Acabei de executar o LaZagne no meu computador desktop Ubuntu. É um programa python que verifica o computador para encontrar senhas.
Ele encontrou 14 senhas e algumas delas ainda estão ativas. Eu mudei a maioria deles. Ao executar o programa com a opção -v podemos ver onde a senha foi encontrada.
Todas as senhas são encontradas com Libsecret. De acordo com o wiki do gnome para libsecret :
libsecret é uma biblioteca para armazenar e recuperar senhas e outros segredos. Ele se comunica com o "Serviço Secreto" usando D-Bus. gnome-keyring e ksecretservice são implementações de um Serviço Secreto
Aparentemente, essa coisa não funciona corretamente e vaza senhas.
- O que é esta biblioteca?
- Por que e como está vazando senhas?
- Como posso proteger minhas senhas?
Algumas senhas são de chaves privadas usadas para ssh.
libsecret está funcionando como pretendido - pode ser a intenção que está em desacordo com o seu caso de uso.
O "Serviço Secreto" permite que um usuário armazene, por exemplo, senhas de forma que sejam facilmente acessíveis para o usuário conectado, mas muito difíceis de acessar por outra pessoa.
Se o seu computador for roubado fisicamente (enquanto você não está logado) ou o disco rígido copiado, o invasor deve quebrar alguma criptografia séria para acessar suas senhas, pois ele não pode acessá-las via D-Bus. Se um servidor web em execução na sua máquina (de outro usuário) for hackeado, o invasor não poderá acessar suas senhas via D-Bus, pois o login está errado.
Mas se um programa iniciado por você em execução em sua conta solicitar, a senha será facilmente acessível. É por isso que Lazagne foi facilmente capaz de buscá-los.
Isso permite um compromisso entre segurança e conveniência, que muitas vezes é aceitável para o usuário típico - mas pode não ser aceitável para você. Você pode facilmente evitar armazenar suas senhas em chaveiros ou amigos, apenas não usando o recurso para armazenar senhas ou usando um software que não seja integrado ao libsecret.