LINUX.ORG.RU
ФорумTalks

[security] Пароли

 


0

0

Как-то давно уже заметил, что svn-клиент хранит пароли от серверов в открытом виде. И сегодня, на досуге, решил посмотреть, какие еще программы хранят пароли таким же образом.

Я нашел порядка 11 паролей (контекстный поиск в домашней директории по слову password). Из них:

  • Pidgin. Пароль от прокси и от аккаунтов
  • Amarok. Пароль от last.fm
  • Subversion.
  • Mysql (.mysql_history)

Причем, «потерю» пароля от last.fm не считаю серьезной, да и пароли от svn при всей их значимости не нанесут большого вреда. А вот пароли от прокси/гугло-джаббера (а значит и гмыла и прочего г-стафа)/mysql (при добавлении новых пользователей, sql-инструкции могут сохраняться в .mysql_history) могут принести головную боль.

Так вот, как много паролей хранятся в Вашей домашней директории в открытом виде? Насколько критична «потеря» этих паролей для Вас? И главное, как много из Лоро-посетителей знают о том, что их пароли хранятся в открытом виде?

PS Таблетки от паранойи закончились =)

★★

не критична, на сервирах пароли совсем другие на мускуль и прочее.

phasma ★☆
()

Чего плохого-то? забыл пароль можно вспомнить или сменить, хотя хэш тоже можно сменить

dimon555 ★★★★★
()

какой смысл организовывать дополнительно прослойку шифрования между простым приложением и паролем?

доступ к приватным файлам домашнего каталога практически эквивалентен доступу к тем же утилитам дешифровки

anonymous
()

а база ЛОРа тоже хранит пароли в открытом виде... кстати

Sylvia ★★★★★
()

Хранить пароли как-то иначе (не в открытом виде) нет никакого смысла. Всё равно перед аутентификацией на конкретном сервисе их нужно расшифровывать. И даже если этот сервис использует не сам пароль, а хеш от него, то хранение этого хеша не является хоть сколько нибудь более секьюрным.

Deleted
()
Ответ на: комментарий от anonymous

> доступ к приватным файлам домашнего каталога практически эквивалентен доступу к тем же утилитам дешифровки

man kwallet.

isden ★★★★★
()
Ответ на: комментарий от Deleted

Единственный более секьюрный вариант - постоянно запрашивать пароль. Или хранить все пароли в зашифрованном виде и постоянно запрашивать мастер-пароль на них (что то же самое). Но это просто неудобно.

Deleted
()
Ответ на: комментарий от zuboskal

я тоже о них подумал. Почему pidgin не использует гномовские-брелоки (или подскажите USE-флаги для поддержки брелоков)?

ale ★★
() автор топика
Ответ на: комментарий от Deleted

>Единственный более секьюрный вариант - постоянно запрашивать пароль. Или хранить все пароли в зашифрованном виде и постоянно запрашивать мастер-пароль на них (что то же самое). Но это просто неудобно.

да мне не влом ввести пароль. меня удручает мысль о том, что какой-нибудь быдло-флеш может иметь доступ к файлам ~/.purple/prefs.xml ~/.purple/accounts.xml

ale ★★
() автор топика
Ответ на: комментарий от ale

у моей девушки стоит убунта, и пиджин вполне использует брелоки. может ты сам ему сказал не использовать? или брелку?

zuboskal
()
Ответ на: комментарий от zuboskal

>у моей девушки стоит убунта, и пиджин вполне использует брелоки. может ты сам ему сказал не использовать? или брелку?

наверняка мой косяк - посмотрю. спасибо

ale ★★
() автор топика
Ответ на: комментарий от anonymous

>доступ к приватным файлам домашнего каталога практически эквивалентен доступу к тем же утилитам дешифровки

есть идея разграничить это доступ на основе запрашивающего приложения.

generatorglukoff ★★
()
Ответ на: комментарий от Deleted

> И даже если этот сервис использует не сам пароль, а хеш от него, то хранение этого хеша не является хоть сколько нибудь более секьюрным.

Ну почему же. Некоторые могут использовать один пароль для еще чего-то, например, почты. Если злоумышленник и получит доступ к хэшам, он не получает доступ к самим паролям.

smh ★★★
()
Ответ на: комментарий от zuboskal

>у моей девушки стоит убунта, и пиджин вполне использует брелоки. может ты сам ему сказал не использовать? или брелку?

Интересно, каким образом? Пиджин не поддерживает gnome-keyring, не реализовано

Midael ★★★★★
()

Пользуюсь программами, которые поддерживают kwallet либо ввожу пароли всегда от руки.

dikiy ★★☆☆☆
()
Ответ на: комментарий от true

>>Некоторые могут использовать один пароль для еще чего-то, например, почты.

> ССЗБ.

Да. Практика показывает что это далеко не редкость.

smh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.