為什麼 Gnome Keyring 或類似的程序是必要的?(不是關於如何擺脫它的問題)
我讀到了 Gnome Keyring 的作用以及它存在的原因,並且缺乏更詳細的資訊,我認為這是一個愚蠢的概念。為什麼有人認為將所有密碼放在一個使用者登錄時解鎖的地方是個好主意?更糟糕的是,它位於主目錄中,而不是埋在只有 root 才能訪問的某個地方。這太魯莽了,我一定不明白。聰明的人對這些系統進行程式,所以它一定不是愚蠢的,但我想知道為什麼?該資訊不在手冊或維基中。
就個人而言,我不希望將任何密碼儲存在連接到網際網路的電腦上。我將它們保存在加密的 USB 上,並僅在需要輸入密碼的短暫時間內將其插入。有人可以告訴我我缺少什麼使鑰匙圈成為一件好事嗎?除了方便。對我來說,便利從來都不是降低安全性的正當理由。
有人可以幫我理解嗎?我錯過了什麼?
為什麼有人認為將所有密碼放在一個使用者登錄時解鎖的地方是個好主意?
英國國家網路安全中心有一篇很好的部落格文章,題為NCSC 對密碼管理器的看法是什麼?:
我應該使用密碼管理器嗎?
是的。密碼管理器是個好東西。
您會發現現在很多安全建議都建議使用密碼管理器。
這太魯莽了,我一定不明白。
簡單地說:破解使用者比破解系統更容易。在我們使用電腦密碼的 50 多年裡,我們已經開始了解更多有關密碼的行為科學。
對我來說,通過誘騙你交出密碼來獲取你的密碼(此時此地)要比我找到你住的地方、偷你的筆記型電腦、猜測你的加密密碼要容易得多。
這並不是說將密碼儲存在聯網機器上沒有風險。但與大多數普通使用者的行為相比,這些風險的攻擊範圍要小得多。畢竟,如果有人非常想要您的密碼,他們總能得到它。
密碼管理器可以解決使用者行為中的大量問題,但會增加****微小的技術風險。
密碼管理器解決了密碼的兩個真正麻煩的方面:
- 人們在不同事物之間重複使用密碼。
- 人們不擅長生成密碼
密碼管理器讓為每個應用程序使用唯一密碼變得輕而易舉。如果密碼是令人難忘的,它們也會讓使用者不太在意。這使得使用者更有可能擁有高熵密碼。
就個人而言,我不希望將任何密碼儲存在連接到網際網路的電腦上。我將它們保存在加密的 USB 上,並僅在需要輸入密碼的短暫時間內將其插入。
那太棒了。如果這是您真正使用所有密碼所做的事情,並且您永遠不會因為您能記住它而在服務之間共享相同的密碼時採取捷徑,那麼這對您有用。
問題是,當人們發現一項重複性、無聊或通常具有阻礙性的任務時,他們很容易偷工減料。
所以像你描述的那樣做可能對你很有效,但是,如果你是一個大型網路的 IT 管理員,期望工作人員這樣做是個壞主意。太多人會偷工減料,因為他們中的大多數人都懶得找到他們的 USB 密鑰、解密它、從正確的文件中複製粘貼並在每次需要密碼時再次拔掉它。
對我來說,便利從來都不是降低安全性的正當理由。
方便的安全功能。