Was ist Gnome Keyring / Seahorse und warum werden meine Passwörter im Klartext gespeichert?

Question

Was ist Gnome Keyring / Seahorse und warum werden meine Passwörter im Klartext gespeichert?

Ich verwende Fedora 22 mit der Gnome-Umgebung (aber ich habe auch i3 Window Manager) und ich bekomme eine große Überraschung, wenn ich die Existenz eines Tools namens Gnome Keyring gefunden habe, früher bekannt als Seepferdchen.

Volltext:

Ich erhöhe derzeit meine Sicherheit mit einem Passwort-Manager und einer Zwei-Faktor-Authentifizierung für alles, ich habe auch Browser-Passwort-Manager deaktiviert und alle meine Passwörter von Chrome (Beta) und Firefox bereinigt. Mein standardbrowser ist Chrome, aber ich benutze es nicht mehr (nur für Netflix und Hangouts), der Browser, den ich heute benutze, ist Firefox.

Ich war wirklich überrascht, als ich Gnome Keyring entdeckte, ein Tool, von dem ich noch nie gehört habe und das alle meine Passwörter ohne meine Zustimmung im KLARTEXT speichert.

TL;DR:

Was ist Gnome Keyring / Seepferdchen?
Warum werden Passwörter im Klartext gespeichert, sodass jeder Passwörter sehen kann?
Wie kann ich dies deaktivieren von mein computer? Ich habe das nie aktiviert.

Die interessanteste Frage: Warum speichert es Passwörter ohne meine Zustimmung?

8

google-chrome linux passwords firefox gnome

Author: Community, 2015-09-07

Source

2 answers

In meinem Computer lautet die Datei"~/.gnome2 / Schlüsselanhänger / Login.Schlüsselring".

Sie können locate login.keyring verwenden, um es zu finden.

0

Author: eexpress,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2016-03-13 13:08:29

score 24 · Accepted Answer

Was ist Gnome-Keyring -

Es ist ein Passwortspeichersystem – genau wie das in Chrome und genau wie das in Firefox, außer es ist systemweit und es ist standardmäßig verschlüsselt.

Dies ist in der Tat, warum Chrome es verwendet-Chrome eigenen Passwort-Speicher ist nicht verschlüsselt. GNOME Keyring ist eine Systemkomponente, kennt Ihr Login-Passwort und kann es als Verschlüsselungsschlüssel für alles andere verwenden. Chrome ist nur eine App und hat keine Schlüssel, die es benutzen könnte.

In KDE verwendet Chrome KWallet für denselben Zweck. (Unter Windows hat es meiner Meinung nach eine eigene Datenbank, fordert das Betriebssystem jedoch auf, nur den "Hauptschlüssel"zu halten.)

Was ist mit Firefox? Nun, technisch gesehen ist die Passwortdatenbank von Firefox verschlüsselt. Der Verschlüsselungsschlüssel wird jedoch in einer Datei direkt neben der Datenbank gespeichert, was bedeutet, dass andere Programme die Passwörter sowieso leicht entschlüsseln können . Ohne einen Systemschlüsselring ist Passwortspeicherung wie das Schreiben der PIN-Code auf Ihrer Kreditkarte.

Seahorse?

Seahorse ist die Management-App für GNOME Keyring.

Warum es Passwörter im Klartext speichert,

Ist es nicht. Auf der Festplatte sind sie verschlüsselt (mit Ihrem Linux-Passwort). Natürlich müssen sie im Speicher entschlüsselt werden, damit Programme sie verwenden können. Chrome kann ein Kennwort nur dann automatisch ausfüllen, wenn es im Klartext auf dieses Kennwort zugreifen kann.

(Beachten Sie erneut, dass GNOME Keyring verschlüsselt seinen Passwortspeicher, aber Chrome selbst nicht.)

Erlaubt jemand Passwörter zu sehen?

Gibst du jemandem dein Linux-Passwort? Wenn nicht, kann jeder den Schlüsselringinhalt ohne Ihr Anmeldekennwort nicht sehen.

Wie kann ich dies von meinem Computer deaktivieren?

Sie können Chromium mit der Option --password-store=basic starten. Beachten Sie, dass Sie mit dieser Option jede Verschlüsselung verlieren würden, die Sie hatten. Der passwörter würden in einer SQLite3-Datenbank ~/.config/chromium/Default/Login Data im Klartext gespeichert.

Die interessanteste Frage: Warum speichert es Passwörter ohne meine Zustimmung?

Sie haben Ihre Zustimmung gegeben, als Chrome fragte: "Möchten Sie dieses Passwort speichern?"und Sie haben im Popup auf "Speichern" geklickt. Ob das Passwort in der eigenen Datenbank von Chrome oder in einer gemeinsamen Systemdatenbank versteckt ist, ist irrelevant.