这是一个社区维基。我非常希望听听其他人对此的看法。我也不想讨论存储纯文本密码的道德问题。
对于那些不熟悉的人来说,libpurple 是 Pidgin 使用的库,当您选择保存密码时,它会以纯文本形式保存~/.purple/accounts.xml
。
这背后的原因是,如果有人可以访问你的用户帐户,你就会有更大的问题要担心,其中包括其他有效观点。
我最担心的是我使用 Pidgin 的 Gmail 帐户,因此我的 Gmail 密码以纯文本形式存储。通过大多数网站上的密码恢复功能,访问某人的电子邮件意味着访问他们 90% 的其他帐户。哎呀。
考虑一下...
- 我的 /home 已加密,如果有人可以物理访问驱动器
- 当我离开时我总是锁定我的系统
- 我对安装非官方软件包很明智
- 我在用户空间运行的任何应用程序都可以访问我的用户文件
这真的安全吗?还有其他威胁可能访问 accounts.xml 吗?
更新
谢谢大家的回复!目前为止有:
- 管理防火墙
- 使用安全存储敏感信息的应用程序(例如通过 Gnome Keyring)
- 使用强密码并保持系统更新
- 来自加密 ~/Private 目录的符号链接敏感文件
我很高兴我的数据在被盗时是安全的。我更担心的是针对这些不安全文件而设计的某些流程。不过,开源软件的性质使恶意应用程序难以得逞,因为公开的代码审查会揭露恶意代码。
如果您能想到任何其他可以访问这些帐户详细信息的途径,我很乐意听听 :)
答案1
在大多数情况下,如果有人可以物理访问机器,安全性将变得无效。至于“其他用户”,如果他们没有尝试访问文件,而只是偶然发现,只需设置主文件夹的权限,这样除了您之外,其他人都无权访问。
就网络安全而言,除非你粗心地打开端口,否则很难相信有人会进入你的个人文件。如果你担心,请使用古夫管理防火墙。您还可以从此网站检查是否存在某种安全漏洞:https://www.grc.com/x/ne.dll?bh0bkyd2
您还可以在 Ubuntu 论坛上阅读此安全概述:http://ubuntuforums.org/showthread.php?t=510812
希望这对你有帮助!
答案2
所以你担心的是那些以明文形式存储敏感数据的应用程序。以下是一些建议:
- 备择方案:尝试寻找另一个不以明文形式存储数据的应用程序。Empathy 可以替代 Pidgin 并将您的凭据存储在其中侏儒钥匙圈,这是一个安全的存储,并且已加密,
- 强密码:如果攻击者认为可以找到比暴力破解加密硬盘所花费的时间和资源更高的值,那么你就无法对物理访问采取太多措施。密码越强,攻击者放弃的可能性就越大。查看 Mozilla 文章 + 视频如何设置强密码。如果您担心 Gmail 帐户,您可以找到 Google 解决方案确保您的帐户访问安全。
- 保持最新状态:您的某个应用程序中始终存在安全漏洞的风险,这可能会让攻击者访问您的磁盘。例如,Flash 中存在一个漏洞,使磁盘访问权限处于开放状态,攻击者便可随意访问纯文本文件。
答案3
我通常会创建一个加密的 Private 目录,并将 pidgin 配置和任何其他更危险的信息(.ssh 等)移至 ~/Private。然后,我会在目录的原始位置为其创建符号链接。要创建加密的 Private 目录,请使用
ecryptfs-setup-private
您可能还需要安装一个包:
sudo apt-get install ecryptfs-utils
查看这更多细节
答案4
如果您的 /home 已加密,那么恢复密码的唯一方法就是解密,而解密的唯一方法(除非您拥有非常大的服务器群和大量时间)就是使用密码。这可能会被暴力破解,因此请确保密码非常强。
所以,总的来说,这非常安全。我个人很乐意将我的 gmail 密码保存在加密的 /home 目录中。