Sì. Se abiliti il ​​login automatico, la password del portachiavi viene memorizzata in / etc / kcpassword utilizzando la cifratura XOR, che può essere decodificata facilmente. Tuttavia, sono necessari i privilegi di root per leggerlo.

sudo ruby ​​-e 'key = [125, 137, 82, 35, 210, 188, 221, 234, 163, 185, 31]; IO.read ("/ etc / kcpassword"). Bytes.each_with_index {| b, i | break if key.include? (b); print [b ^ key [i% key.size]]. pack ("U *")} '

Anche se l'accesso automatico è stato disabilitato, la password di accesso può essere reimpostata in modalità utente singolo. Tuttavia, non cambia la password del portachiavi di accesso. Se qualcuno ha effettuato l'accesso al tuo account dopo aver reimpostato la password di accesso, potrebbe accedere normalmente alla maggior parte dei tuoi file, ma non potrebbe accedere al tuo account in Mail o utilizzare la compilazione automatica in Safari. Se l'accesso automatico è stato abilitato, potrebbero vedere le tue password con qualcosa come security find-internet-password -s accounts.google.com -w e utilizzare Mail e riempimento automatico.

C'era una vulnerabilità quando l'accesso automatico era abilitato:

Secondo uno dei principali sviluppatori di software per il recupero della password Passware, la tua password poteva essere facilmente accessibile tramite l'accesso diretto alla memoria associato con la porta FireWire del Mac.

Sembra che abilitando la funzione di "login automatico" la porta FireWire sul tuo Mac apra la porta al recupero della password non autorizzato. Sembra che questo sia un problema che ha afflitto anche Snow Leopard, ma così com'è non sembra che ci sia alcuna soluzione per questo, a parte disabilitare il "login automatico" e spendere quel secondo o due extra digitando la tua password.

L'hash della password di accesso (che di solito è anche la password del portachiavi di accesso) è memorizzato in /private/var/db/dslocal/nodes/Default/users/username.plist in 10.7 e 10.8. Nella 10.7 anche le password relativamente complesse potevano essere violate con DaveGrohl, ma la 10.8 è passata a PBKDF2, il che la limita a circa 10 tentativi al secondo per core.

L'abilitazione dell'accesso automatico memorizza la password dell'utente in forma recuperabile, ma non è in testo normale (è oscurato e no, non ho intenzione di dirti dove si trova). Il motivo non è abilitare l'autologin stesso, ma consentire l'accesso automatico al portachiavi dell'utente (che è crittografato in base alla password dell'utente).

Questo non indebolisce troppo la sicurezza; le implicazioni principali sono che qualcuno (/ qualche malware) con accesso root al computer (e / o controllo fisico di esso) può scoprire qual è la tua password; ma poiché hanno già il pieno controllo del computer, non importa molto. Dà loro accesso al tuo portachiavi (che una reimpostazione della password non darebbe loro) e se hai usato la stessa password per altre cose loro sanno che ... ma questo è tutto.

Realisticamente, se a te interessa la sicurezza, non dovresti comunque abilitare l'accesso automatico.