Gnome 钥匙圈安全吗?

Gnome 钥匙圈安全吗?

我一直认为密钥环就像 Gnome-keyring 一样,是保存凭据的安全方式。我不明白。如果我在 Ubuntu 桌面中打开 Gnome-keyring,我可以右键单击任何条目,然后单击“显示密码”,它将显示密码 :O。我的意思是,如果我能做到这一点,那么任何可以访问我电脑的人都可以做到这一点。我无法时刻关注我的电脑,有时我会忘记锁定电脑。

我已设置选项以在登录时自动解锁密钥环。如果没有该选项,每次需要访问密钥环时我都必须输入密钥环密码。因此,要么输入密钥环密码,要么输入要求的密码。现在,如果我真的必须输入密码,我宁愿省去中间人,直接输入要求的密码。

所以我的问题是,我是不是以错误的方式考虑/使用/做了这个钥匙圈?还是它本来就是这样的?如果是这样,它怎么会安全呢?

答案1

这里没有什么特别的技巧;您只需要在不坐在电脑前时保持桌面会话锁定即可。否则,即使您没有使用任何类型的密钥环,路过的人也可以对您的计算机做任何事情,包括安装秘密的密码嗅探程序!

养成起床时锁定屏幕的习惯无论出于什么原因。即使您确定自己是独自一人,也要这样做,这样就成了死记硬背。如果您为其配置键盘快捷键(如Ctrl+ Alt+ ) (启动),速度会更快。如果电源控制面板允许您在笔记本电脑盖关闭时锁定屏幕,那就太好了,但这似乎不是一个选项。LKeyboard --> Shortcuts --> System --> Lock screen

如果您忘记了,请将屏幕配置为几分钟不活动后锁定(而不是进入屏幕保护程序):屏幕>锁定。

答案2

Keyring 旨在通过记住不同的秘密(密码)来简化你的生活,这些秘密存储在加密使用主密码作为加密密钥。加密可以防止远程攻击(或者您的硬盘被盗或类似情况),因为在这种情况下秘密不会被泄露。如果您在登录时禁用解锁密钥环,那么您只能输入相同的密码,而不必输入许多不同的密码。

答案3

有一些关键特性使得gnome-keyring凭证软件具有一定的安全级别:

  1. 集中化和加密所有存储的凭证均带有主密码,有助于防止未经授权的用户访问
  2. 必须在弹出屏幕中输入主密码,这也会引起计算机用户的注意,并使他意识到一些可能是由恶意软件或类似的东西引起的奇怪行为,也会使一些自动化软件更难以默默地执行操作。

需要注意的是,基于gnome-keyring 哲学,主密码将被询问一次并永久缓存,我做了很多搜索,并没有找到如何本机更改此行为,但找到了一种替代方法,即每分钟清除缓存。

它将安装一个每分钟运行一次的 cron 并清除缓存:

$ cat <<EOF >> gnome-keyring-lock.sh
#!/bin/sh
export DBUS_SESSION_BUS_ADDRESS='${DBUS_SESSION_BUS_ADDRESS}'
dbus-send --dest=org.gnome.keyring --print-reply /org/freedesktop/secrets org.freedesktop.Secret.Service.LockService
EOF

$ chmod +x gnome-keyring-lock.sh &&\
  sudo mv gnome-keyring-lock.sh /usr/local/bin/

$ crontab -u ${USER} -e 
* * * * * /usr/local/bin/gnome-keyring-lock.sh 2>1 | logger -t gnome-keyring-lock

$<ESC>:wq

您可以通过输入以下命令检查日志:

$ tail  -f /var/log/syslog | grep gnome-keyring-lock
Jan 28 18:17:01 typer-pc gnome-keyring-lock: method return time=1674940621.720454 sender=:1.50 -> destination=:1.163 serial=204 reply_serial=2

这样,下次尝试恢复 gnome-keyring 的某些凭证时就会询问主密码,请记住安全性和舒适性不是朋友,每次需要凭证时都询问主密码,可能不会持久,永远缓存它们听起来也不是一个好主意,尽管连接到互联网的计算机永远不会 100% 安全,是的,gnome-keyring 将有助于使密码更安全,而不仅仅是将它们保存到硬盘上任何位置的纯文本文件中。

参考

答案4

密钥环使用弱加密,是的,很弱。一个简单的密码就能解锁所有密码?从安全角度来说,这简直是个笑话。但它使用起来很简单,所以很多人都喜欢它。

普通人(家人、朋友、同事)无法轻易解密。如果你想保护你的密码不被他们破解,那么 Keyring 就是安全的。

现在,如果某个拥有数学、加密学位的人或黑客决定获取您的密码,他们会在几天或几周后(如果他们真的不走运,则可能是几个月后)做到这一点。

如果 IRS 拿到了你的电脑,那么他们只需几分钟就能进入强大的服务器并获取你的密码。以下情况也一样:

  • 联邦调查局
  • 中央情报局
  • 美国国家安全局
  • 摩萨德
  • 澳大利亚标准学会
  • 生的
  • 东印度公司
  • 前端总线
  • 印度联邦情报局
  • 卫星发射系统
  • 米-6
  • 伊拉克情报局

那么,它安全吗?嗯,这取决于你和你的需求。

相关内容