¿La activación del inicio de sesión automático compromete el almacenamiento seguro de contraseñas?

Sí. Si habilita el inicio de sesión automático, la contraseña del llavero se almacena /etc/kcpasswordutilizando el cifrado XOR , que se puede decodificar fácilmente. Sin embargo, necesita privilegios de root para leerlo.

sudo ruby -e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read("/etc/kcpassword").bytes.each_with_index { |b, i| break if key.include?(b); print [b ^ key[i % key.size]].pack("U*") }'

Incluso si se deshabilitó el inicio de sesión automático, la contraseña de inicio de sesión se puede restablecer en el modo de usuario único . Sin embargo, no cambia la contraseña del llavero de inicio de sesión. Si alguien inició sesión en su cuenta después de restablecer la contraseña de inicio de sesión, podría acceder a la mayoría de sus archivos normalmente, pero no podría iniciar sesión en su cuenta en Mail o usar la función de autocompletar en Safari. Si el inicio de sesión automático estaba habilitado, podrían ver sus contraseñas con algo así como security find-internet-password -s accounts.google.com -wusar Correo y autocompletar.

Hubo una vulnerabilidad cuando se habilitó el inicio de sesión automático:

Según Passware, un desarrollador líder de software de recuperación de contraseñas, se puede acceder fácilmente a su contraseña a través del acceso directo a la memoria asociado con el puerto FireWire de la Mac.

Parece que al habilitar la función de "inicio de sesión automático", el puerto FireWire en su Mac abre la puerta a la recuperación de contraseña no autorizada. Parece que este es un problema que también ha afectado a Snow Leopard, pero tal como está, no parece que haya ninguna solución, aparte de deshabilitar el "inicio de sesión automático" y pasar uno o dos segundos adicionales escribiendo su contraseña.

El hash de la contraseña de inicio de sesión (que suele ser también la contraseña del llavero de inicio de sesión) se almacena /private/var/db/dslocal/nodes/Default/users/username.plisten 10.7 y 10.8. En 10.7, incluso las contraseñas relativamente complejas se podían descifrar con DaveGrohl , pero 10.8 cambió a PBKDF2, que lo limita a aproximadamente 10 intentos por segundo por núcleo.

Habilitar el inicio de sesión automático almacena la contraseña del usuario en forma recuperable, pero no está en texto sin formato (está oculto y no, no voy a decirle dónde está). El motivo de esto no es habilitar el inicio de sesión automático en sí mismo, sino permitir el acceso automático al llavero del usuario (que está encriptado según la contraseña del usuario).

Esto no debilita demasiado la seguridad; las principales implicaciones son que alguien (o algún malware) con acceso de root a la computadora (y/o control físico de la misma) puede averiguar cuál es su contraseña; pero como ya tienen el control total de la computadora, eso no importa mucho. Les da acceso a su llavero (que no les daría un restablecimiento de contraseña), y si usó la misma contraseña para otras cosas, lo saben... pero eso es todo.

De manera realista, si le importa la seguridad, no debería habilitar el inicio de sesión automático de todos modos.