和任何需要我密码的东西一样,我想知道使用 gnome-online-accounts [goa] 功能是否安全(以及如何利用它)。我只对 Google 部分感兴趣,因为这是目前唯一可用的部分。
我想了解它是否以任何方式存储我的密码 - 我感觉它使用某种令牌认证,但我不明白这一点。是否可以通过 goa 从我的电脑窃取密码(或类似信息?)?
我发现的所有文档对于普通人来说都过于复杂,难以理解。
答案1
简短回答:如果您使用 Twitter、Facebook 和 Google 帐户,并且您面对的登录页面看起来是这些服务的原生页面(例如,Facebook 风格的登录框而不是 GNOME 风格的登录框),您可能可以信任 goa。编辑:然而,始终假设你的账户已被盗用。果阿可能不是这最薄弱的环节,但链条上的环节越多,其中一环越有可能变得薄弱。务必谨慎对待您的数据。
详细回答:根据您使用的服务,它要么使用“令牌身份验证”(请参阅http://en.wikipedia.org/wiki/OAuth) 或明文密码。例如,对于 Twitter 来说,最糟糕的情况是有人使用您的帐户发送垃圾邮件,但他们无法访问敏感数据(但是,如果您将密码存储在 Chrome/Firefox 中 - 那就是完全不同的事情),并且“黑客”无法窃取或更改您的密码。您只需进入安全设置(在 Twitter 上),然后删除您的目标的 OAuth 令牌即可。
不同的服务有不同的情况。谷歌(和Facebook),如果您担心隐私问题,可以指定应用专用密码。如果这些密码被盗,您可以直接删除它们。
归根结底,除非你实际上瞄准的是你知道运行 GNOME 的特定人,否则利用 goa 可能没那么有价值,因为大多数人(我敢说)将他们的密码存储在 Firefox/IE/Chrome 中,这两个都应该不太安全而且更常见 - 就像告诉孩子不要从打开的糖果罐里偷糖果,然后去购物一个小时。
如果您担心果阿,您应该在关闭浏览器时始终重置浏览器中的浏览历史记录(和 cookie 等),并且不要运行任何非官方的 Facebook 应用程序等。