Question Qu'est-ce que Gnome Keyring / Seahorse et pourquoi il stocke mes mots de passe en texte clair?


J'utilise Fedora 22 avec l'environnement Gnome (mais j'ai aussi le gestionnaire de fenêtres i3) et je suis très surpris d'apprendre l'existence d'un outil appelé Porte-clés Gnome, anciennement connu sous le nom hippocampe.

Texte intégral:

J'augmente actuellement ma sécurité en utilisant un gestionnaire de mots de passe et une authentification à deux facteurs pour tout, j'ai également désactivé les gestionnaires de mots de passe de navigateur et nettoyé tous mes mots de passe de Chrome (bêta) et de Firefox. Mon navigateur par défaut est Chrome, mais je ne l'utilise plus (uniquement pour Netflix et Hangouts), le navigateur que j'utilise aujourd'hui est Firefox.

J'ai été vraiment surpris quand j'ai découvert Gnome Keyring, un outil dont je n'avais jamais entendu parler et qui était enregistrer tous mes mots de passe dans PLAINTEXT sans mon consentement. 

TL; DR:

  • Qu'est-ce que Gnome Keyring / Seahorse?
  • Pourquoi il stocke les mots de passe en texte brut, permettant à quiconque de voir les mots de passe?
  • Comment puis-je le désactiver depuis mon ordinateur? Je n'ai jamais activé cela.

La question la plus intéressante: pourquoi stocker les mots de passe sans mon consentement?


4
2017-09-07 13:11


origine


Pourquoi -1? J'étais nerveux, désolé si j'ai écrit de mauvais mots. - Fernando Paladini
C'est la décence commune de ne pas jurer. Surtout quand vous demandez aux gens de vous aider ... Pas plus dit. - Kinnectus


Réponses:


Qu'est-ce que le porte-clés Gnome

C'est un système de stockage de mots de passe - exactement comme celui de Chrome, et exactement comme celui de Firefox, sauf qu'il est à l'échelle du système. et c'est chiffré par défaut.

C'est en fait pourquoi Chrome l'utilise - Chrome posséder le stockage de mot de passe est ne pas crypté. GNOME Keyring est un composant système, connaît votre mot de passe de connexion et peut l'utiliser comme clé de cryptage pour tout le reste. Chrome est juste une application et ne dispose d'aucune clé.

Dans KDE, Chrome utilise KWallet dans le même but. (Sous Windows, je pense qu’il possède sa propre base de données, mais demande au système d’exploitation de ne conserver que la "clé principale".)

Qu'en est-il de Firefox? Bien, techniquement La base de données de mots de passe de Firefox est cryptée. Cependant, la clé de chiffrement est stockée dans un fichier juste à côté de la base de données ce qui signifie que d'autres programmes peuvent déchiffrer facilement les mots de passe de toute façon. Sans un porte-clés du système, le stockage des mots de passe équivaut à écrire le code PIN sur votre carte de crédit.

Hippocampe?

Seahorse est le application de gestion pour GNOME Keyring.

Pourquoi il stocke les mots de passe en texte brut,

Ce n'est pas. Sur disque, ils sont chiffrés (en utilisant votre mot de passe Linux). Bien sûr, ils doivent être déchiffrés en mémoire pour que les programmes puissent utilisation leur. Chrome ne peut pas remplir automatiquement un mot de passe à moins de pouvoir accéder à ce mot de passe en texte brut.

(Notez encore que GNOME Keyring crypte son mot de passe de stockage, mais Chrome lui-même ne fait pas.)

permettre à quiconque de voir les mots de passe?

Donnez-vous votre mot de passe Linux à quelqu'un? Sinon, alors n'importe qui ne peux pas voir le contenu du trousseau de clés sans votre mot de passe de connexion.

Comment puis-je le désactiver depuis mon ordinateur?

Vous pouvez commencer le chrome avec le --password-store=basic option. Notez qu'avec cette option vous perdriez tout cryptage avait. Les mots de passe seraient stockés dans une base de données SQLite3 ~/.config/chromium/Default/Login Data, en texte brut.

La question la plus intéressante: pourquoi stocker les mots de passe sans mon consentement?

Vous avez donné votre accord lorsque Chrome a demandé "Voulez-vous enregistrer ce mot de passe?" et vous avez cliqué sur "Enregistrer" dans le popup. Que le mot de passe soit caché dans la propre base de données de Chrome ou dans un système commun, cela n'a aucune importance.


12
2017-09-07 13:21



Merci, c'est tout ce dont j'avais besoin. Mais vous n'avez pas répondu à la question de savoir comment désactiver le tout. Je n'utilise plus Chromum et j'ai toujours beaucoup de mots de passe stockés dans Gnome Keyring. Comment puis-je les supprimer tous? - Fernando Paladini
rm ~/.local/share/keyrings/login.keyring - grawity
Notez également que la situation est la même avec Firefox, Opera ou n'importe quel navigateur. - grawity
Supprimer ce fichier ne fonctionnait pas. Tout autre conseil? - Fernando Paladini
Je n'utilise pas un environnement de bureau, et gnome keyring stocke les phrases secrètes dans un fichier appelé ~ / .gnome2 / keyrings / default.keyring. J'ai accidentellement cliqué sur store to password manager lorsque le programme pinentry de gpg m'a demandé une phrase secrète. Je pense que si j'avais utilisé gdm ou quelque chose au lieu de startx, cela pourrait avoir crypté les choses avec mon mot de passe. Je suis d'accord avec l'affiche originale que le porte-clés de gnome peut donner une mauvaise surprise aux personnes qui ne s'y attendent pas. - user3188445


dans ma machine, le fichier est "~ / .gnome2 / keyrings / login.keyring".

Vous pouvez utiliser locate login.keyring pour le trouver.


0
2018-03-13 13:08