密码的情况下

    改掉他的 apple id。

    同理还有拿到一个人的 apple id or 支付宝的用户名和密码的情况下改掉。

    你知道要在一个新设备上登录 or 修改是多么困难的事情么?当然你说全套都拿到了用啥都不会安全的。
    (全套==开机密码。用户名,密码,解锁后的手机)

    个人觉得楼主未免有些杞人忧天了,apple 的安全性足矣保证一般用户了。
    kurk
        17
    kurk  
       2019-09-04 15:19:16 +08:00
    很长一段时间,chrome 记住的密码是不加保护的,别人可以直接看的
    潜台词是,chrome 认为 pc 用户应该控制好自己的设备(包含开机密码),不能随便让别人碰。
    你倒好,开机密码都无所谓了
    ftu
        18
    ftu  
       2019-09-05 12:52:32 +08:00
    或者换一个 Apple Watch
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1006 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:54 · PVG 05:54 · LAX 14:54 · JFK 17:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.