Você sempre lê e escuta sobre como é importante usar uma senha segura, mas o que fazer quando alguém pode simplesmente mudar sua senha sem mesmo tentar descobri-la? É o que usuários com acesso físico ao computador podem fazer no OS X Lion.

Um problema semelhante em versões anteriores do OS X permitia a usuários administradores acessar os “arquivos sombra” que armazenam as senhas do OS X, mas no Lion, usuários comuns (sem privilégios de administrador) podem acessar os dados hash e salt das senhas, o que não deveria ser possível. E isso não é tudo: parece que os serviços de diretório do Lion não exigem autenticação quando o usuário atual pede para mudar a senha, então mesmo que os arquivos hash criptografados não sejam crackeados, a senha ainda pode ser alterada. As instruções completas estão neste post.

A CNET tem uma lista detalhada de formas para proteger seu sistema até que a Apple lance um patch, mas por enquanto, usuários do Lion devem tomar medidas como desativar o login automático, ativar senhas ao suspender ou entrar em protetor de tela, e desativar contas de convidado. Só que isso não muda o problema: qualquer um com acesso físico a um Mac rodando Lion pode acessar e mudar a senha com relativa facilidade. [Defence in Depth via CNET via Techmeme]