iCloud Keychain в Mavericks – удобно, но не безопасно

46

OS X Mavericks принесла нам нечто под название iCloud Keychain (Связка ключей iCloud). Это облачный сейф с паролями от ваших любимых сайтов, которые автоматически синхронизируются между Mac, iPhone и iPad через общий iCloud-аккаунт. На практике iCloud Keychain это действительно удобная и бесплатная альтернатива популярному 1Password. Но можно ли доверять ему свои пароли? И да и нет.

12-iCloud-Keychain-macosworld-ru

Настройка iCloud Keychain

Любопытные наверняка уже разобрались, как все работает и сами настроили синхронизацию. Проблемы могли возникнуть только у жителей Украины, Белоруссии или других стран, чей номер телефона нельзя ввести во время настройки. К счастью, есть хитрый способ обойти это ситуацию. Но перед тем как начать, убедитесь, что у вас стоит OS X Mavericks и iOS 7.0.3+.

1. Обойти отправку кода подтверждения на мобильный телефон можно, начав настройку не с Mac, а с iPhone/iPad. Для этого зайдите в Настройки → iCloud и активируйте там Связку ключей. Вам предложат использовать ваш пароль на iPhone/iPad в качестве кода безопасности для iCloud. Нажмите Создать другой код и затем выберите Дополнительные параметры.

2. Теперь выберите пункт Не создавать код безопасности и подтвердите своё решение. Это грозит лишь тем, что если вы потеряете Mac, iPhone и iPad то не сможете получить доступ к своим паролям в iCloud. Не беда, у нас же есть бэкапы? ;)

Дело в том, что без этого кода ваши пароли не попадут в iCloud, а будут просто синхронизироваться между авторизированными устройствами. Во всяком случае, так утверждает Apple у себя на сайте. А вот Джон Бродкин (Jon Brodkin) с Ars Technica доказал небольшим экспериментом, что это не так. Пароли все же где-то хранятся в iCloud, но восстановить их оттуда без кода не получится.

3. Окей, теперь откройте Системные настройки → iCloud на Maс и активируйте Связку ключей. Mac предложит отправить запрос на первое активированное устройство. Соглашайтесь.

4. Через мгновение на ваш iPhone придет запрос на разрешение вашему Mac использовать iCloud Keychain. Здесь нужно ввести пароль от iCloud. Каждая следующая активация будет отправлять запрос на предыдущее устройство. Такая себе карусель.

5. Чтобы автозаполнение паролей заработало в мобильном Safari, зайдите в Настройки → Safari → Пароли и автозаполнение и включите Имена и пароли. В меню Сохраненные пароли можно посмотреть список всего, что есть в Связке ключей.

Со скучной частью мы закончили. Теперь отправляйтесь в мобильный Safari и наслаждайтесь автозаполнением паролей.

Безопасность iCloud Keychain

Теперь посмотрим, насколько безопасен iCloud Keychain. Оказывается, здесь полный караул! Если вы ранее активировали автозаполнение на iOS, то любой, кто возьмёт в руки телефон, может свободно залогинитьься под вашими аккаунтами из Safari. Да, так же происходит и на Mac, но незаметно «пошарить» на компьютере и телефоне — разные вещи.

Ещё опаснее, когда в вашем телефоне нет кода на разблокировку. В этом случае, любой желающий увидит все пароли в настройках Safari. Оказывается, они хранятся в открытом виде.

Да, многие ставят пароль на включение iPhone, но подсмотреть его через плечо — раз плюнуть. Этот четырёхзначный код легко узнает любой смышлёный официант, просмотрев записи с камер наблюдений вашего любимого кафе.

Проблема с паролем на телефоне частично отсутствует разве что у владельцев iPhone 5S с их сенсором отпечатков пальцев. Если подсмотреть пароль легко, то вот так заморачиваться будут не многие:

Возможно, скоро Apple также разрешит создавать произвольный пароль (отличный от кода разблокировки) для доступа к мобильной Связке ключей. Это тоже сделает Связку ключей безопаснее. Если вы думаете, что для этого и предназначен код безопасности, от которого мы отказались выше, то это не так. Код безопасности нужен лишь при «вытягивании» паролей из iCloud.

Учитывая все вышесказанное, на Связку ключей iCloud можно ставить метку «берегись», особенно при неправильной настройке. Пока же iCloud Keychain даёт злоумышленникам дополнительное пространство для маневра.

Как я использую iCloud Keychain

Разумеется, я не храню никакие пароли в iCloud Keychain. Все мои пароли надёжно спрятаны в 1Password для Mac и iPhone. Да, это не так удобно, но жутко безопасно. При таком раскладе потеря телефона или планшета уже не грозит потерей очень важной информации. Даже если вор знает мой код разблокировки.

В то же время, iCloud Keychain у меня включён. Включён он потому, что кроме всего прочего, синхронизирует пароли от беспроводных сетей. Например, когда вы пришли в кафе и подключились к WiFi с Mac, то ваши iPad и iPhone подключатся к нему автоматически. Очень удобно!

От остальных паролей я избавился. Для этого зайдите в Связку ключей на Mac и удалите все, что считаете нужным. В идеале, ваш список паролей в настройках Safari на iOS должен остаться пустым. Разумеется, перед этим вы должны сохранить все важное в 1Password.

Если пароли сразу не пропадут с мобильных устройств, то выключите и снова включите Связку ключей в настройках iCloud Mac и обновление «протолкнётся» на все устройства.

Чтобы там больше ничего не появлялось, научитесь игнорировать предложения OS X и iOS сохранять что-либо в Связку ключей из Safari. Для большей надёжности можете и там и там отключить опции автозаполнения паролей.

Для меня единственная польза iCloud Keychain лишь в синхронизации паролей от беспроводных точек доступа. В остальном я отдаю предпочтение 1Password.

Поделиться
Сохранить
  • iCloud keychain настолько удобен, что лучше уж включить FileVault2 (что я и сделал), а на телефоне сделать пароль с автоматическим удалением данных (что у меня всегда было).

    Если твои данные представляют такой интерес для третьих лиц, то ты и так не будешь пользоваться сомнительным облачным хранилищем (имхо). А обычным пользователям просто нечего бояться, зато как удобно не вводить пароли на телефоне.

    Что касается resetpassword… А оно точно сработает? Кто-то проверял? Просто логика здесь такая скорее всего: по-умолчанию при установке OSX пароль стандартной связки ключей устанавливается равным паролю на вход пользователя. Поэтому при входе в OS X ты автоматически разблокируешь этим паролем и связку ключей. Если поменять пароль — не факт что он автоматически изменится и у связки ключей, т.к. в OSX она скорее всего хранится шифрованной и для смены пароля надо все-таки ввести старый пароль. А resetpassword просто затирает предыдущую запись, с шифрованной связкой ключей так не прокатит.

    А вот на iOS вполне возможно что хранится в открытом виде, видимо OSX в icloud выгружает связку ключей или в открытом виде, или зашифрованной твоим icloud-паролем. Т.к. по-другому технической возможности просто не вижу.

    Интересно это всё, но чтобы знать точные ответы надо разбираться, а на это нет ни желания ни времени.

    • Про resetpassword ты хорошо подметил. Возможно его пароль не привязан к паролю пользователя и не изменится. Но я как-то этим способом все вскрыл на одном лэптопе с lion и получил доступ к keychain.

      У меня дома есть лэптоп без FileVault2, доберусь и проверю. Но даже если в keychain нельзя — можно залезть куда хочешь через браузер. Кстати, это ещё говорит в пользу того, что пароли там одинаковые :) Но надо проверить точно. Скоро обновлю.

    • Да, пароль не меняется, но доступ есть через автозаполнение в Safari.

      • А автозаполнение safari же не будет работать, если связка ключей не разблокирована. А для разблокировки нужно ввести пароль вручную, раз пароль пользователя теперь не совпадает с паролем от связки ключей.

  • +1 в карму автору…. даже не включал и оказался прав

    В общем Apple облажалась с картами и теперь с паролями. Продолжаю использовать и google карты и 1Password =)

    • Нигде она не облажалась, читайте внимательно статью а не только заголовок. Инструмент полностью соответствует целям, для которых он создан.

    • Извините за дерзость, но на самом деле со связкой ключей все в порядке.

      • Разница между 1Password и iCloud Keychain сейчас как между BMW и жигулями… на обоих ездить можно… аналогия понятна?
        А насчёт карт… Apple облажалась ибо увидеть улицу Горького в Москве я не ожидал никак и таких примеров думаю более чем один? Может это не только я заметил? А?
        Пока же «параноидальная безопасность на мак и iOS от Гороховского» меня устраивает ибо за 3 года от 1Password не было ни одного «прокола»
        Всего доброго.

        • Я неправильно выразился, «нигде» это я про keychain говорил. Про карты я ничего не могу сказать — в моей провинции они пока не знают даже про расположение и номера домов, в отличие от google maps. Я ими просто не пользуюсь.

          А зря вы обижаетесь, вот вы утверждаете что apple облажалась с keychain, а ведь это не так. Keychain в OS X реализован вполне стандартно, в проектах Gnome и KDE также устроен. Они облажались бы, если бы где-то заявляли что это решение с очень высоким уровнем защиты, но такого я нигде не видел.

          Просто это менее параноидальная защита, чем у специальных средств вроде 1password. Но никак не лажа.

          По сути ваши пароли на телефоне защищены паролем на блокировку самого телефона. Если заставить пользователя для использования паролей вводить пароль от связки ключей на компьютере, то зачем вообще тогда эта функция нужна? Ведь вся её прелесть в том, чтобы не вводить пароли на телефоне, это очень неудобно. Пин-код из четырех цифр в самый раз (а ещё лучше touch id).

        • Ксати я тоже использую специальное средство, только не 1password а onesafe. Там я храню важные вещи ещё и под двумя замками (в отличие от 1password там можно создавать контейнеры внутри контейнера, два уровня защиты). А keychain использую чтобы не вводить на телефоне пароли от самых обычных сайтов, форумов и т.д.

          • Paul, а как Вам KeePass ?

          • После 1password пользоваться им ну никак не хочется:

            — нет удобной версии для iOS
            — нет такой очень удобной вещи как 1password mini
            — браузерный плагин есть, но не такой удобный, как у 1p
            — ужасно выглядит на ретине, не cocoa со всеми вытекающими
            — визуально не так приятно выглядит и не сохраняет иконки для веб-сайтов
            — у 1p есть ещё много плюсов типа различных вариантов полей, шаблонов, тегов, функции аудит безопасности

            При этом я не могу назвать у keepassx ни одного плюса.

          • В программе KeePass есть автозаполнение и устанавливать плагины для браузеров не нужно. Невероятно удобная функция. Автозаполнение KeePаss может вставлять логин и пароль в любой программе, а не только браузере.

            Мне 1Password не понравился тем, что сохраняет базу в виде папки с кучей файлов. Как Вы отследите целостность этих файлов? В KeePass вся база это один файл. Я могу, например, знать его MD5 и проверять целостность.

          • keepass вставляет пароли перебирая поля tab-ом, это не работает на половине форм. 1password запоминает какое именно поле содержало это значение (и полей может быть больше чем 2), поэтому работает безошибочно. 1password mini тоже работает не только в браузере, это главное преимущество новой четвертой версии.

            В этой папке сама база данных хранится в sqlite файле, можете проверять его целостность. Все остальное — дополнительные данные. Я уже точно не помню в каком виде оно было в Dropbox, т.к. использую iCloud. Кажется там просто лежали сразу и резервные копии для отката изменений, и html-ки для просмотра через браузер. Только я не понимаю, зачем проверять целостность?

          • >> то не работает на половине форм.

            Просто нужно под каждый сайт настроить. Универсального правила конечно же не будет. Я настроил себе под свои сайты, на которых авторизуюсь и все отлично работает.

            >> Только я не понимаю, зачем проверять целостность?

            1) Ошибка при синхронизации и файл поврежден. 2) Кто-то ковырялся в папке и что-то модифицировал и мне придется проверять целостность всех файлов.

          • >> иконки для веб-сайтов

            Я считаю это уязвимым местом. Не должна подобная программа выходить в интернет. Когда я запускаю 1Password, то фаерволл обнаруживает кучу запросов в интернет, которые я естественно блокирую.
            Виндовый 1Password вообще никакой. Я вел переписку в разрабочиками 1P и привел им кучу примеров, как это удобно работает в KeePass и они согласились со мной и сказали, что передадут информацию программистам на будущие версии.

          • Насколько я понимаю, 1password под windows сделан исключительно для того, чтобы получить деньги с тех, кто сомневается «а вдруг мне понадобится работать в windows». Mac версия 1password — пример того, как надо делать софт. В тоже время UI keepassx — хороший пример того, как не надо.

            Что касается запросов в интернет, не думаю что разработчикам 1password нужны мои данные. Если у вас там сверхсекретные данные, то у вас должна быть не windows, а МСВС там какая-нибудь ;-)

            И вы все-таки про keepass или про keepassx? keepass не работает в os x (через mono я бы не назвал это «работает»). Хотя keepass2 от keepassx не далеко ушел. Это хорошая с точки зрения безопасности программа, но с типичным опенсорсным дизайном интерфейса. Если приходится часто и много искать по базе паролей и вставлять их, то 1password mini удобнее чем keepassx.

          • Пробовал на ретине ставить KeePass2 через Mono и действительно ужас :(

            Просто я недавно пересел с Виндовс на Мак и для меня пока все новое.

            Я ни в коем случае не спорю с Вашим мнением, просто общаюсь и хочу узнать, что лучше! :)
            Большое спасибо, что отвечаете мне!

          • Ок. 1password — очень качественная и удобная программа, стоит дорого. На мой взгляд её цена — единственный аргумент против.

          • За хорошую программу денег не жалко :) Подскажите, пожалуйста, вот тут https://agilebits.com/store написано «1Password Mac + Windows Bundle»

            Это значит, что можно за 70$ купить 1 лицензию на виндовс и мак?

          • Да, насколько я знаю, это бандл из двух программ.

          • В Keepass я могу создавать собственные поля, например, мне нужно сохранять данные FTP и кроме логина и пароля я хочу записывать от какого клиента этот пароль. Создаю доп. поле «Клиент» и при создании новой записи вношу имя клиента. В 1Password такого нет.

          • Что? Такое впечатление, что вы про совершенно другую программу говорите. В 1password к записи можно добавить любое количество полей разного типа, задать им теги, прикрепить файлы:

          • Спасибо :)

          • В KeePass открыт исходный код, я могу переписать программу под себя и скомпилировать. С 1Pаssword такого не сделать никак.

          • Как только перепишете и скомпилируете, тогда и запишете это в преимущества. Вам программа для того чтобы решать ваши задачи, или для того чтобы была возможность переписать и скомпилировать? вопрос риторический

          • >> — ужасно выглядит на ретине, не cocoa со всеми вытекающими

            Это да. Можно юзать виртуальную машину PD и запускать виндовый KeePAss

          • невероятный уровнь удобства

          • Ещё забыл один незаметный плюс — в базе паролей 1password есть html-файл, который можно открыть в любом браузере. Это на случай чужих компьютеров и аварийных ситуаций. Разумеется, этот файл также зашифрован и требует ввести пароль.

          • KeePass портативная программа и я могу на любом ПК запустить ее и получить доступ в свою базу. Не вижу смысла от ReadOnly html файла с паролями.

          • А я не вижу смысла редактировать свою базу на каком-то там любом ПК (ага, особенно под чужим windows с кейлоггерами). Если вы постоянно ходите по разным ПК и записываете пароли, то вам 1password не подойдет. Но почему-то мне кажется что это вам пригождается также часто, как возможность «переписать и скомпилировать».

          • Я ищу кроссплатформенное ПО. Но вижу, что идеального варианта я не смогу найти :(

          • Кроссплатформенное, как правило, свободное ПО. Но, как правило, оно уступает по качеству (интерфейса) программам, написанным специально под мак.

    • Лично мне приложение 1Password вообще никак не понравилось. Как бы долго я ее не юзал. Куча минусов по сравнению с лучшим бесплатный менеджером паролей KeePass.
      KeePass юзаю уже лет 10. Синхронизирую всего 1 файлик через Dropbox и моя база данных паролей доступна на любом устройстве с любой ОС

      • Назовите пару плюсов, интересно, потому что я считаю что их просто нет.

        • Я точно также могу попросить назвать плюсы, которых явно нет в KeePass и которые очень важные и удобные :)

          Например, 1Password для Android сделали мерзкий клиент, и только рид онли

          • Android — это другой мир. Нет, конечно, очень много маководов с андроидами. Но основная целевая аудитория 1password — маководы с айфонами. Здесь все очень хорошо. Другим платформам не уделяется столько внимания. Когда у меня был windows + android, linux + android, я тоже использовал keepass и keepassx.

          • Спасибо большое за ответы! :)

            Подскажите, пожалуйста, используете ли Вы какой-то антивирус и какой фаерволл поставили себе на мак? Мне понравился LittleSnitch, хотя он намного проще, мне так показалось, чем Outpost Firewall Pro от Agnitum

          • Не использую.

          • Некоторые люди советуют не использовать учетную запись администратора и советуют создавать еще одну для ежедневного использования. Как Вы считаете стоит ли это делать? Ведь на самом деле это не рут (не супер пользователь)

            В Apple по этому поводу пишут:

            Root: The «Super User»

            In Mac OS X, a super user named «root» is created at time of system installation. The root user has complete access to all files and folders on the computer, as well as additional administrative access that a normal user does not have. In normal day-to-day usage of your computer, you do not need to log in as the root user. In fact, the root user is disabled by default.

            http://support.apple.com/kb/HT2963?viewlocale=ru_RU

          • Это не имеет смысла, инфа 100%.

          • Может Вы могли бы мне помочь с этим вопросом: http://macosworld.ru/os-x-paranojjya-ili-bezopasnost-pod-mac-chast/#comment-1215140402 :)

  • recounts

    А я просто не храню важные пароли в icloud keychain. Да я вообще нигде не храню важные пароли кроме как в собственной памяти (1Password я не доверяю, никому не доверяю кроме себя).

  • Всё-таки радует, что для просмотра сохранённых паролей нужно на iOS ввести код разблокировки. Ну а у кого его нет, тот сам виноват. Впрочем пароли большинства людей никому кроме них самих не нужны.

  • Алексей

    Самый большой прокол — подсвечивать цифровые кнопки при вводе пин-кода. Потому что уследить за пальцем сложнее, чем за цифрами на дисплее. Сидя рядом подсмотреть пин-код проще простого.