我对密码管理程序感到不满经过在这个论坛上的一个问题中,决定尝试一下。
我从下载页面安装(tarball 1.6.3)。我创建了一些测试条目,然后创建了一些实际条目,并将它们提交到 git 并将它们推送到 github。当我查看我的 github 存储库时,我确实看到一些非.gpg文件,其中包含推送到 github 的密码的纯文本版本。这些文件也存在于本地。我已从以下位置删除了我的真实密码~/.password-store:
$ pass
Password Store
├── test
│ ├── test
│ └── test
├── test1
│ └── test2
└── test3
└── test4
双倍test已经很奇怪了:
$ ls ~/.password-store/test
test test.gpg
$ more !$/test
more ~/.password-store/test/test
uJ94!qmv}E\41GjLxJx`
$ gpg -dq < ~/.password-store/test/test.gpg
uJ94!qmv}E\41GjLxJx`
这是正常的吗?对于所存储的纯文本版本的密码,我可以做什么?
答案1
我已经看到该应用程序也这样做了。我认为这是 bash 脚本(即程序pass)没有捕获一些错误的结果。对我来说,这是不开始真正使用该程序的原因。
.gitignore如果您可以接受本地存储的纯文本文件,您可以通过在您的 中设置一个文件来阻止它们存储在 git 中(并推送到 github)~/.password-store:
*
!*/
!.gitignore
!.gpg-id
!*.gpg
(这首先忽略要存储的所有内容,然后允许子目录并允许配置文件以及以 结尾的所有文件.gpg)。
如果您还没有这样做,您应该立即更改推送到 github 的所有密码。同时删除~/password-store/.git下面的所有内容并重新初始化pass git init密码存储的 git (),因为旧的、已提交的纯文本文件仍将在那里。