จะป้องกันการจัดเก็บรหัสผ่าน WiFi บนพาร์ติชั่นการกู้คืนได้อย่างไร?

13

ฉันสงสัยเสมอว่า Mac ของฉันสามารถเชื่อมต่ออินเทอร์เน็ตได้อย่างไรเมื่อพาร์ติชันการกู้คืนถูกบูตและพาร์ติชันระบบหลักของฉันถูกล็อค (filevault2)

บาง googling เปิดเผยวันนี้ (เช่นที่นี่ , ที่นี่และยังaskdifferent ) ว่ารหัสผ่าน WiFi จะถูกเก็บไว้ที่เห็นได้ชัดใน NVRAM และที่จะต้องมีการตั้งค่าที่จะลบรหัสผ่าน ในฐานะที่เป็นคนที่ใส่ใจเรื่องความปลอดภัยนี่เป็นสิ่งที่ฉันยอมรับไม่ได้ เมื่อใช้การเข้ารหัสดิสก์เต็มรูปแบบ (เช่น Filevault2) ฉันคาดหวังว่าระบบจะปลอดภัยรวมทั้งเครือข่ายของฉันด้วย

ดังนั้นมีวิธีการป้องกัน OS X จากการทำรหัสผ่านที่มีอยู่ในพาร์ทิชันการกู้คืนหรือไม่? ฉันไม่แน่ใจว่าจะเข้า NVRAM ตั้งแต่แรกได้อย่างไร

UPDATE1 : NVRAM มีคีย์ต่อไปนี้: ( nvram -p):

BootCampHD
SystemAudioVolume
SystemAudioVolumeDB
aht-results
backlight-level
bluetoothActiveControllerInfo
bluetoothInternalControllerInfo
boot-gamma
efi-apple-recovery
efi-boot-device
efi-boot-device-data
fmm-computer-name
good-samaritan-message
gpu-policy
prev-lang:kbd

ปุ่มefi-apple-recoveryและefi-boot-deviceดูเหมือนว่าพวกเขาอาจมีข้อมูลที่เข้ารหัส

macos  security  filevault  recovery-hd 
N1000
แหล่งที่มา
หากคุณเป็นหนึ่งในโพสต์ล่าสุดของคุณคุณมี MacBook Pro (กลางปี ​​2012) ใช่ไหม? ถ้าใช่นี่คือ Intel Base Mac และไม่มี PRAM เหมือนกับที่ใช้กับ PowerPC ที่ใช้ Mac Mac ที่ใช้ Intel มี NVRAM โปรดระบุลิงก์ไปยังบทความที่คุณพูดถึง
user3439894
@ user3439894 ขอบคุณสำหรับบทเรียนประวัติศาสตร์ :) อัปเดตคำถาม ฉันเดาว่าปัญหานี้เป็นอิสระจาก Mac และ OS X (สังเกตว่ามันเป็นครั้งแรกใน 10.7)
n1000
1
คุณถามว่า " มีวิธีป้องกัน OS X จากการจัดเก็บรหัสผ่านบนพาร์ติชันการกู้คืนหรือไม่ " และจากลิงก์ที่คุณให้ไว้จะปรากฏว่ารหัสผ่านถูกเก็บไว้ใน NVRAM ไม่ใช่พาร์ติชัน Recovery HD สองสิ่งที่แตกต่างกัน หากใน Terminal คุณใช้คุณnvram -pสามารถบอกได้จากเอาท์พุทตัวแปรเฟิร์มแวร์ที่ถือรหัสผ่าน Wi-Fi หรือไม่? ถ้าใช่คุณสามารถล้างเพียงตัวแปรเดียวโดยไม่ต้องรีเซ็ต NVRAM ทั้งหมด ใช้sudo nvram -d variable_nameในอาคารผู้โดยสาร
user3439894
@ user3439894 ที่น่าสนใจ ฉันอัพเดทคำถาม
n1000

คำตอบ:

17

ฉันสงสัยในสิ่งเดียวกันเสมอ: วิธีป้องกัน OS X จากการจัดเก็บรหัสผ่าน WPA (หรือ PSK) ใน NVRAM

การใช้ 'nvram' ฉันไม่สามารถหาตัวแปรที่ฉันคิดว่าเก็บข้อมูลประจำตัวเหล่านี้ไว้ได้ วันนี้ผมพยายามบูตกับภาพสด USB ของลินุกซ์และทำงานChipsec คำสั่งในการแสดงรายการตัวแปร EFI มีผลลัพธ์มากกว่าที่ฉันได้รับจากการเรียกใช้ nvram ภายใน OS X ในบรรดาตัวแปรใน MacBook Pro ของฉัน (กลางปี ​​2010) คือ:

  • ปัจจุบันเครือข่าย
  • แนะนำเครือข่าย
  • การรักษาความปลอดภัยรหัสผ่าน

ปัจจุบันเครือข่ายข้อมูลตัวแปรรวมถึง SSID ของเราเตอร์ที่บ้านของฉันในเท็กซ์ แล้วมันจะมีเบาะด้วย 0 ไบต์ขึ้นไปจนถึงวันสิ้นสุดซึ่งเป็น 32 ไบต์และหมายถึง 64 ตัวเลขฐานสิบหกของPre-Shared Key (PSK)

แนะนำเครือข่ายลักษณะตัวแปรเช่นเนื้อหาเช่นเดียวกับในปัจจุบันเครือข่าย

รักษาความปลอดภัยรหัสผ่านตัวแปรถือว่าหมายเลขเดียวกันของไบต์ที่ผมตั้งรหัสผ่าน EFI ดังนั้นผมถือว่านี่คือรหัสผ่านเฟิร์มแวล็อค ฉันสงสัยว่ามันใช้การปิดบัง / เข้ารหัสบางชนิด ทฤษฎีหนึ่งที่ฉันมีคือรหัสผ่านเหล่านี้ถูกเก็บไว้เป็นรหัสสแกนบนแป้นพิมพ์หรือบางอย่าง แต่ฉันยังไม่มีข้อมูลเพียงพอ

บางทีการใช้ Chipsec หรือเครื่องมือ EFI อื่นคุณสามารถ zero ตัวแปร EFI เหล่านี้และตั้งค่าสถานะการควบคุมการเข้าถึง / การอนุญาตบนพวกเขาเพื่อให้พวกเขาไม่สามารถเขียนใหม่ได้ บางทีแม้แต่การ zeroing พวกเขาออกจะเป็นวิธีแก้ปัญหาสำหรับคุณ (ถ้าคุณเพียงต้องการขายแล็ปท็อปหรือบางสิ่งบางอย่าง) ฉันไม่ทราบว่า OS X จะเขียนซ้ำเป็นประจำหรือเมื่อคุณเปลี่ยนข้อมูลรับรอง WPA ของคุณ

แก้ไข : ฉันเพิ่งเรียนรู้คำสั่งในการเรียกรหัสผ่าน wifi จาก NVRAM: /usr/libexec/airportd readNVRAM

นอกจากนี้เมื่อติดตั้ง GUID แล้ว nvram สามารถอ่านค่าเหล่านี้ได้จริง:

  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-networks
  • nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-count

ดังนั้นบางทีคุณสามารถพัดตัวแปรเหล่านั้นออกไปและดูว่ามันจะไปอย่างไร

แก้ไข 2 : ดังกล่าวโดยความคิดเห็นก่อนหน้าวิธีการลบตัวแปร EFI เป็นดังนี้ (sudo ต้องลบ):sudo nvram -d 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network

ยังไม่ชัดเจนว่าตัวแปรจะกลับมาหรือไม่

ไมค์ไมเออร์
แหล่งที่มา
ข้อมูลเชิงลึกที่น่าสนใจ โปรดแจ้งให้เราทราบหากคุณเรียนรู้เพิ่มเติม! IMHO คำตอบที่สมบูรณ์สำหรับคำถามนี้จะให้คำแนะนำบางอย่างเพื่อลบรหัสผ่าน ... เมื่อฉัน/usr/libexec/airportd readNVRAMมีเครือข่ายปัจจุบันอยู่ในรายการ แต่Recovery Networksรายการว่างเปล่า
n1000
ขอบคุณ ฉันเพิ่มการแก้ไขพร้อมหมายเหตุเกี่ยวกับวิธีลบตัวแปร แต่ฉันไม่ทราบวิธีป้องกันไม่ให้ส่งคืน
Mike Myers
คุณไม่ต้องทำงานเป็น root เพื่อเข้าถึง nvram หรือ ดูเหมือนว่าพวกเขาเข้ารหัสรหัสผ่าน ไม่ควรจะเพียงพอจากมุมมองด้านความปลอดภัย?
videoguy
คุณไม่จำเป็นต้องเรียกใช้ในฐานะ root เพื่ออ่าน nvram แต่คุณต้องลบทิ้ง
Mike Myers
1
สำหรับพวกเขาเข้ารหัสรหัสผ่านหรือไม่: ข้อมูลรับรองเครือข่ายไร้สายจะไม่ถูกจัดเก็บเป็นรหัสผ่าน / วลีรหัสผ่าน แต่จริงๆแล้วเป็น PSK ซึ่งอยู่ในรูปแบบไบนารี มันอาจดูเข้ารหัสเมื่อมีการแสดง แต่มันไม่ได้ มันคือสตริงเลขฐานสิบหกที่เข้ารหัส ง่ายต่อการอ่านด้วยคำสั่ง airportd กว่าเมื่อคุณเรียกใช้คำสั่ง nvram ฉันเพิ่งทดสอบกับ OS X 10.11 และวิธีคำสั่ง nvram ยังคงใช้ได้ สำหรับ airportd ดูเหมือนจะไม่สนใจคำสั่ง "readNVRAM" ในขณะนี้ไม่ว่าคุณจะรูทหรือไม่ก็ตาม ฉันไม่แน่ใจว่าสิ่งที่พวกเขาเปลี่ยนแปลง หน้า man ของมันยังบอกว่ามีคำสั่งอยู่ แต่มันไม่ทำงานอีกต่อไป?
Mike Myers
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.