Una password nel portachiavi è più sicura della memorizzazione della password in testo semplice?

Naviga le tue risposte
0

Molti programmi di posta elettronica come isync e msmtp forniscono la possibilità di specificare un comando che una volta eseguito stampa la password dell'utente su stdout . Ad esempio su OSX possiamo memorizzare la password in un portachiavi e quindi chiamare il seguente comando: 

security find-internet-password -w -a [email protected] -s imap.email.com  <keychain-file>

Ora, se permettiamo al file security di accedere a questa voce del portachiavi senza chiedere il permesso (perché è piuttosto fastidioso altrimenti), abbiamo praticamente dato a chiunque il permesso di eseguire questo comando e chiunque esegua questo comando sarà in grado di leggere la password . Così ingenuamente sembra che la memorizzazione di una password in un portachiavi non sia poi così salutare rispetto alla memorizzazione in un file di testo in chiaro.

Mi manca qualcosa? Inoltre, ho provato a impostare il permesso di $(which security) binary su 700 , ma il programma di posta elettronica non può eseguire il programma security , quindi non è possibile modificare il permesso del security binario.

    
posta Pushpendre 10.12.2016 - 04:31
fonte

2 risposte

1

Questo è esattamente il motivo per cui non dovresti concedere l'accesso al programma security alle tue voci del portachiavi. In generale, ogni voce del portachiavi dovrebbe essere leggibile (senza richiedere all'utente) dal programma specifico che lo utilizza, cioè il tuo programma di posta dovrebbe avere accesso alla password del tuo account e-mail, il tuo browser preferito dovrebbe avere accesso alle tue password web, ecc.

Si noti che ciò richiede che i programmi che utilizzano password memorizzate con portachiavi debbano utilizzare direttamente le API portachiavi, non semplicemente eseguire il programma security in background. Se stanno usando security , allora dovresti lamentarti con lo sviluppatore che stanno facendo di sbagliato e costringendo a indebolire significativamente la sicurezza del tuo portachiavi. (Oppure, poiché almeno msmtp è open source, risolvilo da solo.)

    
risposta data 10.12.2016 - 08:25
fonte
1

Non ho alcuna password internet memorizzata nel mio portachiavi, ma con security find-generic-password -w in esecuzione, ottengo questo prompt:

Allo stesso modo, la prima volta che uso una chiave ssh, devo reinserire una password prima che diventi sempre disponibile.

In generale, questo è il modo in cui funzionano gli agenti password: non sono migliori di avere un file di testo in chiaro su disco una volta caricato l'agente in memoria e sbloccato, ma forniscono una protezione aggiuntiva una volta usciti di memoria, dal momento che i contenuti sono memorizzati su disco crittografato. Quindi sono perfetti? No, ma sono sicuramente ancora meglio che non criptare i tuoi segreti.

    
risposta data 10.12.2016 - 04:52
fonte

Leggi altre domande sui tag

Iniezione SQL basata sul tempo di patching? Lista parole crunch