这是一个社区维基。我真的很想知道其他人对此的看法。我也不想讨论存储纯文本密码的道德规范。
对于那些不熟悉的人,libpurple 是 Pidgin 使用的库,当您选择保存密码时,它会以纯文本形式保存在~/.purple/accounts.xml.
这背后的原因是,如果有人可以访问您的用户帐户,那么除了其他有效点之外,您还有更大的问题需要担心。
我主要担心的是我在 Pidgin 中使用我的 gmail 帐户,因此我的 gmail 密码以纯文本形式存储。访问某人的电子邮件意味着通过大多数网站上的密码恢复功能访问他们 90% 的其他帐户。哎呀。
考虑到...
- 如果有人物理访问驱动器,我的 /home 已加密
- 当我离开时,我总是锁定我的系统
- 我对安装非官方软件包很明智
- 我在用户空间中运行的任何应用程序都可以访问我的用户文件
这真的有多安全?是否有任何其他可能访问accounts.xml 的威胁?
更新
感谢您的回复!到目前为止有:
- 管理您的防火墙
- 使用安全存储敏感信息的应用程序(即通过 Gnome Keyring)
- 使用强密码并保持系统更新
- 来自加密的 ~/Private 目录的符号链接敏感文件
我很高兴我的数据在被盗时是安全的。我更担心一些专门针对这些不安全文件的过程。再一次,开源软件的性质使恶意应用程序难以使用,因为公共代码审查会暴露恶意代码。
如果您能想到可以访问这些帐户详细信息的任何其他载体,我想听听他们:)
在大多数情况下,如果任何人都可以物理访问机器,则安全性是无效的。至于“其他用户”,如果他们没有尝试访问文件并且可能只是偶然发现它,只需在您的主文件夹上设置权限,这样除了您之外没有其他人有任何访问权限。
就网络安全而言,我很难相信有人会进入你的个人文件,除非你不小心让端口保持打开状态。如果您担心使用Gufw来管理您的防火墙。如果您有某种安全漏洞,您也可以从该网站检查:https ://www.grc.com/x/ne.dll?bh0bkyd2
您也可以在 Ubuntu 论坛上阅读此安全概述:http ://ubuntuforums.org/showthread.php?t=510812
我希望这对你有帮助!
因此,您关心的是以明文形式存储敏感数据的应用程序。这里有一些建议:
我通常会创建一个加密的 Private 目录并将 pidgin 配置和任何其他更危险的信息(.ssh 等)移动到 ~/Private。然后,我在其原始位置为目录创建符号链接。要创建加密的私有目录,请使用
您可能还需要安装一个软件包:
有关更多详细信息,请参阅此
如果你的 /home 是加密的,那么恢复密码的唯一方法就是解密它,唯一的方法是使用密码(除非你有一个非常大的服务器场和很多时间)。这可能会及时被暴力破解,因此请确保它是一个非常强大的密码。
所以,总而言之,这是非常安全的。我个人很乐意将我的 gmail 密码保存在加密的 /home 目录中。