Quanto sono sicuri i miei file in / home?

8

Questa è una wiki della comunità. Mi piacerebbe davvero il pensiero di altre persone su questo. Non voglio nemmeno discutere dell'etica della memorizzazione di password in testo semplice.

Per coloro che non hanno familiarità, libpurple è la libreria utilizzata da Pidgin e quando si sceglie di salvare le password, lo fa come testo normale sotto ~/.purple/accounts.xml.

Il ragionamento alla base di questo è che se qualcuno può accedere al tuo account utente, hai anche maggiori problemi di cui preoccuparti, tra gli altri punti validi .

La mia preoccupazione principale è che uso il mio account Gmail in Pidgin, quindi la mia password Gmail è memorizzata in testo semplice. L'accesso all'e-mail di qualcuno significa l'accesso al 90% degli altri account, tramite le funzionalità di recupero della password sulla maggior parte dei siti. Eeek .

Considera che...

  • My / home è crittografato, se qualcuno ottiene l'accesso fisico all'unità
  • Blocco sempre il mio sistema quando vado via
  • Sono ragionevole sull'installazione di pacchetti non ufficiali
  • Qualsiasi applicazione che eseguo in userland ha accesso ai miei file utente

Quanto è davvero sicuro? Esistono altre minacce che potrebbero potenzialmente accedere ad account.xml?

Aggiornare

Grazie per le risposte! Finora hanno:

Sono felice che i miei dati siano al sicuro in caso di furto. Sono più preoccupato per alcuni processi creati per colpire questi file non protetti. Quindi la natura del software open source rende difficile per le app dannose, poiché la revisione del codice pubblico esporrà il codice dannoso.

Se riesci a pensare ad altri vettori attraverso i quali è possibile accedere a questi dettagli dell'account, mi piacerebbe ascoltarli :)

security  user-space  password 
invertiti
fonte
3
Non che tu possa invertirlo, ma non avrei creato questo wiki della community. Questa domanda è rispondente e ora non dai alcun incentivo in quanto non possiamo guadagnare reputazione con le nostre risposte.
Peter Smit,
Punto preso @Peter, ero preoccupato che la domanda fosse troppo soggettiva e si chiudono troppo facilmente sui siti di scambio SO e SU.
inverti il

Risposte:

2

Per la maggior parte se qualcuno ha accesso fisico alla sicurezza della macchina è nulla. Per quanto riguarda gli "altri utenti" se non stanno tentando di accedere ai file e potrebbero inciampare in esso, basta impostare le autorizzazioni sulla cartella principale in modo che nessun altro abbia accesso tranne te.

Per quanto riguarda la sicurezza su una rete, trovo difficile credere che qualcuno possa entrare nei tuoi file personali se non lasci trascuratamente le porte aperte. Se sei preoccupato, usa Gufw per gestire il tuo firewall. Puoi anche controllare da questo sito web se hai dei buchi di sicurezza di qualche tipo: https://www.grc.com/x/ne.dll?bh0bkyd2

Inoltre puoi leggere questa panoramica sulla sicurezza nei forum di Ubuntu: http://ubuntuforums.org/showthread.php?t=510812

Spero che questo possa esserti di aiuto!

NightwishFan
fonte
Uso Firestarter per configurare iptables. Grazie per i collegamenti, molto utile!
inverti il
per quanto riguarda l'accesso fisico, avere un'unità crittografata significa che sarebbe molto più sicuro del normale. Impedisce il funzionamento della maggior parte degli attacchi ovvi.
cmcginty,
1

Quindi la tua preoccupazione è l'applicazione che memorizza i dati sensibili in chiaro. Ecco alcuni suggerimenti:

  • alternative : prova a trovare un'altra applicazione che non memorizza i tuoi dati in chiaro. Empathy può sostituire Pidgin e archiviare le tue credenziali all'interno di Gnome Keyring , che è un archivio sicuro e crittografato,
  • password complessa : non puoi fare molto contro l'accesso fisico se l'attaccante pensa di poter trovare valori più alti di quanto gli costerà in termini di tempo e risorse che si rompono con la forza bruta del tuo disco rigido crittografato. Più forte è la password, maggiore è la possibilità che l'attaccante rinuncerà. Consulta l'articolo + video di Mozilla su come creare password complesse . E per la tua preoccupazione per il tuo account Gmail, puoi trovare la soluzione Google per proteggere l'accesso al tuo account .
  • tenersi aggiornati : esiste sempre il rischio di una falla nella sicurezza di un'applicazione che potrebbe consentire a un utente malintenzionato di accedere al proprio disco. Ad esempio, un buco in Flash che lascia aperto l'accesso al disco potrebbe consentire a un utente malintenzionato di accedere gratuitamente a file di testo semplice.
Huygens
fonte
2
Accetto di usare empatia invece di pidgin, e sì, pidgin archivia l'account delle informazioni in "solo testo". considera di avere una password complessa, è inutile se la password è memorizzata in testo semplice, quanto è forte la nostra password.
squallbayu,
Empathy è la nuova messaggistica istantanea predefinita in Ubuntu, ma il supporto del protocollo mxit è errato (non si collega), quindi uso Pidgin per questo motivo. Un'altra alternativa è utilizzare un account Jabber separato solo per la messaggistica istantanea, anziché il mio account Gmail. Grazie per la risposta!
inverti il
@KeyboardMonkey dovresti provare il link che ho dato sopra per proteggere il tuo account Google (vedi il secondo link nel secondo bullet). Almeno, anche se qualcuno ottiene la tua password, hai un livello di accesso aggiunto al tuo account Google.
Huygens,
questo è fantastico, tempismo perfetto da parte di Google!
inverti il
1

Generalmente creo una directory privata crittografata e sposto la configurazione di pidgin e qualsiasi altra informazione più pericolosa (.ssh, ecc.) In ~ / Private. Quindi creo collegamenti simbolici per le directory nelle loro posizioni originali. Per creare una directory privata crittografata, utilizzare

ecryptfs-setup-private

Potrebbe essere necessario installare anche un pacchetto: 

sudo apt-get install ecryptfs-utils

Vedi questo per maggiori dettagli

Nerdfest
fonte
In che modo ciò impedirà ad un'applicazione di accedere ai file su un sistema live sulla rete? Possono semplicemente seguire i link simbolici.
La mia cartella principale è già crittografata. È necessario anche per me?
Interessante Knox il
0

Se la tua / home è crittografata, l'unico modo per recuperare la password è di decodificarla, l'unico modo per farlo (a meno che tu non abbia una server farm molto grande e un sacco di tempo) è usare la password. Questo potrebbe essere bruto nel tempo, quindi assicurati che sia una password molto forte.

Quindi, tutto sommato, è abbastanza sicuro. Personalmente sarei felice di conservare la mia password di Gmail in una directory / home crittografata.

YaManicKill
fonte
1
Sono abbastanza contento del lato della crittografia, sono più preoccupato per un processo in esecuzione in userland, in esecuzione con i miei privilegi di utente, l'accesso a questo semplice file di testo o qualsiasi altro dettaglio importante nel mio account. Grazie!
inverti il
Ahhh ok, capisco cosa intendi ora. Bene, in tal caso, mi assicurerei che tutti i programmi che hai siano quelli dal repository Ubuntu e siano ben noti. In tal caso, e non installi altre app di terze parti, sarei felice con esso.
YaManicKill
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.