web-dev-qa-db-ja.com

Gnome Keyring / Seahorseとは何ですか?なぜそれは私のパスワードをプレーンテキストで保存するのですか?

私はGnome環境でFedora 22を使用しています(ただし、i3ウィンドウマネージャーも持っています)。Gnome Keyringと呼ばれるツールの存在を発見したとき、非常に驚​​きます。以前はSeahorseと呼ばれていました。

全文:

現在、パスワードマネージャーと2要素認証を使用してすべてのセキュリティを強化しています。また、ブラウザーのパスワードマネージャーを無効にし、Chrome(Beta)およびFirefoxからすべてのパスワードを削除しました。デフォルトはブラウザはChromeですが、もう使用していません(Netflixとハングアウトのみ)。今日使用しているブラウザはFirefoxです。

聞いたこともないGnome Keyringを発見したとき、私は本当に驚きました。これは、私の同意なしにすべてのパスワードをPLAINTEXTに保存するツールでした。

TL; DR:

  • Gnome Keyring/Seahorseとは何ですか?
  • なぜパスワードをプレーンテキストで保存して、誰でもパスワードを見ることができるのはなぜですか?
  • コンピュータからこれを無効にするにはどうすればよいですか?私はそれを有効にしませんでした。

最も興味深い質問:なぜ私の同意なしにパスワードを保存しているのですか?

7

Gnomeキーリングとは

これはパスワードストレージシステムです。システム全体がデフォルトで暗号化されることを除いて、Chrome内のシステムとまったく同じで、Firefox内のシステムと同じです。

これが実際にChromeが使用する理由– Chromeのownパスワードストレージはですnot暗号化。GNOMEキーリングはシステムコンポーネントであり、ログインパスワードを認識しており、それを他のすべての暗号化キーとして使用できます。Chromeは単なるアプリです使用できるキーがありません。

KDEでは、Chromeは同じ目的でKWalletを使用します(Windowsでは、独自のデータベースがあると思いますが、「マスターキー」のみを保持するようOSに要求します)。

Firefoxはどうですか?まあ、技術的にFirefoxのパスワードデータベースは暗号化されています。ただし、暗号化キーはデータベースのすぐ隣のファイルに保存されますつまり、他のプログラムは とにかくパスワードを簡単に復号化できます です。システムのキーリングがなければ、パスワードの保存は、クレジットカードにPINコードを書き込むようなものです。

タツノオトシゴ?

SeahorseはGNOMEキーリングの管理アプリです。

パスワードをプレーンテキストで保存する理由

そうではありません。ディスク上で暗号化されます(Linuxパスワードを使用)。もちろん、プログラムがそれらを使用できるように、それらはメモリで復号化する必要があります。 Chromeは、プレーンテキストでパスワードにアクセスできない限り、パスワードを自動入力できません。

(GNOMEキーリングはパスワードストレージを暗号化しますが、Chrome自体は暗号化しません。

誰もがパスワードを見ることができるようにしますか?

Linuxパスワードを誰かに教えますか?そうでない場合、誰もがログインパスワードなしでキーリングの内容を見ることができません。

コンピュータからこれを無効にするにはどうすればよいですか?

--password-store=basicオプションを使用してChromiumを起動できます。このオプションを使用すると、暗号化が失われることに注意してください持っていた。パスワードは、SQLite3データベース~/.config/chromium/Default/Login Dataにプレーンテキストで格納されます。

最も興味深い質問:なぜ私の同意なしにパスワードを保存しているのですか?

Chromeが「このパスワードを保存しますか?」と尋ね、ポップアップで[保存]をクリックしたときに同意しました。パスワードがChrome自体のデータベースまたは一般的なシステムのパスワードのどちらに隠されているか無関係です。

19
user1686

私のマシンでは、ファイルは「〜/ .gnome2/keyrings/login.keyring」です。

locate login.keyringを使用して検索できます。

0
utopic eexpress