安全研究人员对苹果公司最新版本的MacOSX操作系统Mavericks中的新密码管理器持有不同的看法。
新的iCloud Keychain存储了所有的网站用户名和密码、信用卡号码和Wi-Fi网络信息,并在用户的所有苹果设备(包括iPhone和iPad)上保持数据的更新。数据采用256位AES加密。
这一可选功能只能在Safari和苹果产品上使用,用户无需记住单独的密码就可以登录网站。具有类似和更高级功能的第三方密码管理器包括LastPass和1Password。
苹果的经理可能会在使用该供应商多款设备的客户中受到欢迎。那些可能拥有安卓智能手机、平板电脑或Windows个人电脑等其他产品的用户,将不得不使用另一家公司的密码管理器。
“我不明白一个纯Mac/iPhone用户为什么会选择其他解决方案,除非他/她担心更高级别的安全,比如双因素认证,”Qualys首席技术官沃尔夫冈·坎德克(Wolfgang Kandek)周三在一封电子邮件中说。
当然,Mac/Android或iPhone/PC等跨平台用户仍需寻找第三方解决方案,但对于纯苹果用户来说,iCloud Keychain提供了一个有吸引力的提议。”
尽管如此,专家们还是有些挑剔。他们不喜欢的是,苹果让人们选择只创建一个四位数的安全代码来将设备添加到钥匙链中。密码还用于验证其他操作的身份,如在设备丢失时恢复钥匙链。
“一个四位数的保护PIN并不是真正的保护PIN。任何电脑都能在不到一小时的时间里破解一个四位数的密码,”提供双因素认证平台的Authy的首席执行官丹尼尔·帕拉西奥(Daniel Palacio)说。
苹果确实让用户可以选择自动生成更复杂的代码。然而,研究表明,如果可以选择的话,人们倾向于选择简单的密码。
专家们希望在Keychain中看到的一个功能是为网站提供密码生成器。提供密码库的供应商的产品通常会让客户选择一长串字符,包括字母、数字和符号。
坎德克说,这样的功能很重要,因为“我们往往在选择强密码方面非常糟糕。”
漏洞管理供应商Tripwire的安全研究经理Tyler常规表示,密码管理通常是“可怕的”,因为很多高价值的信息集中在一个地方。
此外,通过将管理器放置在浏览器中,供应商将其放置在软件中,这是黑客的主要目标。
“如果那个产品被泄露了,你所有的账户都会被泄露。因此,我不使用密码库。”
Sophos高级安全顾问切斯特·威斯涅夫斯基(Chester Wisniewski)表示,人们是否使用Keychain将取决于他们是否信任苹果。
他说:“在存储别人的密码时,你的声誉是最重要的。”“看看那些通常不使用密码库的用户,是否会仅仅因为它在iCloud中,随时准备使用,就使用它,这将是很有趣的。”
和许多供应商一样,苹果在安全问题上也受到了批评。据ZDNet报道,俄罗斯安全研究人员弗拉基米尔·卡塔洛夫最近发现,一个拥有他人苹果账号和密码的人可以在用户不知情的情况下远程从iCloud下载所有数据。
虽然首先窃取苹果的ID和密码很困难,但通过电子邮件钓鱼技术是可能的。
这篇文章,“苹果iCloud钥匙链在OS X Mavericks得到褒贬不一的评价”,最初是由CSO .