¿No es Seahorse un gran problema de seguridad? [duplicar]

Navega tus respuestas
-4

Seahorse es un administrador de claves y contraseñas. Entonces, cuando nos conectamos a Facebook desde Chrome y elegimos guardar esa contraseña, se almacena en el caballito de mar.

El problema al que me enfrento es: al abrir la aplicación seahorse, podemos ver todas las contraseñas en texto sin formato.

¡Esto significa que si un amigo me pide que use mi computadora portátil por un minuto, puede ver todas mis contraseñas fácilmente!

Sé que incluso si esto no existiera, también podría ir al navegador web donde guardé mi contraseña de Facebook, ir a Facebook y modificar el código fuente de la página web html para ver mi contraseña. ¡Pero con el caballito de mar, puede ver todas mis contraseñas en unos segundos!

¿Puede alguien explicarme dónde me equivoco? Se supone que las distribuciones de Linux son super seguras, así que ¿por qué eligieron este enfoque para almacenar contraseñas?

PS: No estoy buscando respuestas que digan "simplemente no compartas tu computadora portátil" o "simplemente no te quedes solo". Sé que esto es una solución, pero somos seres humanos. Vamos a cometer errores, como dejar que nuestra computadora portátil vaya al baño o algo así. En ese momento (incluso si es pequeño) cualquier persona cerca de mi computadora portátil puede ver todas mis contraseñas.

    
pregunta Sidahmed 18.11.2016 - 12:44
fuente

3 respuestas

9
  

Sé que incluso si esto no existiera, también podría ir a alguna web   navegador, vaya a facebook.com y modifique el código fuente de la página web   para ver mi contraseña.

No. Sabes mal

  

Esto significa que si un amigo me pide que use mi computadora portátil por un minuto,   ¡¿Puedes ver todas mis contraseñas tan fácilmente? !!

En tu situación, aparentemente sí. Porque ...

  

Se supone que las distribuciones de Linux son super seguras, ¿por qué lo hizo?   ¿Eligen un enfoque de este tipo para almacenar contraseñas?

No lo hicieron, lo hiciste. Linux solo puede ser tan seguro como su administrador lo permita.
Seahorse se basa en el llavero de Gnome, que le pide que establezca una contraseña durante el primer uso. En su lugar, también podría utilizar un token USB. O incluso podría negarse a establecer una contraseña, que parece ser lo que hizo.

Si se configura, la contraseña es necesaria para acceder a las otras contraseñas y funciones de conveniencia relacionadas en Seahore. Sin contraseña, o después de ingresarla, bueno ... claro que tienes acceso. Si regala su computadora en este estado, ¿qué debería hacer Linux exactamente, aparte de lo que está haciendo ahora? Requerir contraseñas nuevamente para acceder a los datos de inicio de sesión FB guardados es exactamente lo que Seahorse no debería hacer . Tal vez podrían requerir algunos clics más para ver la contraseña, pero realmente no cambia nada.

Y ni siquiera importa. Tu "amigo" (aparentemente no confías en él) también podría abrir un sitio donde hayas iniciado sesión, sin necesidad de datos de inicio de sesión ni de Seahorese, y cambiar la dirección de correo y la contraseña por algo que solo él conoce (sin hacer nada). con la fuente del sitio web). O podría darle algún malware conectando un dispositivo USB durante unos 3 segundos. O ...

  

PD: No busco respuestas que digan "simplemente no las compartas.   su computadora portátil "o" simplemente no la mantenga sola ". Sé que esto   Es una solución, pero somos seres humanos. Vamos a cometer errores como   dejar que nuestro portátil solo vaya al baño o algo así.

Lo digo en serio: si tus cuentas y tus datos son importantes, entonces no cometas esos errores. Tener cuidado es completamente posible. Para empezar, obtener acceso físico durante el descanso del inodoro generalmente es un juego, independientemente de sus contraseñas.

    
respondido por el deviantfan 18.11.2016 - 13:35
fuente
2

Parece que reconocen tus preocupaciones, pero es posible que no lo estés utilizando correctamente.

"Desde ese panel principal, expanda la entrada del conjunto de claves para enumerar todas las contraseñas que están almacenadas. Esto puede, al principio, parecer un problema de seguridad evidente en sí mismo, ya que no se ha ingresado ninguna contraseña para llegar a este punto. No temas, este llavero puede (y debería) estar bloqueado y desbloqueado ". enlace

El artículo continúa explicando el uso adecuado.

Aquí hay una respuesta que aborda directamente las preguntas de "texto simple": enlace

    
respondido por el J Kimball 18.11.2016 - 13:27
fuente
0

Google Chrome en Windows te obliga a volver a ingresar tu contraseña de Windows para ver una contraseña, como esta:

Nosiemprefuncionódeestamanera,yalgunaspersonasseoponenalcomportamientoactual.Comoseñalaensupregunta,sileentregasucomputadoraportátildesbloqueadaaun"amigo" que tiene habilidad y es astuto, aún puede extraer sus contraseñas. Los que se oponen argumentan que la ventana emergente es teatro de seguridad : crea la ilusión de seguridad mientras que, en verdad, puede ser fácilmente ignorada. El punto de vista alternativo, que también señala, es que en realidad las personas permiten que otros utilicen su computadora, por lo que tener esta medida de seguridad básica sigue siendo útil. Así que no hay un enfoque claro o incorrecto aquí.

La mejor solución es que usted cree un usuario invitado en su sistema, y si alguien quiere usar su computadora, déle ese usuario. Aparte de eso, puede bloquear su almacén de contraseñas antes de entregarlas. Luego debe volver a ingresar su contraseña de inicio de sesión para acceder a la tienda:

Su pregunta ha recibido varias respuestas negativas, que considero que no merecen. Es particularmente frustrante verlo siendo atacado por lo que dijo sobre la extracción de la contraseña de Facebook, que no solo fue un punto lateral, sino que de hecho es totalmente correcto. Si te sirve de consuelo, la comunidad puede ser muy voluble. Tal vez la próxima semana publiques una pregunta similar y termine en +72.

    
respondido por el paj28 18.11.2016 - 21:52
fuente

Lea otras preguntas en las etiquetas

¿Pueden los nodos de salida VPN o Tor modificar el nombre de host del servidor web? ¿Por qué esta no es una buena manera de almacenar datos de tarjetas de crédito? [cerrado]