Попалась на глаза заметка о том, что Pidgin хранит пароли от аккаунтов в текстовом виде.
Раньше мигрируя с Линукса на Линукс об этом как то не думал... Хотя знал, что могу посмотреть пароль если его забуду в файле accounts.xml
Другие IM клиенты тоже так хранят?
-
копыто хранит в бумажнике KDE - вроде там не plain text.
А хотя сам факт хранения простым текстом не так уж плох - лишь бы права на чтение были только у владельца
-
-
Да, в KDE4 все пароли имеют два способа хранения - plain text в файле конфигурации, либо в бумажнике KDE. Естественно, второй способ куда более безопасен и предпочтителен. При этом нужно помнить только один пароль от бумажника, а остальные будут доступны автоматически.
Что еще удобно - я никогда не разрешаю доступ приложениям просто так. Ну, то есть каждый раз при запросе программы на открытие бумажника я жму "Да, позволить один раз". В таком случае, если программа попытается что-то сделать с моим паролем и опять полезет в бумажник - я буду знать и смогу принять решение о санкционированности ее действий.
-
ну вообще говоря, если пароли и не хранятся в открытом виде, то в большинстве случаев они зашифрованы по какому-либо из симметричных алгоритмов, безопасность которых целиком определяется секретностью ключа, а т.к. ни о какой секретности ключа речь не идет(должна же программа как-то расшифровывать сохраненные пароли =)), то большой разницы что хранить пароли в открытом виде что в зашифрованном нету.
-
-
разница большая. Если ты - взломщик, тебе нужно пароль достать. Если ты достаешь файл с паролем в простом виде, то все, он у тебя есть. А попробуй сделать cat /etc/shadow
и вот назови мой пароль теперь %)
-
-
твою налево...
danya:$6$0yy/e/91IYUyfM$y/DlGQfTYiEbciVJ1cDrvL0leQCBi4AGJxdwmTFa966fSSv.zXBK1q/HI/50BCECfUgrtPylS1IAG9x0
-
-
в shadow не храниться пароль, а храниться только односторонний хеш который обратно в пароль не преобразуется, а в им клиентах обычно наоборот =)
хотя да права 600 im помагают
-
-
PS. да и для im чаcто не надо пароль, а нужно только доступ к акку ^_^
-
погоди, а как тогда в клиентах шифруется? какой там алгоритм?
-
-
каким-то простым алгоритмом из открытого текста в зашифрованный гоняется...
-
-
не, ну хеши тоже простым алгоритмом создаются. Фишка в том, что обратный алгоритм хуй проссышь сложный. Это же принцип надежных шифров, которыми криптографы сами себя в зад завели.
-
-
ну так в им гоняются туда сюда => он шибко простой...
-
IM-программе для того чтобы залогинится в онлайн - нужно пароль передать IM-серваку в расшифрованном виде, т.е. прочитать оригинал. Поэтому сложный алгоритм расшифровки будет тормозить запуск программы, в результате он не подходит. Поэтому единственный вариант - шифровать все сохранённые пароли одним мастер-паролем который спрашивать при старте. kwallet в kde именно так и работает, у гнома тоже что-то подобное есть.
-
Джон Риппер будет работать как минимум месяца два, Боб Бутчер побыстрее, но делить не с кем. Ну его фтопку.
-
Разница примерно как между простой дверью без замка с дверью на щеколде =)))
-
-
взломай вот хеш выше. Сравним.
Кулхацкерингу - бой!
-
-
Ладно, так и быть, я для интересу поставил.
В конце осени, может быть, вспомним об этом.
-
Какой это хеш?)
-
-
sha512 не Джон Риппер не Боб Бутчер его не поддерживают :D
-
а вот мне почему то казалось, что большинство программ, а также веб-сервисов, хранят не сам пароль, а его хеш, и при вводе преобразуют введенно в хеш и сравнивают
-
-
проверка валидности пароля и его хранения несколько разные задачи, не находишь?
-
-
не находишь, что пароль в принципе создан для того, чтобы его проверять, не?
-
-
он видимо к тому что допустим сайты хранят все пароли в md5 (остановимся на нем, соли sha1 и прочее рассматривать не будем), пользователь их вводит открытым текстом, но вот сайт этот открытый текст гонит в md5 и далее уже сравнивает только md5 а на реальный пароль ему пофигу.
но это никак не влияет на то что юзверю вводить пароль надо открытым текстом, т.е. и хранить для этого он его должен так же (либо из шифра переводить в этот самый открытый текст)
-
-
Это все понятно, но мне всегда было интересно - а как тогда работает фича "восстановление пароля"? Где-то же он, значит, хранится?
-
-
Фича "восстановление пароля" по нормальному работает так - юзеру на почту пишется письмо с просьбой подтвердить восстановление пароля, при согласии генерируется новый пароль и отправляется юзверю, хэш сохраняется в базу вместо старого
Или ты про восстановление пароля в асику?
-
у всех по разному, либо как сказал xT, либо приходит открытым текстом старый пороль, но это позволяет усомниться в безопасности сервиса ^_^
-
Если говорить о безопасности, то наилучший вариант, не сохранять его вообще.
-
-
а каждый раз вводить отдавая кейлогерам =)
-
-
вы этот кейлогер под линуксом найдите еще :)
-
-
xneur научился логировать текст набираемый => и без него можно это делать
я кстати и под винду кейлогера не найду =)
-
-
В любом случае получить доступ к твоему профилю, намного проще, чем чтото запустить и чтобы ты этого не заметил.
под винду они сами тебя найдут :)
-
-
это да. хотя помниться был баг в dns протоколе, можно было не подписанные репы подменять =)
как гриться возможно всё
-
-
согласен
-
хых
запрос ПОРНО СКОЧАТ БЕСПЛАТНО МП3 ИЛЬХАМ ЗЮЛЬКОРНЕЕВ - стопицот найдешь и установятся в один клик!
-
и еще попробуйте поставить без геммороя. Наверняка kdelibs5 потянет
-
-
точно !!!
-
Что любопытно, есть еще вариант вообще не хранить пароли в IM. Я вот от этого не страдаю, например :)
-
Если требется подключаться к серверам при запуске программы вообще без ввода каких-либо паролей, то хоть что-то должно храниться открыто - хоть отдельно все пароли, хоть пароль от профиля программы, хранящего пароли защифрованными.
И это не только в линуксе так, так везде)
Даже KWallet требует один раз ввести пароль руками, при старте.
Нужно или соблюдать общую бдительность (:) , блокировать экран, отходя от компа, не давать никому ssh доступ с правами чтения вашей ~, или не заморачиваться так.
|
|
|
  |
|
Последние посты
|
|
|
Последние комментарии
|
|
|
Изменения
|
   |
|
Черновики (все)
|
|
|
Избранное (всё)
|
|
|
