Tôi đang sử dụng thư viện khóa để lưu mật khẩu trong ứng dụng python của mình.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)Và điều này hoạt động rất tốt.
Tôi giả sử rằng mật khẩu là an toàn trong khóa, chúng được mã hóa. Nhưng, vì tôi có thể lấy chúng theo tên người dùng, điều gì ngăn các ứng dụng khác làm điều tương tự?
Đó không phải là một rủi ro bảo mật, hay tôi đang thiếu một cái gì đó?
Câu trả lời:
Thư viện khóa sử dụng khóa tiêu chuẩn của môi trường máy tính để bàn của bạn, ví dụ: khóa Gnome . Khóa này được mở khóa ngay khi bạn đăng nhập, nghĩa là: có, mọi ứng dụng khác do bạn chạy đều có quyền truy cập vào mật khẩu bạn lưu trữ với ứng dụng của mình, nhưng - và đây là ý tưởng về việc khóa - người dùng khác và ứng dụng của họ không có.
Trích dẫn “ gnome-keyring an Triết học ”:
Một ví dụ về nhà hát bảo mật đang ảo tưởng rằng bằng cách nào đó một ứng dụng đang chạy trong ngữ cảnh bảo mật (chẳng hạn như phiên người dùng của bạn) có thể giữ thông tin từ một ứng dụng khác chạy trong cùng bối cảnh bảo mật.
Lưu ý rằng usernametrong set_password/ get_passwordhàm không liên quan đến tên người dùng đang chạy ứng dụng (nghĩa là người dùng có khóa được sử dụng) nhưng có thể là ví dụ địa chỉ email, tên người dùng cơ sở dữ liệu, v.v.