Questão O que é o Gnome Keyring / Seahorse e por que ele está armazenando minhas senhas em texto simples?


Estou usando o Fedora 22 com o ambiente Gnome (mas também tenho o gerenciador de janelas do i3) e fico surpreso quando descobri a existência de uma ferramenta chamada Chaveiro Gnomo, anteriormente conhecido como Cavalo-marinho.

Texto completo:

Atualmente estou aumentando minha segurança usando um gerenciador de senhas e autenticação de dois fatores para tudo, eu também desabilitei gerenciadores de senha do navegador e limpei todas as minhas senhas do Chrome (Beta) e Firefox. Meu navegador padrão é o Chrome, mas eu não o uso mais (apenas para Netflix e Hangouts), o navegador que eu uso hoje é o Firefox.

Fiquei muito surpreso quando descobri Gnome Keyring, uma ferramenta que eu nunca ouvi falar e que foi salvando todas as minhas senhas em PLAINTEXT sem o meu consentimento. 

TL; DR:

  • O que é o Gnome Keyring / Seahorse?
  • Por que ele está armazenando senhas em texto simples, permitindo que qualquer pessoa veja senhas?
  • Como posso desabilitar isso do meu computador? Eu nunca habilitei isso.

A questão mais interessante: por que ele está armazenando senhas sem meu consentimento?


4


origem


Porquê -1? Eu estava nervoso, desculpe se eu escrevi algumas palavrões. - Fernando Paladini
É decência comum não jurar. Especialmente quando você está pedindo às pessoas para ajudá-lo ... Não mais disse. - Kinnectus


Respostas:


O que é chaveiro gnomo

É um sistema de armazenamento de senhas - exatamente como o do Chrome e exatamente como o do Firefox, exceto pelo sistema inteiro e é criptografado por padrão.

É por isso que o Chrome usa o Chrome próprio armazenamento de senha é não criptografado. O Keyring do GNOME é um componente do sistema, conhece sua senha de login e pode usá-la como chave de criptografia para todo o resto. O Chrome é apenas um aplicativo e não possui nenhuma chave que possa usar.

No KDE, o Chrome usa o KWallet para o mesmo propósito. (No Windows, acho que tem seu próprio banco de dados, mas pede ao SO que segure apenas a "chave mestra".)

E quanto ao Firefox? Bem, tecnicamente O banco de dados de senhas do Firefox é criptografado. No entanto, a chave de criptografia é armazenada em um arquivo ao lado do banco de dados ou seja, outros programas podem facilmente descriptografar as senhas de qualquer maneira. Sem um chaveiro do sistema, o armazenamento de senhas é como escrever o código PIN no seu cartão de crédito.

Cavalo Marinho?

O cavalo marinho é o aplicativo de gerenciamento para o Keyring do GNOME.

Por que ele está armazenando senhas em texto simples,

Não é. No disco eles são criptografados (usando sua senha do Linux). É claro que eles devem ser descriptografados na memória, para que os programas possam usar eles. O Chrome não pode preencher automaticamente uma senha, a menos que possa acessar essa senha em texto sem formatação.

(Observe novamente que o GNOME Keyring criptografa seu armazenamento de senhas, mas o próprio Chrome não.)

permitindo que qualquer pessoa veja senhas?

Você dá sua senha do Linux para alguém? Se não, então alguém não podes veja o conteúdo do chaveiro sem sua senha de login.

Como posso desabilitar isso do meu computador?

Você pode iniciar o Chromium com o --password-store=basic opção. Note que com esta opção você perderia qualquer criptografia teve. As senhas seriam armazenadas em um banco de dados SQLite3 ~/.config/chromium/Default/Login Data, em texto simples.

A questão mais interessante: por que ele está armazenando senhas sem meu consentimento?

Você deu seu consentimento quando o Chrome perguntou "Deseja salvar essa senha?" e você clicou em "Salvar" no pop-up. Se a senha está escondida dentro do próprio banco de dados do Chrome ou de um sistema comum, é irrelevante.


12



Obrigado, isso é tudo que eu precisava. Mas você não respondeu como eu posso desabilitar, em tudo. Eu não uso mais o Chromum e ainda tenho muitos passwrods armazenados no Gnome Keyring. Como posso deletar todos eles? - Fernando Paladini
rm ~/.local/share/keyrings/login.keyring - grawity
Observe também que a situação é a mesma no Firefox, no Opera ou em qualquer navegador de todos os tempos. - grawity
Remover este arquivo não funcionou. Alguma outra dica? - Fernando Paladini
Eu não uso um ambiente de desktop, e o chaveiro gnome armazena minhas senhas em um arquivo chamado ~ / .gnome2 / keyrings / default.keyring. Eu acidentalmente clico em loja para gerenciador de senhas quando o programa de pinagem do gpg me levou a uma frase secreta. Eu acho que se eu tivesse usado o gdm ou algo em vez de startx, ele poderia ter criptografado coisas com minha senha. Concordo com o cartaz original de que o chaveiro gnomo pode dar às pessoas que não esperam uma surpresa desagradável. - user3188445


na minha máquina, o arquivo é "~ / .gnome2 / keyrings / login.keyring".

Você pode usar locate login.keyring Para encontrar isso.


0