Я использую библиотеку ключей для хранения паролей в моем приложении на Python.
import keyring
keyring.set_password('My namespace', username, password)
keyring.get_password('My namespace', username)И это работает очень хорошо.
Я предполагаю, что пароли безопасны в связке ключей, они зашифрованы. Но, поскольку я могу получить их по имени пользователя, что мешает другим приложениям делать то же самое?
Разве это не угроза безопасности или я что-то упустил?
Ответы:
Библиотека ключей использует стандартный набор ключей вашего рабочего стола, например, набор ключей GNOME . Этот брелок разблокируется сразу после входа в систему, что означает: да, любое другое приложение, запущенное вами, имеет доступ к паролю, который вы храните вместе с вашим приложением, но - и это идея брелка - другие пользователи и их приложения нет.
Цитирую « философия безопасности gnome-keyring »:
Примером театра безопасности является иллюзия, что каким-то образом одно приложение, работающее в контексте безопасности (например, сеанс пользователя), может хранить информацию из другого приложения, работающего в том же контексте безопасности.
Обратите внимание, что usernameв set_password/ get_passwordfunctions не связано с именем пользователя, запускающего приложение (т. Е. Пользователя, чье кольцо ключей используется), но может быть, например, адрес электронной почты, имя пользователя базы данных и т. Д.