Esta es una wiki comunitaria. Realmente me gustaría los pensamientos de otras personas sobre esto. Tampoco quiero discutir la ética de almacenar contraseñas de texto sin formato.
Para aquellos que no están familiarizados, libpurple es la biblioteca utilizada por Pidgin, y cuando elige guardar sus contraseñas, lo hace como texto plano debajo ~/.purple/accounts.xml
.
El razonamiento detrás de esto es que si alguien puede acceder a su cuenta de usuario, tiene mayores problemas de los que preocuparse, entre otros puntos válidos .
Mi principal preocupación es que uso mi cuenta de Gmail en Pidgin, por lo que mi contraseña de Gmail se almacena en texto sin formato. El acceso al correo electrónico de alguien significa el acceso al 90% de sus otras cuentas, a través de las funciones de recuperación de contraseña en la mayoría de los sitios. Eeek .
Considere eso...
- Mi / home está encriptado, si alguien tiene acceso físico a la unidad
- Siempre bloqueo mi sistema cuando me alejo
- Soy sensato acerca de la instalación de paquetes no oficiales
- Cualquier aplicación que ejecute en userland tiene acceso a mis archivos de usuario
¿Qué tan seguro es esto realmente? ¿Hay alguna otra amenaza que pueda acceder a accounts.xml?
Actualizar
Gracias por las respuestas! Hasta ahora tenemos:
- Administra tu firewall
- Utilice aplicaciones que almacenen información confidencial de forma segura (es decir, mediante Gnome Keyring)
- Use contraseñas seguras y mantenga actualizado su sistema
- Vincular archivos confidenciales desde un directorio cifrado ~ / privado
Estoy feliz de que mis datos estén seguros en caso de robo. Estoy más preocupado por algún proceso diseñado para apuntar a estos archivos no seguros. Por otra parte, la naturaleza del software de código abierto dificulta las aplicaciones maliciosas, ya que la revisión del código público expondrá el código malicioso.
Si puede pensar en otros vectores a través de los cuales se pueda acceder a estos detalles de la cuenta, me gustaría escucharlos :)
fuente
Respuestas:
En su mayor parte, si alguien tiene acceso físico a la máquina, la seguridad es nula y sin efecto. En cuanto a "otros usuarios", si no están tratando de acceder a los archivos y pueden tropezar con ellos, simplemente configure los permisos en su carpeta de inicio para que nadie más tenga acceso excepto usted.
En cuanto a la seguridad en una red, me resulta difícil creer que alguien ingrese a sus archivos personales a menos que deje los puertos abiertos sin cuidado. Si le preocupa, use Gufw para administrar su firewall. También puede verificar desde este sitio web si tiene agujeros de seguridad de algún tipo: https://www.grc.com/x/ne.dll?bh0bkyd2
También puede leer esta descripción general de seguridad en los foros de Ubuntu: http://ubuntuforums.org/showthread.php?t=510812
¡Espero que esto pueda ser de ayuda para usted!
fuente
Entonces, su preocupación es la aplicación que almacena datos confidenciales en texto claro. Aqui hay algunas sugerencias:
fuente
Generalmente creo un directorio privado encriptado y muevo la configuración pidgin y cualquier otra información más peligrosa (.ssh, etc.) a ~ / Private. Luego creo enlaces simbólicos para los directorios en sus ubicaciones originales. Para crear un directorio privado encriptado, use
Es posible que también necesite instalar un paquete:
Vea esto para más detalles
fuente
Si su / home está encriptado, entonces la única forma de recuperar la contraseña es desencriptando, que es la única forma de hacerlo (a menos que tenga una granja de servidores muy grande y mucho tiempo) usando la contraseña. Esto podría ser forzado a tiempo, así que asegúrese de que sea una contraseña muy segura.
Entonces, en general, eso es bastante seguro. Personalmente, me encantaría mantener mi contraseña de gmail en un directorio cifrado / de inicio.
fuente