Lepší konfigurace keychainů - MujMAC.cz - Apple, Mac OS X, Apple iPod

27. října 2006, 00.00 | V minulém dílu našeho seriálu o bezpečnosti operačního systému Mac OS X jsme se začali zabývat různými konfiguracemi keychainů. Slíbili jsme si, že dnes se podíváme na možnosti lepších, bezpečnějších konfigurací keychainů – zde jsou.

V minulém dílu našeho seriálu o bezpečnosti operačního systému Mac OS X jsme se začali zabývat různými konfiguracemi keychainů. Podrobně jsme si popsali konfiguraci standardní, v níž má uživatel pouze jediný keychain, chráněný týmž heslem, jímž je chráněno jeho konto, a automaticky odemykaný při přihlášení k systému. Ukázali jsme si, jaké výhody – především v pohodlí a transparentnosti přístupu – toto řešení přináší; popsali jsme si také podrobně jeho bezpečnostní risika, jmenovitě to, že keychain zůstává neustále odemčený, a také fakt, že sdílí heslo se samotným uživatelským účtem.

Slíbili jsme si, že dnes se podíváme na možnosti lepších, bezpečnějších konfigurací keychainů – zde jsou.

Změna hesla

Samozřejmě, že nejjednodušší je prostě odstranit ony nevýhody, o nichž jsme se explicitně bavili v souvislosti se standardní konfigurací keychainů: je-li problémem to, že keychain sdílí heslo s vlastním uživatelským účtem, nic nám samozřejmě nebrání heslo změnit.

V aplikaci Keychain Access prostě vybereme patřičný keychain (ve standardní konfiguraci ostatně nemáme moc na vybranou, bude to právě login), a pomocí příkazu "Edit / Change Password for Keychain "login"..." vyvoláme panel, jehož prostřednictvím můžeme (samozřejmě po ověření hesla původního) vložit heslo nové:

Volbu vhodného hesla jsme již jednou v našem seriálu probírali; ukázali jsme si tehdy, jaká hesla nejsou vhodná, jaká ano, a proč. Také jsme si řekli, že Mac OS X nám nabízí speciální aplikaci, jež dokáže hesla hodnotit a chceme-li, také generovat; samozřejmě ji můžeme vyvolat i z tohoto panelu – stačí klepnout na ikonku klíče při pravém okraji textového pole pro vložení nového hesla.

Vše, co jsme si říkali o heslech v souvislosti s uživatelskými účty, samozřejmě platí pro keychain tuplem: jestliže jsme pro pohodlí a snadné zapamatování ochotni tolerovat "jednoduché" heslo u samotného uživatelského účtu, v případě keychainu – který potenciálně obsahuje skutečně důvěrné a důležité údaje – bychom si to skutečně dovolit neměli, a alespoň pro ten bychom měli použít heslo netriviální.

Jakmile má keychain odlišné heslo od samotného uživatelského účtu, nebude samozřejmě odemčen automaticky po přihlášení uživatele; namísto toho nás systém vyzve k explicitnímu odemčení keychainu (vložením jeho hesla) ve chvíli, kdy se s ním první aplikace pokusí nějak pracovat. V praxi to nejspíše bude asi aplikace Mail, jež bude z keychainu chtít načíst uživatelské jméno a heslo pro připojení k serveru POP3 při automatickém načtení nových zpráv; záleží to však samozřejmě na konkrétní konfiguraci.

Po takovémto odemčení již je keychain opět všem aplikacím volně k dispozici, a nadále vše probíhá stejně, jako ve standardní konfiguraci. Zásadní rozdíl však je v tom, že někdo, kdo nám dejme tomu ukradne notebook, nyní musí pro získání našich tajných dat uhádnout hesla dvě, vzájemně zcela nezávislá: heslo účtu, jež mu umožní se přihlásit, a (nejméně stejně "těžké", raději "těžší") heslo keychainu, bez nějž si jeho obsah nepřečte, ani kdyby se dokázal k našemu počítači přihlásit jako root...

Mimochodem... stojí za to uvést ještě několik poznámek, jež s tímto tématem okrajově souvisejí:

• změní-li uživatel, který využívá standardní konfigurace, své heslo prostřednictvím panelu "System Preferences", heslo keychainu – jež bylo dosud totožné s jeho přihlašovacím heslem – se automaticky změní také;
• změníme-li však heslo uživatele "zvenku" (kupříkladu z administrátorského účtu), heslo keychainu se samozřejmě nezmění a zůstane beze změny;
• z toho plyne, že pokud kupříkladu uživatel své heslo zapomene, může mu administrátor zajistit přístup do jeho účtu; nikdo nikdy a nijak však mu již nezajistí přístup k jeho tajným údajům v keychainu!
• také je třeba si uvědomit, že pokud z jakéhokoli důvodu změníme své heslo účtu "zvenku" (z administrátorského účtu), keychain po nás začne "najednou" požadovat heslo pro odemčení.

Automatické uzamykání

Druhý potenciální bezpečnostní problém, který s sebou nese standardní konfigurace a o němž jsme se zmínili, spočívá v tom, že keychain je odemčený – a tedy k dispozici všem aplikacím – po celou dobu, kdy jsme přihlášeni k systému. To samozřejmě přináší nemalé bezpečnostní risiko: co když se někdo zmocní našeho laptopu v době, kdy je pouze uspaný? Což zapomeneme-li se odhlásit a odběhneme od počítače?

Řešení je sice opět snadné, avšak tentokrát, na rozdíl od změny hesla keychainu jež je zcela bezproblémová, přináší vlastní potenciální obtíže a risika. Nejprve si ukážeme řešení: stačí otevřít panel pro nastavení parametrů keychainu příkazem "Edit / Change Settings for Keychain "login"...":

Zde můžeme určit dvě základní omezení:

• automatické uzamčení keychainu po uplynutí určité doby;
• automatické uzamčení keychainu kdykoli počítač uspíme.

Obojí je rozumné a žádoucí. Je zde však malý háček: po uzamčení keychainu samozřejmě opět platí, že při nejbližší příležitosti, kdy jej bude nějaká aplikace potřebovat, budeme muset vložit jeho heslo pro jeho odemčení. To může být trochu problém s aplikacemi, jež sahají do keychainu často – typickým případem je právě aplikace Mail, jež potřebuje keychain pro heslo k účtu POP3 a pro načítání či ukládání certifikátů každou chvíli.

Nejde jen o to, že časté vkládání hesla je nepříjemné; ono je také nebezpečné! Musíme si uvědomit, že optimální využití hesel tkví – ostatně stejně, jako bezmála cokoli – v uměřeném kompromisu mezi oběma extrémy (přičemž nelze nevzpomenout na Shangri-La :)) Pokud nastavíme systém tak, že po nás bude chtít heslo každou chvilku, pak

• budeme mít tendenci užívat hesla snadno a pohodlně vkládatelného – což velmi pravděpodobně znamená jinými slovy "krátkého, snadno uhodnutelného, a tedy špatného";
• co je horší, s vysokou frekvencí vkládání hesla, obzvláště pokud se mu nemůžeme vyhnout s notebookem na veřejnosti, zvyšujeme pravděpodobnost jeho odpozorování!

Jinými slovy, rozhodně je rozumné keychain nastavit tak, aby se uzamkl po uspání počítače a také po nějaké době nečinnosti; tato doba by však měla být poměrně dlouhá.

Kterak spojit tento požadavek s bezpečností údajů, uložených uvnitř keychainu? Inu... nijak, to není možné! Řešením zde je využít více keychainů, každý s jiným nastavením pro jiné požadavky; na to však již se zase podrobněji podíváme příště.