Frage Was ist Gnome Keyring / Seepferdchen und warum speichert es meine Passwörter im Klartext?


Ich benutze Fedora 22 mit der Gnome-Umgebung (aber ich habe auch i3 Window-Manager) und ich bekomme eine große Überraschung, wenn ich die Existenz eines Tools namens gefunden habe Gnome Schlüsselanhänger, früher bekannt als Seepferdchen.

Voller Text:

Ich erweitere derzeit meine Sicherheit mit einem Passwort-Manager und Zwei-Faktor-Authentifizierung für alles, ich habe auch Browser-Passwort-Manager deaktiviert und löschte alle meine Passwörter aus Chrome (Beta) und Firefox. Mein Standardbrowser ist Chrome, aber ich verwende ihn nicht mehr (nur für Netflix und Hangouts), der Browser, den ich heute verwende, ist Firefox.

Ich war wirklich überrascht, als ich Gnome Keyring entdeckte, ein Werkzeug, von dem ich noch nie gehört habe und das war Speichern Sie alle meine Passwörter in PLAINTEXT ohne meine Zustimmung. 

TL; DR:

  • Was ist Gnome Schlüsselanhänger / Seepferdchen?
  • Warum werden Kennwörter im Nur-Text-Format gespeichert, sodass jeder Kennwörter sehen kann?
  • Wie kann ich dies von meinem Computer aus deaktivieren? Ich habe das nie aktiviert.

Die interessanteste Frage: Warum speichert es Passwörter ohne meine Zustimmung?


4
2017-09-07 13:11


Ursprung


Warum -1? Ich war nervös, tut mir leid, wenn ich ein paar schlechte Worte geschrieben habe. - Fernando Paladini
Es ist allgemein üblich, nicht zu fluchen. Vor allem, wenn Sie Leute bitten, Ihnen zu helfen .... - Kinnectus


Antworten:


Was ist Gnome-Schlüsselanhänger?

Es ist ein Passwortspeichersystem - genau wie das in Chrome und genau wie das in Firefox, außer es ist systemweit und Es ist standardmäßig verschlüsselt.

Dies ist in der Tat, warum Chrome es verwendet - Chrome besitzen Passwortspeicher ist nicht verschlüsselt. GNOME Keyring ist eine Systemkomponente, kennt Ihr Login-Passwort und kann es als Verschlüsselungsschlüssel für alles andere verwenden. Chrome ist nur eine App und hat keine Schlüssel, die es verwenden könnte.

In KDE verwendet Chrome KWallet für denselben Zweck. (Unter Windows glaube ich, dass es eine eigene Datenbank hat, bittet das Betriebssystem aber, nur den "Hauptschlüssel" zu halten.)

Was ist mit Firefox? Gut, technisch Die Passwortdatenbank von Firefox ist verschlüsselt. Der Verschlüsselungsschlüssel ist jedoch in einer Datei gespeichert direkt neben der Datenbank was andere Programme bedeuten können Entschlüsselung der Passwörter einfach. Ohne Systemschlüsselring ist der Passwortspeicher wie das Schreiben des PIN-Codes auf Ihrer Kreditkarte.

Seepferdchen?

Seepferdchen ist das Verwaltungs-App für GNOME Schlüsselring.

Warum speichert es Passwörter im Klartext,

Es ist nicht. Auf der Festplatte sind sie verschlüsselt (mit Ihrem Linux-Passwort). Natürlich müssen sie im Speicher entschlüsselt werden, damit Programme das können benutzen Sie. Chrome kann ein Kennwort nicht automatisch ausfüllen, wenn es nicht im Nur-Text-Format auf dieses Kennwort zugreifen kann.

(Beachten Sie erneut, dass der GNOME-Schlüsselbund seinen Passwortspeicher verschlüsselt, aber Chrome selbst nicht.)

jemandem erlauben, Kennwörter zu sehen?

Geben Sie Ihr Linux-Passwort an irgendjemanden weiter? Wenn nicht, dann irgendjemand kann nicht Sehen Sie sich den Inhalt des Schlüsselbundes ohne Ihr Login-Passwort an.

Wie kann ich dies von meinem Computer aus deaktivieren?

Sie können Chromium mit dem starten --password-store=basic Möglichkeit. Beachten Sie, dass Sie mit dieser Option jede Verschlüsselung verlieren würden hätten. Die Passwörter würden in einer SQLite3-Datenbank gespeichert werden ~/.config/chromium/Default/Login Data, im Klartext.

Die interessanteste Frage: Warum speichert es Passwörter ohne meine Zustimmung?

Sie haben Ihre Einwilligung gegeben, als Chrome gefragt hat "Möchten Sie dieses Passwort speichern?" und Sie haben im Popup auf "Speichern" geklickt. Ob das Passwort in der eigenen Datenbank von Chrome oder in einem gemeinsamen System verborgen ist, spielt keine Rolle.


12
2017-09-07 13:21



Danke, das war alles was ich brauchte. Aber du hast nicht geantwortet, wie ich überhaupt deaktivieren kann. Ich benutze Chromum nicht mehr und ich habe noch viele Passwrods in Gnome Keyring gespeichert. Wie kann ich alle löschen? - Fernando Paladini
rm ~/.local/share/keyrings/login.keyring - grawity
Beachten Sie auch, dass die Situation bei Firefox, Opera oder wirklich jedem Browser derselbe ist. - grawity
Entfernen Sie diese Datei hat nicht funktioniert. Noch ein Tipp? - Fernando Paladini
Ich verwende keine Desktop-Umgebung, und Gnome-Schlüsselring speichert meine Passphrasen im Klartext in einer Datei namens ~ / .gnome2 / keyrings / default.keyring. Ich habe versehentlich auf den Passwort-Manager geklickt, als das pinentry-Programm von gpg mich nach einer Passphrase fragte. Ich denke, wenn ich gdm oder etwas anstelle von startx verwendet hätte, könnte es Dinge mit meinem Passwort verschlüsselt haben. Ich stimme dem Original-Poster zu, dass Gnome-Schlüsselanhänger Menschen, die es nicht erwarten, eine böse Überraschung geben kann. - user3188445


In meinem Computer lautet die Datei "~ / .gnome2 / keyrings / login.keyring".

Sie können verwenden locate login.keyring es zu finden.


0
2018-03-13 13:08