Keychain es el sistema de gestión de contraseñas en macOS , desarrollado por Apple . Se introdujo con Mac OS 8.6 y se ha incluido en todas las versiones posteriores del sistema operativo, ahora conocido como macOS. Un llavero puede contener varios tipos de datos: contraseñas (para sitios web , servidores FTP , cuentas SSH , recursos compartidos de red , redes inalámbricas , aplicaciones de software colaborativo , imágenes de disco cifradas ), claves privadas , certificados y notas seguras.
Los llaveros se desarrollaron inicialmente para el sistema de correo electrónico de Apple, PowerTalk , a principios de los años 1990. Entre sus muchas funciones, PowerTalk utilizaba complementos que permitían recuperar correo de una amplia variedad de servidores de correo y servicios en línea. El concepto de llavero naturalmente "desapareció" de este código y se usó en PowerTalk para administrar todas las credenciales de inicio de sesión de un usuario para los distintos sistemas de correo electrónico a los que PowerTalk podía conectarse.
Las contraseñas no eran fáciles de recuperar debido al cifrado, sin embargo, la simplicidad de la interfaz permitía al usuario seleccionar una contraseña diferente para cada sistema sin temor a olvidarlas, ya que una sola contraseña abriría el archivo y los devolvería todos. En ese momento, las implementaciones de este concepto no estaban disponibles en otras plataformas. Keychain era una de las pocas partes de PowerTalk que obviamente era útil "por sí sola", lo que sugería que debería promocionarse para convertirse en parte del Mac OS básico. Pero debido a políticas internas, se mantuvo dentro del sistema PowerTalk y, por lo tanto, estuvo disponible para muy pocos usuarios de Mac. [ cita necesaria ]
No fue hasta el regreso de Steve Jobs en 1997 que el concepto de llavero revivió del ahora descontinuado PowerTalk. En ese momento, el concepto ya no era tan inusual, pero todavía era raro ver un sistema de llavero que no estuviera asociado con una pieza particular de software de aplicación, generalmente un navegador web . Posteriormente, Keychain se convirtió en una parte estándar de Mac OS 9 y se incluyó en Mac OS X en las primeras versiones comerciales.
En macOS, los archivos de llavero se almacenan en ~/Library/Keychains/(y subdirectorios), /Library/Keychains/y /Network/Library/Keychains/, y la aplicación GUI de Acceso a Llaveros se encuentra en la carpeta Utilidades de la carpeta Aplicaciones. [1] [2] Es un software gratuito y de código abierto publicado según los términos de APSL-2.0 . [3] La línea de comando equivalente a Keychain Access es /usr/bin/security.
La base de datos de llavero está cifrada por tabla y por fila con AES-256-GCM . El momento en que se descifra cada credencial, cuánto tiempo permanecerá descifrado y si la credencial cifrada se sincronizará con iCloud varía según el tipo de datos almacenados y está documentado en el sitio web de soporte de Apple. [4]
El archivo de llavero predeterminado es el loginllavero, que generalmente se desbloquea al iniciar sesión con la contraseña de inicio de sesión del usuario, aunque la contraseña de este llavero puede ser diferente de la contraseña de inicio de sesión del usuario, lo que agrega seguridad a expensas de cierta conveniencia. [5] La aplicación Keychain Access no permite establecer una contraseña vacía en un llavero.
El llavero se puede configurar para que se "bloquee" automáticamente si la computadora ha estado inactiva durante un tiempo, [6] y se puede bloquear manualmente desde la aplicación Acceso a Llaveros. Cuando está bloqueado, se debe volver a ingresar la contraseña la próxima vez que se acceda al llavero para desbloquearlo. Sobrescribir el archivo ~/Library/Keychains/con uno nuevo (por ejemplo, como parte de una operación de restauración) también hace que el llavero se bloquee y se requiere una contraseña en el siguiente acceso.
Si el llavero de inicio de sesión está protegido por la contraseña de inicio de sesión, entonces la contraseña del llavero se cambiará cada vez que se cambie la contraseña de inicio de sesión desde una sesión iniciada en macOS. En una red compartida Mac/no Mac, es posible que la contraseña del llavero de inicio de sesión pierda la sincronización si la contraseña de inicio de sesión del usuario se cambia desde un sistema que no sea Mac. Además, si la contraseña se cambia desde un servicio de directorio como Active Directory u Open Directory, o si la contraseña se cambia desde otra cuenta de administrador, por ejemplo, usando las Preferencias del Sistema. Algunos administradores de red reaccionan a esto eliminando el archivo de llavero al cerrar sesión, de modo que se creará uno nuevo la próxima vez que el usuario inicie sesión. Esto significa que las contraseñas de llavero no se recordarán de una sesión a la siguiente, incluso si la contraseña de inicio de sesión tiene no ha sido cambiado. Si esto sucede, el usuario puede restaurar el archivo del llavero ~/Library/Keychains/desde una copia de seguridad, pero al hacerlo se bloqueará el llavero, que luego deberá desbloquearse en el próximo uso.
Se desarrolló una aplicación de software de terceros que permitía la sincronización de llaveros personales generados mediante el acceso a llaveros en Mac OS X. Estos llaveros de usuarios generados con acceso a llaveros estándar se podían sincronizar entre dispositivos (iPhones, computadoras de escritorio Apple), usando un par de Aplicaciones de sincronización de llaveros desarrolladas por Patrick Stein de Jinx Software, una para Mac OS X y otra para iOS llamada Keychain2Go. El desarrollador no pudo actualizar correctamente Keychain2Go para tener en cuenta las restricciones que Apple impuso a Keychain y al acceso a Keychain en Mac OS X Sierra 10.12. [7]
Keychain se distribuye tanto con iOS como con macOS. La versión de iOS es más sencilla porque las aplicaciones que se ejecutan en dispositivos móviles normalmente sólo necesitan funciones de llavero muy básicas. Por ejemplo, funciones como ACL (listas de control de acceso) y compartir elementos del llavero entre diferentes aplicaciones no están presentes. Por lo tanto, solo la aplicación que los creó puede acceder a los elementos del llavero de iOS.
Como almacenamiento predeterminado de información confidencial de los usuarios de Mac, Keychain es un objetivo principal para los ataques de seguridad.
En 2019, el investigador de seguridad alemán Linus Henze, de 18 años, demostró su truco, denominado KeySteal, que toma contraseñas del llavero. Inicialmente, ocultó detalles del hack, exigiendo que Apple estableciera una recompensa por errores para macOS. Sin embargo, Apple no lo había hecho cuando Henze reveló posteriormente el hackeo. Utilizó el acceso de Safari a los servicios de seguridad, disfrazado de una utilidad en macOS que permite a los administradores de TI manipular llaveros. [8]
.svg/1280px-Free_and_open-source_software_logo_(2009).svg.png){kind=logo}