Sto usando la libreria di portachiavi per archiviare le password nella mia app Python.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)E questo funziona molto bene.
Presumo che le password siano sicure nel portachiavi, sono crittografate. Ma dal momento che posso ottenerli tramite nome utente, cosa impedisce ad altre app di fare lo stesso?
Non è un rischio per la sicurezza o mi sto perdendo qualcosa?
Risposte:
La libreria portachiavi utilizza il portachiavi standard dell'ambiente desktop, ad esempio il portachiavi GNOME . Questo portachiavi viene sbloccato non appena esegui l'accesso, ovvero: sì, qualsiasi altra applicazione gestita da te ha accesso alla password memorizzata con la tua applicazione, ma - e questa è l'idea di un portachiavi - altri utenti e le loro applicazioni non aver.
Citando " gnome-keyring Security Philosophy ":
Un esempio di teatro della sicurezza è l'illusione che in qualche modo un'applicazione in esecuzione in un contesto di sicurezza (come la sessione utente) possa mantenere le informazioni di un'altra applicazione in esecuzione nello stesso contesto di sicurezza.
Si noti che il usernamenei set_password/ get_passwordfunzioni non è legato al nome dell'utente che esegue l'applicazione (cioè l'utente il cui portachiavi viene utilizzato), ma può essere ad esempio un indirizzo email, un nome utente di database, ecc