Jelszavak biztonságos tárolása OS X alatt

Egy korábbi terjengős posztomban már foglalkoztam a témával, hogyan lehet és kell különböző jelszavakat elég egyszerűen gyártanunk Mac-en. (Röviden: célszerű minden site-on külön generált jelszavakkal dolgozni és azokat copy-pastelni.)

A gond ezzel az elképzeléssel már csak annyi, hogy hol tároljuk a jelszavainkat. Én például egy clear text szövegfileba teszem le. Biztonságos ez? Nem. Egyáltalán nem. Ha illetéktelenek kezébe jut a vinyőm, akkor elég egy spotlight search a “password” kifejezésre és máris első (!) találatként jön föl minden.

Megoldás: egy 128 bites kódolású AES diszk imázsban kell tárolni a szenzitív szövegfileokat és Excel dokumentumokat.

Lássunk is hozzá! Gyári szoftverrel szerelt Mac Leó elegendő lesz a továbbiakhoz, hiszen harcolnunk kell a shareware junkiezmus intézménye ellen — ahol lehet.

Első körben nyissuk meg a Disk Utility programot, majd ebben a File menü New – Blank Disk Image pontját. A felugró ablakban a lényeg a 128 bites titkosítás, a nevet tetszés szerint állítsuk be:

Jelszót is be kell írnunk, amit ha elfelejtünk, akkor annyi is volt az egész, nem tudunk a későbbiekben hozzáférni az itt tárolt fileokhoz. Bekapcsolhatjuk nyugodtan, hogy a keychain jegyezze meg. Kitétel: csak abban az esetben, ha bootoláskor kérünk jelszót a géphez, illetve sleep után is be van kapcsolva ugyanez.

Fontos: a user keychainjének a jelszava alapértelmezetten megegyezik a felhasználó bejelentkezési jelszavával, és a bejelentkezéssel egyben unlockolja. Ha a jelszavunkat nem tudják kitalálni, és nincs automata login, akkor a keychain tartalma biztonságos marad. Ha egy OS X lemezről bebootolna valaki és tetszőlegesre változtatná bármelyik user jelszavát, attól a keychain a régi jelszóval marad továbbra is kódolva.

Miután megvagyunk mindennel, az asztalon (vagy ahova mentettünk) megjelenik a DMG. Ezt dupla kattintással tudjuk megnyitni, bele fileokat dobni és vinni stb. Ha leakasztjuk az imázst, csak jelszóval tudjuk újra felmountolni a tartalmát. Abban az esetben, ha keychainezzük a jelszót hozzá, duplaklikkre mountolja az egészet, elég kényelmes. Sőt, ha shortcutokat helyezünk fontos fileokra, akkor keychainezett jelszó esetén szó nélkül felmountolja előtte az imázst és nyitja a file-t.

Szebb, jobb, biztonságosabb világ.

(NB, egyéb megoldás lehet filevaultozni a diszket, de ez szerintem performancia veszteséget jelent, illetve ha szükséges, akkor könnyedén nem férünk hozzá a saját tartalmainkhoz kívülről. Nem kedvelem ezt a megoldást, de Orosz például PowerPC-n is ezzel dolgozik.)

40 hozzászólás

efpe

En ugyanerre a TrueCryptet hasznalom. Windowsrol jottem, igy ez tunt esszeruenek 🙂

jdg

Én ezt használom: http://www.acrylicapps.com/wallet/

Ugyan fizetős, de van iphone app is hozzá (sync), ha beírod az adott webcímen a master pass-t akkor automatikusan beírja a mezőkbe a user/pass-t, ha kell filet is tárol, tetszőleges groupokat és típusokat lehet benne létrehozni, van benne jelszógenerátor is. Nagyon kényelmes és biztonságos. És nem utolsó sorban gyönyörű letisztult guija van + gyors mint az állat.

fassy

1Password. Shareware, viszont minimum 2 dimenzióval a te szövegfájlos verziód használhatósága felett van. Szifonnal szinkronizál, regisztráláskor generálja és menti a jelszókat, gombnyomásra belép a honlapokra. Minden pénzt megér, adj neki egy esélyt!

vakondgyar

Jópofa ez a titkosított dmg-ben tárolós dolog is.

Én egy teljesen ingyenes és szerintem jól használható programot használok: KeePassX. Multiplatformos (OSX,Win,Linux).

Érzésem szerint ezzel a dmg-vel osx-hez van kötve az ember.

Én egy pendrive-on hurcolom ezt a programot (persze osx-en is fent van) és annak adatbázisát is. Elég jó titkosítást használ.

_psc_

efpe: TrueCrypt -et a hozzáértők elég sokat savazzák, több olyan vádat is hallottam, hogy valósznűleg a CIA/NSA/stb. fejleszti, és tele van backdorral.
Ezt alátámasztja, hogy semmit sem tudunk arról, hogy ki fejleszti, titokban tartják magukat.
Persze, senki sem állítja, hogy az NSA/CIA/stb. a Te encryptelt cuccaidra kíváncsi, azonban ha tényleg van benne backdoor (márpedig ez elég valószínű), akkor annak kihasználására a fejlesztőkön kívül valószínűleg már más is rájöhetett, talán gonosz blackhat emberkék úgy olvassák a truecrypt imageket, mint a plaintextet.

angelday: 256-bit AES akkormár. 🙂

peti

Nagyon jó post! Köszönöm! Végre egy egyszerű, segédprogram nélküli megoldás.. már régóta kerestem hasonlót. Egyszerű és nagyszerű! Remélem a Things progim adatbázisát is bele tudom paszírozni..

naki vagyok kerdojel

Ugyanerre a feladatra Windows alatt a Password Safe nevű alkalmazást használom (http://passwordsafe.sourceforge.net/). A linkje alapján azt feltételezem, hogy open source, tehát valószínű, hogy nincs benne back door. Nagyon kényelmesen használható, ingyenes (igaz, nem az OS része 🙂 ), mindössze 1 db master password megjegyzését igényli. Szeretem.

Zila

@peti: mivel operációs rendszer szinten van kezelve a cucc, biztosan belemegy a Things adatbázisa.

Viszont ez a keychain password dolog borzasztó szívássá válhat. Történt egyszer, hogy user elfelejtette a jelszavát, mire és az admin accountommal módosítottam neki. A belépéssel nem is volt gond, de a keychain-hez nem fért hozzá, és egyfolytában nyavajgott is a érte a nyomorult 🙁
A vége az lett, hogy letöröltem a a régi adatbázist (ezzel elveszejtve a benne tárolt jelszavakat). Vagyis addig kényelmes a dolog, amíg nincs baj…

Memph

performancia, jaajjjj, nem lehetne pl.: teljesítmény. 🙂 Imázsra nincs jó ötletem

k3y

Én Windowson KeePass-t használok.
A TrueCrypt ellenben opensource, szólva ha lenne benne backdoor akkor már kibukott volna, nem? (Feltéve, hogy titkosítási szakemberek átnyálazták a forráskódot, hogy megtalálják.)

slorinc

Lehet hogy felreertettem valamit, de ha a keychainben tarolod a AES disk jelszavat, akkor miert vannak nagyobb biztonsagban az adataid, mintha siman a normal disken tarolnad? Ha valaki ellopja a notebookod, akkor siman hozzafer mindenhez.

pappito

1Password. nem shareware, megvettem. nekem faja. fájlokat nem akarok titkosítgatni, de a jelszavakat faszán kezelgeti. meg lehet ilyen hitelkártyaazonosítós adatokat összerendelni, nem kell kézzel pötyögni és aki nem tudja a masterpasst az nem vásárol.

greg

és miért nem a keychain-en van, note formában a sok jelszavad? kulcsokat, a kulcscsomóra… ha nem bököd, be hogy mindig magától nyissa ki az adott note-ot, akkor mindig jelszót kér, ha véletlen nem lenne lock-olva a géped amikor vki hozzáfér, akkor sem tudná megnézni jelszavad nélkül a kulcscsomón lévő note-okban lévő többi titkot…

csiszi

Azt én sem értem kristálytisztán, hogy miért nem jó a keychain “secure note” funkciója. Pláne, ha a dmg jelszava úgyis a keychainben van tárolva.

neo_21670

Itt tenném hozzá, hogy az ilyen random sensitive adatok tárolására én a Sparse Bundle Disk Image verziót preferálom, a későbbi “töredezettséggel” ill. az azt követő disk image tömörítéssel járó időveszteség csökkentésére.

hdiutil compact /PATH/TO/DISK/IMAGE.sparseimage

Meg lehet átméretezni is:
hdiutil resize -size 2g /PATH/TO/DISK/IMAGE.dmg

B82

Ja ja secure note a jelszavaknak szoveges okossagoknak. DMG meg a haziporesznak fajloknak.

_psc_

k3y: “A TrueCrypt ellenben opensource, szólva ha lenne benne backdoor akkor már kibukott volna, nem?”

A truecrypt-tel alapvetően az a gond, hogy valójában nem tekinthető igazi opensource programnak.
Bűzlik a titkoszszolgálatok büdös szagától, akárcsak a Java Anon Proxy (http://en.wikipedia.org/wiki/Java_Anon_Proxy#Privacy)
Le kellene fordítani a truecryptet a lefordított kiadással azonos compiller-opciókkal, és összehasonlítva az eredményt kiderülne, hogy van-e turpisság.
De! Reméljük, hogy -ha csak nem mi magunk nézzük át a forrást- az oss közösség nem úgy ellenőrzi a truecrypt forrását, mint a debianos openssl-t. (http://hup.hu/cikkek/20080516/par_gondolat_a_debian_ssl_bugrol)
Van egy csomó nyitott kérdés a truecrypt-tel kapcsolatban, amik egy igazi oss programnál, amennyiben nincs susmus benne, nem kéne hogy nyitott kérdések legyenek:
– kik a fejlesztői?
– a Truecrypt foundation hol van bejegyezve?
– eredetileg a truecrypt.org domain miért az antarktiszra lett bejegyezve, s újabban miért a Network Solutions rejtett domain reg. szolgáltatását veszik igénybe?
(http://www.who.is/website-information/truecrypt.org/)
– a truecrypt trademark egy magánszemély nevére van bejegyezve egy prágai címre, s állítólag ez a magá yszemély nem is lakik ott, mindez miért? (http://www.wipo.int/ipdl/en/madrid/key.jsp?KEY=925625)
– sokat bírálják őket, hogy a fórumaikon sajátos moderálási elveket alkalmaznak. Miért? Bizonyos témák kényesek? (http://www.wilderssecurity.com/showthread.php?t=220139)

Szóval ez az egész truecrypt nagyon bűzlik, nem véletlen nem kerül be ez a software komoly helyekre, max. Pistike és Társa Bt.-hez.
Ha fontos a privacy, nem ajánlott, nem tekinthető 100%-ban megbízható szoftvernek.

(Ellenpéldaként nézd meg mondjuk a PGP fejlesztőit: nem bújkálnak, nem titkolóznak, a PGP igazi oss software, bűszkék a művükre, hagyják, hagy nyálazza át a community a forrást, stb.stb., nem direkt binárisan van terjesztve minden platformra, hanem te magad fordíthatod a rendszered hivatalos repóiból, ami elvileg át van nyálazva a community által.)

gyuz

Az OKÉ hogy nem fogják tudni elolvasni a jelszavaimat ha ellopták a macbookot, de az én kérdésem az, hogy ÉN honnan fogom újra összekaparni ezt a sok infót?

Nem hiszem hogy különlegesen bonyolult életet élnék, de a jelszó/infó fájlom százas nagyságrendű tételt tartalmaz.

És ha simán Google Docs-ban tartom a jelszavakat? Igy legalabb mindenhonnan elerem (telefon, vagy akar netkavezo Zanzibaron)…

_psc_

gyuz: Google Docs? Ha nem baj, hogy nem csak Te tudod a jelszavaidat…
Egyébként már Lenin is megmondta: backupnyik, backupnyik, i backupnyik!

rakenroll

Most nem azert, de nem pont a keychain valo a jelszavak tarolasara? Ha akarod csinalj egy uj keychaint a login melle mas passworddel, aztan tedd abba a homoszadopornosite loginjaidat.

rakenroll

Most nem azert, de nem pont a keychain valo a jelszavak tarolasara? Ha akarod csinalj egy uj keychaint a login melle mas passworddel, aztan tedd abba a homoszadopornosite loginjaidat.

csiga

TrueCrypt. Az OSX titkosított DMG-nél jóval erősebb titkosításra képes, modernebb hash algoritmusokkal. Nyílt forráskódú, a céggel kapcsolatos titkolózás pedig nem véletlen: a világ sok országában illegális a használata a programnak – például Angliában is.

k3y

_psc_: thx az összeszedett linkekért. (a debian openssl-re emlékeztem is) – annyiban vitáznék, hogy a truecrypt forrása letölthető és átnyálazható, azaz egy ilyen compile és diff nem áll semmiből, nem?

az igazi security és crypto freakek között szerintem foglalkozási ártalom a paranoia, simán lehet hogy a TrueCrypt fejlesztők is csak azért titkolóznak ennyire – a user is paranoid, ő meg azt hiszi hogy azért mert az NSA/KGB/MI6/Men in Black áll mögötte 🙂

de ugye attól hogy paranoiás vagy még el akarhatnak kapni.

pigeon

..Open id !
En mar mindenhol implementalom a regisztralgatos baszas melle is, hiszem pl railsben +1 plugin, atirom a scaffoldolt viewokat es kesz. Nem tudom miert nem terjed. Ja, lehet mert a facebook itt is bevezette a sajat faszsagat (facebook auth), komolyan, ezek a szerencsetlenek a web sony-jai.

Pusztuljanak el. Sztenderdek a jovoert!

_psc_

k3y: “a truecrypt forrása letölthető és átnyálazható, azaz egy ilyen compile és diff nem áll semmiből, nem?”

Hát, a baj csak annyi, hogy nem tudjuk, a bináris disztribúciót milyen kapcsolókkal, opciókkal fordították, így nem tudunk diffelni.
És a truecrypt forrása valóban letölthető, de mégiscsak binárisként van terjesztve widowsra, linuxra, stb.-re is.
Az OSS community pont ezért mondja, hogy nem tekinthető igazán nyílt soft-nak.
Sőt, én azt mondom, hogy az OSS community-ban sem bízhatunk, hogy ha estleg át is nyálazza a truecrypt kódját, akkor minden tuti – lásd a debianos openssl esetét.
De mondom mégegyszer, ha át is nyálazza a kódot, és nem talál benne semmit, az sem garancia semmire, mivelhogy a gépedre letöltött bináris disztribúció egyáltalán nem biztos, hogy ugyan arra a kódbázisra épül, mint amit kitettek a honlapjukra.

Chris Borbas

köszi a júzfull postot.
egy kérdés. meg tudom valahogy akadályozni, hogy ne lehessen a dmg-met letörölni, max egy login jelszó segítségével, vagy mégjobb, a dmg nyitási jelszó segítségével?

tudom, hogy paranoiás vagyok, de ha eldugom, nehéz mindig bemountolni, ha kint van az asztalon, véletlen letörlöm (vagy méginkább pl a barátnőm – tudom, külön login)… a lock funkció kb semmire nem jó, mert csak megkérdi törlés előtt, hogy bizti?

dugjam el, és rakjak egy shortcutot a dockba? vagy van valami elegánsabb megoldás fájlok igazi lockolására törlés ellen?