¿Es seguro el llavero Gnome?

17

Siempre he leído llavero como Gnome-keyring es una forma segura de guardar credenciales. No lo entiendo Si abro mi llavero Gnome en mi escritorio Ubuntu, puedo hacer clic con el botón derecho en cualquier entrada y hacer clic en mostrar contraseña y se mostrará la contraseña: O. Mi punto es que si puedo hacerlo, cualquiera que pueda acceder a mi computadora puede hacerlo. No puedo mantener mi computadora atendida cada segundo y a veces puedo olvidar bloquear la computadora.

He configurado la opción para desbloquear llavero automáticamente al iniciar sesión. Sin eso, tengo que escribir la contraseña del llavero cada vez que se debe acceder al llavero. Por lo tanto, escriba la contraseña del llavero o escriba la contraseña solicitada. Ahora, si realmente tengo que escribir, preferiría eliminar al intermediario y escribir la contraseña solicitada.

Entonces mi pregunta es, ¿estoy pensando / tomando / haciendo esta cosa de llavero de manera incorrecta? ¿O es así? Si es así, ¿cómo es seguro?

password gnome-keyring jrg
fuente
1
Se prefiere si puede publicar preguntas separadas en lugar de combinar sus preguntas en una sola. De esa manera, ayuda a las personas que responden su pregunta y también a otras personas que buscan al menos una de sus preguntas. ¡Gracias!
Anwar
Creo que realmente tienes un punto. En mi opinión, para acceder a "Contraseñas y claves de cifrado", se debe solicitar la contraseña del llavero. Una sesión desbloqueada sigue siendo un gran riesgo de seguridad, pero no es justificable permitir que alguien obtenga TODAS sus contraseñas y claves con solo un clic. Todavía estoy de acuerdo con la respuesta de Jesse Glick en su mayor parte: askubuntu.com/a/112582/17789
con-f-use el
Hola, quiero mostrar la contraseña guardada en mi llavero en Ubuntu 14.04, pero no puedo hacerlo Gracias por cualquier ayuda Frank
¿Cómo "abro" el llavero de gnomo? Solo sé cómo ejecutarlo como una utilidad de línea de comandos.
temporary_user_name

Respuestas:

15

No hay ningún truco especial aquí; usted solo es responsable de mantener su sesión de escritorio bloqueada cuando no está sentado frente a su computadora. De lo contrario, las personas que pasen por allí podrían hacerle cualquier cosa a su computadora, ¡incluso si no está usando un llavero de ningún tipo, incluida la instalación de un programa secreto de detección de contraseñas!

Acostúmbrate a bloquear la pantalla cada vez que te levantes por cualquier motivo . Hágalo incluso cuando esté seguro de estar solo para que se vuelva rutinario. Esto es más rápido si configura un método abreviado de teclado como Ctrl+ Alt+ Lpara él (inicio Keyboard --> Shortcuts --> System --> Lock screen). Sería bueno que el panel de control de Energía le permitiera bloquear la pantalla cuando la tapa de una computadora portátil está cerrada, pero esto no parece ser una opción.

Y en caso de que lo olvide, configure la pantalla para que se bloquee después de unos minutos de inactividad (en lugar de entrar en un protector de pantalla): Pantalla> Bloquear.

Jesse Glick
fuente
Estoy realmente confundido con esta pregunta / respuesta porque dice en el wiki de GNOME que gnome-keyring almacena contraseñas usando encriptación AES de 128 bits. De hecho, cuando miro los archivos, están encriptados. ¿Esta respuesta está desactualizada o me falta algo aquí?
temporary_user_name
3
seahorsemostrará el texto sin formato, ya que tiene acceso a la sesión desbloqueada, por lo que el hecho de que las contraseñas estén encriptadas en el disco no ayuda si su pantalla se deja desbloqueada.
Jesse Glick el
6

El llavero está destinado a simplificar su vida al recordar diferentes secretos (contraseñas), que se almacenan cifrados utilizando su contraseña maestra como clave de cifrado. El cifrado es una protección contra ataques remotos (o si su disco duro es robado o similar), porque los secretos no se revelan en tal caso. Si deshabilita el desbloqueo del llavero al iniciar sesión, solo obtendrá la ventaja de escribir la misma contraseña, en lugar de muchas otras diferentes.

eudoxos
fuente
Creo que su problema es que se pueden volver a leer en claro, especialmente usando la interfaz de usuario predeterminada por alguien que simplemente camina sin tener que instalar un software adicional. ¿No deberían protegerse estas contraseñas de modo que solo puedan, por ejemplo, tener un hash generado contra ellas en lugar de ser leídas de nuevo?
@Rup: no, porque estas contraseñas deben volverse a leer en claro cada vez que las use.
johanvdw
¿Cómo ves las contraseñas en texto plano? Estoy tratando de ver esto por mí mismo, pero solo puedo ejecutar gnome-keyring desde la línea de comando hasta donde sé ...
temporary_user_name
-4

El llavero usa cifrado débil, sí, débil. ¿Una contraseña simple para desbloquear todas tus contraseñas? Eso es una broma en términos de seguridad. Pero es fácil de usar, por lo que a mucha gente le gusta.

El común Joe o Alice (familia, amigos, compañeros de trabajo) no podrán descifrarlo fácilmente. Si quieres proteger tus contraseñas contra ellos, bueno. El llavero está a salvo.

Ahora, si se decide que alguien con un título en matemáticas, cifrado o pirata informático obtenga sus contraseñas, lo hará después de unos días o semanas (o meses si realmente no tienen suerte).

Y si el IRS tiene su computadora, bien, pueden echar mano de los servidores fuertes para obtener sus contraseñas en cuestión de minutos. Igual por:

  • FBI
  • CIA
  • NSA
  • Mossad
  • COMO ES
  • CRUDO
  • DGSE
  • FSB
  • BND
  • MSS
  • MI-6
  • ISI

Entonces, ¿es seguro? Bueno, depende de ti y de tus necesidades.

Vladimir
fuente
77
¿Cuál es su prueba de esto "utiliza cifrado débil"? ¿Sabe cuánto tiempo necesita una computadora típica para romper dicha clave de cifrado o incluso para romperla?
Anwar
13
gnome-keyringutiliza AES-128 , que a partir de esta fecha es computacionalmente inviable romper aparte de un ataque de fuerza bruta / diccionario.
ish