password store armazenando algumas senhas em texto simples

5

Eu falei sobre o programa de gerenciamento de senha passe em uma pergunta neste fórum e decidi testá-lo.

Eu instalei a partir da página de download (tarball 1.6.3). Eu criei algumas entradas de teste e, em seguida, algumas entradas reais, e as enviei para o git e as empurrei para o github. Quando eu olhei para o repositório do github, vi alguns arquivos que não são .gpg com as versões em texto puro das senhas enviadas para o github. Esse arquivo também existe local. Eu removi minhas senhas reais de ~/.password-store :

$ pass
Password Store
├── test
│   ├── test
│   └── test
├── test1
│   └── test2
└── test3
    └── test4

O dobro test já é estranho:

$ ls ~/.password-store/test
test  test.gpg
$ more !$/test
more ~/.password-store/test/test
uJ94!qmv}EGjLxJx'
$ gpg -dq <  ~/.password-store/test/test.gpg 
uJ94!qmv}EGjLxJx'

Isso é normal? O que posso fazer contra as versões em texto puro das senhas que estão sendo armazenadas?

    
por sari 03.12.2014 / 13:57

1 resposta

2

Eu já vi esse aplicativo fazer isso também. Eu acho que é um resultado do script bash (que é o programa pass ) não pegar alguns erros. Para mim, foi motivo para não começar a usar o programa para valer.

Se você pode viver com os arquivos de texto simples sendo armazenados localmente, você pode evitar que eles sejam armazenados no git (e enviados para o github) configurando um arquivo .gitignore no seu ~/.password-store :

*
!*/
!.gitignore
!.gpg-id
!*.gpg

(isso primeiro ignora tudo para ser armazenado, então permite subdiretórios e permite que os arquivos de configuração e todos os arquivos terminem em .gpg ).

Se ainda não o fez, você deve alterar imediatamente todas as senhas que você enviou para o github. Também remova ~/password-store/.git e tudo abaixo e reinicialize git ( pass git init ) para o armazenamento de senhas, como os arquivos antigos, confirmados e de texto simples ainda estarão lá.

    
por 03.12.2014 / 14:06

Tags