Beveiliging in Mac OS X: de Sleutelhanger

24 reacties

Als je met je Mac aan de slag gaat, dan ontkom je er niet aan om op diverse momenten een gebruikersnaam en wachtwoord op te geven. Het begint al met het opstarten van je Mac. De meeste gebruikers krijgen direct hun bureaublad te zien, maar dat komt omdat je in dat geval automatisch inlogt op je Mac.

Nadat je bent ingelogd start je bijvoorbeeld iChat op zodat je even bij kunt kletsen in de groep “macosx”. iChat zorgt ervoor dat je alleen de eerste keer je wachtwoord hoeft in te voeren, zodat je direct aan de slag kunt. Dat wachtwoord heeft iChat voor je opgeslagen in een sleutelhanger, waar Mac OS X nog veel meer vertrouwelijke informatie kan opslaan. Maar wat is die sleutelhanger nou precies en wat kun je er allemaal mee? In dit artikel wordt aan aantal mogelijkheden van de Sleutelhanger beschreven.

Je kun de sleutelhanger eigenlijk heel goed vergelijken met je eigen sleutelbos. Daar hang je allemaal sleutels aan die je toegang geven tot je huis, de fiets, de auto, je bureaula, de kluis in de bank enzovoorts. De sleutelbos is voor jou dus een waardevol bezit, want de persoon die jouw sleutelbos bezit heeft toegang tot jouw eigendommen.
De sleutelhanger van Mac OS X doet hetzelfde, maar dan met wachtwoorden voor programma’s, servers en websites, cryptografiesleutels en X509-certificaten en gevoelige informatie die geen betrekking heeft op de computer, zoals creditcardnummers en pincodes.
Op de sleutelhanger zit uiteraard ook een wachtwoord, zodat niet iedereen er zomaar aan kan komen.

Zodra je voor de eerste keer onder Mac OS X inlogt wordt voor jouw account een sleutelhanger aangemaakt. Het wachtwoord dat daaraan wordt gegeven is het wachtwoord dat je ook voor je Mac OS X account gebruikt. Iedere keer als je inlogt onder Mac OS X wordt je sleutelhanger ontgrendeld. Dat levert het grootste gemak op, want al je andere wachtwoorden zijn zo direct beschikbaar.

De sleutelhanger is geen geheim bestand dat ergens diep in de mappen op je harde schijf wordt verstopt. Je vindt het in de map Keychains in de Bibliotheek map van je eigen account onder de naam “login.keychain”. Je kunt het zelfs kopiëren en op die manier kun je jouw wachtwoorden meenemen naar een andere Mac en daar gebruiken. Of je plaatst je sleutelhanger op een USB stick, die je gescheiden van je Mac bewaard.

De sleutelhanger biedt ook uitkomst als je eens een wachtwoord bent vergeten. Stel dat je het wachtwoord van je Airport Express niet meer weet. Open dan het hulpprogramma Sleutelhangertoegang en je krijgt een overzicht van de gegevens in je sleutelhanger. Zoek nu naar de regel die begint met “Airport” en klik op die regel. Onderin het venster krijg je de kenmerken te zien die horen bij het wachtwoord. Via het keuzevakje “Toon wachtwoord” krijg je het wachtwoord te zien. Uiteraard moet je daarvoor wel eerst het wachtwoord van de sleutelhanger invoeren, anders kan elke willekeurige voorbijganger van jouw Mac zo achter deze gevoelige informatie komen.

Normaal gesproken zul je aan het gebruik van de sleutelhanger weinig veranderen. Maar ben je erg zuinig op je gegevens, dan kun je ervoor zorgen dat de sleutelhanger automatisch vergrendeld na een aantal minuten, of zodra de Mac in de sluimerstand wordt gezet. Hierdoor weet je zeker dat iemand die even snel achter jouw Mac plaatsneemt niet zomaar met jouw gegevens ergens kan inloggen. Je kunt dit instellen via het hulpprogramma Sleutelhangertoegang.

Overigens is het zo dat niet alle wachtwoorden in een sleutelhanger worden opgeslagen. Surf je naar www.macosx.nl om actief deel te nemen op het forum, dan mag je weer een gebruikersnaam en wachtwoord intikken. Maar je kunt aanvinken dat Safari die voor je gaat onthouden, zodat je het de volgende keer niet meer hoeft in te voeren. Toch vind je dit wachtwoord niet terug in de sleutelhanger. In plaats daarvan krijg je van de website een cookie waarmee het forum kan bepalen wie je bent om je op die manier toegang te geven.

Het sleutelhangerwachtwoord wijzigen
Hierboven is al beschreven dat de sleutelhanger wordt aangemaakt zodra je de eerste keer inlogt onder Mac OS X. Het wachtwoord dat aan de sleutelhanger wordt gegeven is gelijk aan het wachtwoord van je Mac OS X account. Zolang beide wachtwoorden hetzelfde zijn wordt je sleutelhanger automatisch ontgrendeld zodra je inlogt. Maar als je zelf wachtwoorden gaat wijzigen, dan kan dat consequenties hebben voor je sleutelhanger.

Zodra je via Systeemvoorkeuren>Accounts je eigen wachtwoord wijzigt zal de Mac het wachtwoord van je sleutelhanger meteen mee wijzigen. Je krijgt dan een waarschuwingsvenster waarin dit wordt aangekondigd. Is je sleutelhanger op dat moment vergrendeld, dan zul je eerst het (oude) wachtwoord in moeten voeren om te ontgrendelen.
Na afloop van de wijziging hebben je Mac OS X account en de sleutelhanger weer hetzelfde, nieuwe wachtwoord.

Je kunt ook het wachtwoord van je sleutelhanger wijzigen via, alweer, het hulpprogramma Sleutelhangertoegang. Maar dan wijzigt het wachtwoord van je Mac OS X account niet automatisch mee. En dat betekent dus dat je de volgende keer als je inlogt eerst een wachtwoord moet opgeven op het moment dat je de sleutelhanger wilt gaan gebruiken. De sleutelhanger wordt ontgrendeld en blijft dat, totdat je de sleutelhanger weer vergrendeld.
Het wachtwoord van de sleutelhanger kun je op dezelfde manier weer gelijk maken aan het wachtwoord van je Mac OS X account en het automatisch ontgrendelen werkt dan weer als vanouds.

Een tweede manier om het wachtwoord gelijk te maken aan je Mac OS X account is via de Sleutelhanger-EHBO optie uit het Venster menu van Sleutelhangertoegang. Je kunt dan een controle uit laten voeren van je sleutelhanger en deze ook laten herstellen. Via de knop “Opties…” kun je aangeven dat tijdens een herstelactie het wachtwoord van de sleutelhanger weer gesynchroniseerd wordt met je Mac OS X wachtwoord. Wel moet je als onderdeel van die herstelactie het huidige wachtwoord van de sleutelhanger opgeven.
Pas wel op met die knop “Opties…”! In het venster dat verschijnt zie je ook een grote knop “Stel mijn sleutelhanger opnieuw in”. Als je daar op klikt, dan wordt de inhoud van je sleutelhanger in één klap gewist en ben je alle informatie die er in stond kwijt. Er komt geen “weet je dat zeker?” vraag. En er is geen weg terug, tenzij je een backup hebt.

Maar nu een valkuil! Forum gebruikers melden wel eens dat ze het wachtwoord van hun Mac niet meer weten. Het advies is dan steeds om via de installatie CD van OS X het wachtwoord van die gebruiker te resetten. Dat werkt prima, maar het wachtwoord van de sleutelhanger blijft dan ongewijzigd, zelfs als op dat moment het Mac OS X wachtwoord en het sleutelhanger wachtwoord hetzelfde waren. Na afloop van die herstel actie heb je dus in principe geen toegang meer tot je sleutelhanger, want je was immers je wachtwoord vergeten!

Maak je eigen sleutelhangers
Je kunt ook een eigen sleutelhanger maken via het hulpprogramma Sleutelhangertoegang. In die sleutelhanger kun je bijvoorbeeld je credit card informatie opslaan die je gebruikt voor je internetaankopen. Je hebt dan altijd je credit card bij de hand, ook als je beurs eens thuis ligt. In de onderstaande afbeelding zijn fictieve MasterVisa kaartgegevens zichtbaar gemaakt in de sleutelhanger.

Voor extra beveiliging kun je deze sleutelhanger bijvoorbeeld op een USB stick opslaan, in plaats van op je harde schijf. Of op je iPod. De optie van een USB stick biedt hierbij leuke mogelijkheden, want je kunt van de USB stick op die manier een goedkoop security token maken.

Stel dat je met een paar personen verantwoordelijk bent voor het beheren van een aantal Airport basestations. Om te voorkomen dat iedereen zomaar de configuratie kan wijzigen maak je een sleutelhanger aan waar je de wachtwoorden voor alle Airport basisstations in opslaat. Die sleutelhanger bewaar je op een USB stick en die gaat in de kluis. Wil een van de beheerders een basisstation wijzigen, dan moet hij eerst de USB stick ophalen en in de Mac prikken. Na openen van het Airport hulpprogramma en het selecteren van een basisstation wordt de sleutelhanger op de USB stick ontgrendeld en het wachtwoord van het basisstation opgehaald.
Op die manier ben je er zeker van dat slechts 1 persoon tegelijk wijzigingen kan doorvoeren. Heb je daar nog een registratie naast van wie wanneer de USB stick heeft geleend, dan weet je ook wie verantwoordelijk is voor de wijzigingen.

Reacties

24 reacties
  • Profielfoto
    apple freak

    ik hoop voor je dat dat niet je echte visa nummer is.

  • Profielfoto
    macpro

    Helemaal echt, inclusief de vervaldatum. ;)

  • Profielfoto
    Freek.

    Goede en heldere uitleg pro. Weer een stuk wijzer geworden. ThankU!

  • Profielfoto
    OMT-fan

    Uitstekende uitleg!!

    Vond tot nu toe dat hele sleutelhanger gedoe een soort blackbox waarvan ik werkelijk niet wist wat de waarde was en hoe het werkte.

    Bedankt!!

  • Profielfoto
    boekeloo

    Nou wil ik weten, MacPro, hoe je, als je je accountlogin bent vergeten en dus een nieuwe maakt met de CD-manier, je wachtwoord van je sleutelhanger kan veranderen ..

  • Profielfoto
    macpro

    @boekeloo: geen idee.
    Ik heb er niets over kunnen vinden.

  • Profielfoto
    Hermanko

    Bedankt, macosx.nl heeft de winterslaap overleeft zo te zien..;)

  • Profielfoto
    Sikko

    Goede uitleg. Wat mij betreft komen vaker artikelen als deze.
    Ooit heb ik m’n inlogwachtwoord veranderd met de cd. Sindsdien moet ik inderdaad nog eens m’n oude wachtwoord (sleutelhanger) intikken wanneer ik een applicatie als mail of safari open.
    Het kwam er steeds niet van hier eens naar te kijken, maar ik zal dat dit binnenkort eens doen.
    Bedankt.

  • Profielfoto
    Sikko

    Sleutelhanger EHBO inderdaad een fluitje van een cent!

  • Profielfoto
    lowfi

    Ik heb de laatste tijd zoveel aankopen bij apple gedaan dat het opslaan van mijn creditcard geen zin meer heeft… ik ken hem uit mijn hoofd ;P

  • Profielfoto
    Stof

    Top artikel Pro! Zeer informatief.

  • Profielfoto
    Turbanus

    Ik ga dit zeker bewaren….;) Volgens mij is mijn Macje nu nig voor iedereen vrij toegankelijk….:D

  • Profielfoto
    Bob Ross

    Goed bezig mensen:)

  • Profielfoto
    Geminis

    Ik dacht altijd dat het maar een lastige sta-in-de-weg programmaatje was:P En dat terwijl ik al heel lang een lijstje wou maken met al mijn wachtwoorden… die was er dus al:) Bedankt

  • Profielfoto
    Erik Joling

    Heel goed! Ik had een en ander ook kunnen opzoeken in het onvolprezen “The missing manual” van David Pogue, maar daar staat zoveel in, dat ik er niet toe kom. Als we zo stap voor stap door de spelonken van OSX geleid worden dan bevalt me dat wel! Nu kan ik de boel eens gaan beheren en oude troep weggooien. Want wat staan er een hoop rare dingen tussen!

  • Profielfoto
    sybian

    Inderdaad, nuttige informatie!
    Tijd geleden had osxfaq.com ook een interessant artikel (http://www.osxfaq.com/DailyTips/09-2004/09-07.ws) waarin werd uitgelegd hoe je naast passwords ook notities e.d. kunt beveiligen middels de keychain.
    Dat heb ik destijds ook gedaan (in een extra 2e sleutelhanger), waarvan ik vrijwel direct het wachtwoord ben vergeten… haha (en nog steeds niet weet, veel te goed beveiligd, die keychain)

  • Profielfoto
    MacFG

    Als je gaat opruimen in je sleutelhanger, en je werkt met Apple Remote Desktop, zorg dan dat je de Apple Remote Desktop wachtwoorden niet verwijderd. Hiermee worden namelijk meteen je aangemaakte computers verwijderd… ???

  • Profielfoto
    Billy

    Knap werk!

  • Profielfoto
    pelpinda

    Inderdaad zoals het er staat werkt het exact. Bij welke programma’s heb je geen aparte login meer tegenwoordig? Alles kun je er in kwijt. Zelf gebruik ik het al jaren en jawel… ik backup het ook nog regelmatig!! :D

  • Profielfoto
    els

    Hallo

    Ik Heb een serieus probleem!!
    Vorige week wilde ik een nieuwe account aanmaken op mn mac mini.. al de gegevens heb ik goed ingevuld, dacht ik en wilde een bepaalde map op een andere account beveiligen zodat je enkel met het nieuwe account erin kunt.
    Nu wil ik inloggen met deze nieuwe account omdat ik die beveiligde map op een cd’tje wil branden.. klopt mijn paswoord niet meer!!
    Ik hab het juiste nogthans ingetypt, maar steeds krijg ik een negatieve reactie.
    Hoe graak ik nu aan die map?
    In sleutelhanger vind ik de oplossing ook niet.
    Help me alsjeblieft, die map is heel belangrijk voor me.

    Alvast bedankt
    Groetjes

  • Profielfoto
    sean2901

    Maar nu een valkuil! Forum gebruikers melden wel eens dat ze het wachtwoord van hun Mac niet meer weten. Het advies is dan steeds om via de installatie CD van OS X het wachtwoord van die gebruiker te resetten. Dat werkt prima, maar het wachtwoord van de sleutelhanger blijft dan ongewijzigd, zelfs als op dat moment het Mac OS X wachtwoord en het sleutelhanger wachtwoord hetzelfde waren. Na afloop van die herstel actie heb je dus in principe geen toegang meer tot je sleutelhanger, want je was immers je wachtwoord vergeten!

    –> Hoe los je dat dan op, want dat heb je niet vermeld! En ik heb dat probleem nu toevallig. :angry:

  • Profielfoto
    kreweesti

    Ik heb sinds vandaag regelmatig een venster van ‘sleutelhangertoegang’ in beeld, met het verzoek van Safari om mijn wachtwoord in te geven. Ik vind dit verdacht en annuleer het steeds. Wat kan hiervan de oorzaak zijn? :sealed:

  • Profielfoto
    freeway

    Bedankt voor de duidelijke uitleg. Het heeft geweldg geholpen. Ik kan de keychain nu weer gebruiken

  • Google

    Google

    Always a major fan of linking to bloggers that I appreciate but really don’t get quite a bit of link enjoy from.