Kolik keychainů máš, tolikrát jsi paranoikem - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Soutěž

Sponzorem soutěže je:

IDIF

 

Odkud pochází fotografka Anne Erhard?

V dnešní soutěži hrajeme o:

Seriály

Více seriálů



Software

Kolik keychainů máš, tolikrát jsi paranoikem

13. října 2006, 00.00 | Nyní nastal čas se podívat trochu blíže na různé sestavy a konfigurace keychainů, a ukázat si, jaké nám přinesou potenciální výhody a nevýhody. Jak uvidíme, systém keychainů je skutečně velmi flexibilní a pohodlný, a umožní nám volit vzájemné vyvážení bezpečnosti a pohodlí – tyto dva faktory se samozřejmě do jisté míry vylučují i v tom nejlépe navrženém systému – podle našich vlastních individuálních potřeb a nároků.

Základní informace o tom, k čemu slouží aplikace Keychain Access, co to jsou samotné keychainy, a jak s nimi můžeme prostřednictvím této aplikace pracovat, jsme si ukázali v předcházejících dílech našeho volného seriálu, věnovaného zabezpečení v operačním systému Mac OS X.

Nyní nastal čas se podívat trochu blíže na různé sestavy a konfigurace keychainů, a ukázat si, jaké nám přinesou potenciální výhody a nevýhody. Jak uvidíme, systém keychainů je skutečně velmi flexibilní a pohodlný, a umožní nám volit vzájemné vyvážení bezpečnosti a pohodlí – tyto dva faktory se samozřejmě do jisté míry vylučují i v tom nejlépe navrženém systému – podle našich vlastních individuálních potřeb a nároků.

Dnes začneme tím nejjednodušším: standardní konfigurací, již Mac OS X automaticky nastaví pro každého nově vytvořeného uživatele.

Standardní konfigurace

Ve standardní konfiguraci je výše zmíněná hranice nastavena na "maximální pohodlí, minimální bezpečnost" – ovšem zde je třeba mít na paměti, že "minimální bezpečnost" v podání Mac OS X je pořád nesrovnatelně lepší, nežli cokoli, co nabídne (bez různých doplňků či speciální konfigurace) jakýkoli jiný běžně užívaný operační systém :)

Ve standardní konfiguraci má každý uživatel právě jeden vlastní keychain; ten je standardně uložen ve složce "~/Library/Keychains" a jeho jméno je "login.keychain". Tomuto keychainu je při jeho vytvoření v rámci nového uživatelského účtu vždy automaticky přiděleno stejné heslo, jaké jsme zvolili při tvorbě účtu pro přihlášení uživatele. Automatické uzamykání keychainu není nastaveno vůbec nijak; naopak, keychain se zcela automaticky odemkne ve chvíli, kdy se do účtu uživatel přihlásí. Všechny aplikace pak mohou služeb keychainu volně využívat, a keychain se "uzavře" až ve chvíli, kdy se uživatel od počítače opět odhlásí.

Díky tomu je pak funkce keychainu zcela transparentní, a uživatel o něm vůbec ani nepotřebuje vědět: již jsme o této situaci jednou mluvili, vše "just works" – Mail prostě "někam" ukládá hesla pro servery, Safari "někam" ukládá údaje pro vyplňování formulářů, Finder (resp. pomocné aplikace, jež Finder spouští, ale to je teď jedno) "někam" ukládají hesla pro zašifrovaná disková image, a tak dále.

Spolehlivost a risika standardní konfigurace

Takto nastavený systém je pořád poměrně bezpečný: pokud někdo počítač ukradne, může sice snadno přečíst obsah jeho disku (není-li nastaveno globální šifrování FileVault, o němž jsme psali před časem), avšak hesla v keychainu jsou zcela bezpečná: algoritmus TripleDES, jímž je obsah keychainu chráněn, v podstatě není možné rozlomit (ne v jakkoli rozumném čase).

Na druhou stranu však tento systém nenabízí zdaleka nejvyšší bezpečnost; příčiny a potenciální risika jsou následující:

  • automatické odemčení keychainu ve chvíli přihlášení uživatele a fakt, že po celou dobu práce keychain zůstává odemčený, přináší risiko neautorizovaného přístupu např. tehdy, ponecháme-li počítač bez dozoru aniž bychom se odhlásili (to sice obecně vůbec není dobrý nápad, ale dělá to spousta uživatelů). Podobné risiko může přinést případná krádež notebooku, který není vypnutý, ale jen uspaný;
  • další risiko je dané samotným sdílením hesla uživatelského účtu a keychainu: pro případného narušitele to znamená polovinu práce – podaří-li se mu nějak zjistit či uhádnout nebo odpozorovat heslo, užívané pro přihlášení do systému, získá v tu chvíli zároveň "zadarmo" i volný a neomezený přístup ke všem tajemstvím, uloženým v keychainu;
  • nebezpečí popsané v minulém bodu je navíc zvýšeno tím, že většina uživatelů používá pro přihlášení do svých pracovních kont (jež samozřejmě nejsou administrátorská, jak jsme si vysvětlili přednedávnem ;)) hesla poměrně jednoduchá, nenáročná k zapamatování... a tedy také dosti snadná k uhádnutí.

Proto jakkoli je takováto konfigurace ideální pro běžného uživatele, který v podstatě bezpečnost nepožaduje a daleko více se soustředí na pohodlí práce se systémem ideální, kdokoli, kdo se o zabezpečení skutečně zajímá, by měl zvolit některou z konfigurací popsaných níže.

Kdy ji zvolit a kdy ne?

Jak už jsme uvedli, pro běžné uživatele, již se o bezpečnost nestarají, je standardní konfigurace ideální díky své transparentnosti a tomu, že uživatel se skutečně doslova nemusí vůbec o nic (v souvislosti s keychainy, samozřejmě :)) nijak starat.

Jako orientační ukazatel pro to, kdy je vhodná chvíle přejít k některé z bezpečnějších konfigurací, na něž se podrobněji podíváme v dalších pokračováních našeho seriálu, může posloužit prostý fakt že s keychainy pracujeme: dokud o keychanech nic nevíme a vědět nepotřebujeme, je pravděpodobné, že standardní konfigurace a její dosti slušná míra bezpečnosti nám bohatě stačí.

Jakmile však spouštíme aplikaci Keychain Access, jakmile s keychainy sami explicitně pracujeme, a zvláště jakmile sami začneme do keychainu cokoli ukládat (kupříkladu nejrůznější PINy a kódy prostřednictvím Secure Notes), je rozhodně načase konfiguraci změnit na nějakou bezpečnější. A tomu se budeme podrobně věnovat hned v příštím dílu.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Tipy a Triky  

 » Rubriky  » Software  

 » Rubriky  » Počítače  

Poslat článek

Nyní máte možnost poslat odkaz článku svým přátelům:

Váš e-mail:

(Není povinný)

E-mail adresáta:

Odkaz článku:

Vzkaz:

Kontrola:

Do spodního pole opište z obrázku 5 znaků:

Kód pro ověření

 

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: