我刚刚在我的 Ubuntu 台式计算机上运行了LaZagne 。它是一个扫描计算机以查找密码的python程序。
它找到了 14 个密码,其中一些仍然有效。我改变了大部分。通过使用选项 -v 运行程序,我们可以看到密码的位置。
使用 Libsecret 可以找到所有密码。根据libsecret的 gnome wiki :
libsecret 是一个用于存储和检索密码和其他机密的库。它使用 D-Bus 与“秘密服务”通信。gnome-keyring 和 ksecretservice 都是 Secret Service 的实现
显然,这个东西不能正常工作并且会泄露密码。
- 这是什么图书馆?
- 为什么以及如何泄露密码?
- 如何保护我的密码?
一些密码是用于 ssh 的私钥。
libsecret 正在按预期工作 - 这可能是与您的用例不一致的意图。
“秘密服务”允许用户以某种方式存储例如密码,登录用户可以轻松访问它们,但其他人很难访问它们。
如果您的计算机被物理占用(当您未登录时)或硬盘驱动器被复制,那么攻击者必须破坏一些严格的加密才能访问您的密码,因为他无法通过 D-Bus 访问它们。如果在您的机器上运行的网络服务器(在另一个用户下)被黑客入侵,攻击者将无法通过 D-Bus 访问您的密码,因为他们登录错误。
但是,如果您在您的帐户下运行的程序请求它,则密码将很容易访问。这就是为什么 Lazagne 很容易就能拿到它们的原因。
这允许在安全性和便利性之间进行折衷,这对于典型用户来说通常是可以接受的——但它可能对您来说是不可接受的。您可以轻松地避免将密码存储在密钥环或朋友中,只需不使用该功能来存储密码,或者使用未与 libsecret 集成的软件。