O que é o Gnome Keyring / Seahorse e por que ele está armazenando minhas senhas em texto simples?

Navegue suas respostas
5

Estou usando o Fedora 22 com o ambiente Gnome (mas também tenho o gerenciador de janelas do i3) e fico surpreso quando descobri a existência de uma ferramenta chamada Gnome Keyring , antigamente conhecida como Cavalo-marinho .

Texto completo:

Atualmente estou aumentando minha segurança usando um gerenciador de senhas e autenticação de dois fatores para tudo, eu também desabilitei gerenciadores de senha do navegador e limpei todas as minhas senhas do Chrome (Beta) e Firefox. Meu navegador padrão é o Chrome, mas eu não o uso mais (apenas para Netflix e Hangouts), o navegador que eu uso hoje é o Firefox.

Fiquei realmente surpreso quando descobri o Gnome Keyring, uma ferramenta que nunca ouvi falar e que estava salvando todas as minhas senhas em PLAINTEXT sem meu consentimento.

TL; DR:

  • O que é o Gnome Keyring / Seahorse?
  • Por que ele está armazenando senhas em texto simples, permitindo que qualquer pessoa veja senhas?
  • Como posso desativar isso no meu computador? Eu nunca habilitei isso.

A questão mais interessante: por que ele está armazenando senhas sem meu consentimento?

    
por Fernando Paladini 07.09.2015 / 15:11

2 respostas

13

What is Gnome Keyring

É um sistema de armazenamento de senhas - exatamente como o do Chrome, e exatamente como o do Firefox, exceto que ele é todo o sistema e é criptografado por padrão.

Este é, de fato, o motivo pelo qual o Chrome o usa - o armazenamento de senha do Chrome próprio não é não criptografado. O Keyring do GNOME é um componente do sistema, conhece sua senha de login e pode usá-la como chave de criptografia para todo o resto. O Chrome é apenas um aplicativo e não possui chaves que ele possa usar.

No KDE, o Chrome usa o KWallet para o mesmo propósito. (No Windows, acho que tem seu próprio banco de dados, mas pede ao SO que segure apenas a "chave mestra").

E o Firefox? Bem, tecnicamente o banco de dados de senhas do Firefox é criptografado. No entanto, a chave de criptografia é armazenada em um arquivo ao lado do banco de dados , o que significa que outros programas podem decifrar facilmente as senhas de qualquer maneira . Sem um chaveiro do sistema, o armazenamento de senhas é como escrever o código PIN no seu cartão de crédito.

Seahorse?

Seahorse é o aplicativo de gerenciamento para o Keyring do GNOME.

Why it's storing passwords in plain text,

Não é. No disco eles são criptografados (usando sua senha do Linux). É claro que eles devem ser descriptografados na memória, para que os programas possam usá-los . O Chrome não pode preencher automaticamente uma senha, a menos que possa acessar essa senha em texto simples.

(Observe novamente que o GNOME Keyring criptografa seu armazenamento de senha, mas o próprio Chrome não. )

allowing anyone to see passwords?

Você dá sua senha do Linux para alguém? Se não, então alguém não pode ver o conteúdo do chaveiro sem sua senha de login.

How can I disable this from my computer?

Você pode iniciar o Chromium com a opção --password-store=basic . Note que com esta opção você perderia qualquer criptografia que você tivesse . As senhas seriam armazenadas em um banco de dados SQLite3 ~/.config/chromium/Default/Login Data , em texto simples.

The most interesting question: why it's storing passwords without my consent?

Você deu seu consentimento quando o Chrome perguntou "Deseja salvar essa senha?" e você clicou em "Salvar" no pop-up. Se a senha está escondida dentro do próprio banco de dados do Chrome ou de um sistema comum, é irrelevante.

    
por 07.09.2015 / 15:21
0

na minha máquina, o arquivo é "~ / .gnome2 / keyrings / login.keyring".

Você pode usar locate login.keyring para encontrá-lo.

    
por 13.03.2016 / 14:08

Tags

Como verificar as portas COM no Windows 10? O sistema de desktop nem sempre atinge o BIOS