Tôi đang sử dụng Fedora 22 với môi trường Gnome (nhưng tôi cũng có trình quản lý cửa sổ i3) và tôi rất ngạc nhiên khi tôi tìm thấy sự tồn tại của một công cụ có tên là Gnome , trước đây gọi là Seahorse .

Toàn văn:

Tôi hiện đang tăng cường bảo mật bằng trình quản lý mật khẩu và xác thực hai yếu tố cho mọi thứ, tôi cũng đã tắt trình quản lý mật khẩu trình duyệt và xóa tất cả mật khẩu của mình khỏi Chrome (Beta) và Firefox. Trình duyệt mặc định của tôi là Chrome, nhưng tôi không sử dụng nó nữa (chỉ dành cho Netflix và Hangouts), trình duyệt tôi sử dụng ngày nay là Firefox.

Tôi thực sự ngạc nhiên khi phát hiện ra Gnome keyring, một công cụ mà tôi chưa bao giờ nghe đến và đó là lưu tất cả mật khẩu của tôi trong PLAINTEXT mà không có sự đồng ý của tôi.

TL; DR:

• Khóa Gnome / Cá ngựa là gì?
• Tại sao nó lưu trữ mật khẩu trong văn bản đơn giản, cho phép bất cứ ai nhìn thấy mật khẩu?
• Làm thế nào tôi có thể vô hiệu hóa điều này từ máy tính của tôi? Tôi không bao giờ kích hoạt điều đó.

Câu hỏi thú vị nhất: tại sao nó lưu trữ mật khẩu mà không có sự đồng ý của tôi?

Khóa Gnome là gì

Đó là một hệ thống lưu trữ mật khẩu - chính xác như hệ thống bên trong Chrome và chính xác như hệ thống bên trong Firefox, ngoại trừ toàn hệ thống và được mã hóa theo mặc định.

Đây là lý do tại sao trong thực tế Chrome sử dụng nó - Chrome của riêng lưu trữ mật khẩu không được mã hóa. Khóa Gnome là một thành phần hệ thống, biết mật khẩu đăng nhập của bạn và có thể sử dụng nó làm khóa mã hóa cho mọi thứ khác. Chrome chỉ là một ứng dụng và không có bất kỳ khóa nào có thể sử dụng.

Trong KDE, Chrome sử dụng KWallet cho cùng một mục đích. (Trên Windows, tôi nghĩ rằng nó có cơ sở dữ liệu riêng, nhưng yêu cầu HĐH chỉ giữ "khóa chính".)

Firefox thì sao? Vâng, về mặt kỹ thuật cơ sở dữ liệu mật khẩu của Firefox được mã hóa. Tuy nhiên, khóa mã hóa được lưu trữ trong một tệp ngay bên cạnh cơ sở dữ liệu, có nghĩa là các chương trình khác có thể dễ dàng giải mã mật khẩu . Không có khóa hệ thống, lưu trữ mật khẩu giống như viết mã PIN trên thẻ tín dụng của bạn.

Cá ngựa?

Seahorse là ứng dụng quản lý cho Gnome key.

Tại sao nó lưu trữ mật khẩu trong văn bản đơn giản,

Không phải vậy. Trên đĩa, chúng được mã hóa (sử dụng mật khẩu Linux của bạn). Tất nhiên chúng phải được giải mã trong bộ nhớ, để các chương trình có thể sử dụng chúng. Chrome không thể tự động điền mật khẩu trừ khi nó có thể truy cập mật khẩu đó trong văn bản gốc.

(Lưu ý một lần nữa rằng Khóa Gnome mã hóa lưu trữ mật khẩu của nó, nhưng bản thân Chrome thì không. )

cho phép bất cứ ai nhìn thấy mật khẩu?

Bạn có cung cấp mật khẩu Linux của bạn cho bất cứ ai không? Nếu không, thì bất cứ ai cũng không thể xem nội dung khóa mà không cần mật khẩu đăng nhập của bạn.

Làm thế nào tôi có thể vô hiệu hóa điều này từ máy tính của tôi?

Bạn có thể bắt đầu Chromium với --password-store=basictùy chọn. Lưu ý rằng với tùy chọn này, bạn sẽ mất bất kỳ mã hóa nào bạn có . Các mật khẩu sẽ được lưu trữ trong cơ sở dữ liệu SQLite3 ~/.config/chromium/Default/Login Data, dưới dạng văn bản thuần túy.

Câu hỏi thú vị nhất: tại sao nó lưu trữ mật khẩu mà không có sự đồng ý của tôi?

Bạn đã đồng ý khi Chrome hỏi "Bạn có muốn lưu mật khẩu này không?" và bạn đã bấm "Lưu" trong cửa sổ bật lên. Cho dù mật khẩu được ẩn bên trong cơ sở dữ liệu của Chrome hay một hệ thống chung thì đều không liên quan.

trong máy của tôi, tệp là "~ / .gnome2 / keyrings / login.keyring".

Bạn có thể sử dụng locate login.keyringđể tìm thấy nó.