Pages : 1
#1 Le 04/11/2012, à 10:59
- Actaric
Mots de passe stock en clair ??
Bonjour,
Je viens de m'apercevoir d'une chose étrange :
Au démarrage je dois saisir mon mot de passe de login pour accéder à Ubuntu. Ensuite tout marche, sauf si je décide de lancer Chromium, qui va demander de me déverrouiller le trousseau "default" pour qu'il accède j'imagine aux identifiants de messageries etc... Jusque là rien de grave (à part que je dois taper 2 fois le mots de passe alors qu'il est identique à celui du login...).
Seulement si je vais faire un tour dans mon trousseau de mots de passe après l'avoir déverrouillé pour Chromium et mes mots de passe peuvent être affichés à l'écran sans demander de retaper un mot de passe !
Autrement dit, si je m'éloigne de mon ordi 5min sans le verrouiller, n'importe qui à accès à mes mots de passe pourvu que j'ai lancé Chromium avant... Pas terrible terrible la sécurité...
Quelqu'un comprend il quelque chose ?
Merci.
Hors ligne
#2 Le 04/11/2012, à 16:01
- Ayral
Re : Mots de passe stock en clair ??
Dans firefox il y a des choses semblables: tous les mots de passe pour accéder à des sites externes (sécu, impôts etc) sont stockés dans une sorte de "coffre fort", dans le quel un bouton "afficher les mots de passe " qui demande une confirmation avant de les afficher en clair. Ceci c'est par défaut. Mais il y a la possibilité de mettre un " mot de passe principal" pour fermer le coffre fort. Je n'ai plus Chromium je ne peux pas vérifier, mais ce doit être du même genre.
Pour mettre les retours de commande entre deux balises code, les explications sont là : https://forum.ubuntu-fr.org/viewtopic.php?id=1614731
Blog d'un retraité
Site de graphisme du fiston Loïc
Ubuntu 22.04 LTS sur un Thinkpad W540
En ligne
#3 Le 04/11/2012, à 20:42
- tiramiseb
Re : Mots de passe stock en clair ??
Les mots de passe dans le trousseau ne sont pas stockés en clair. Simplement, lorsque l'on déverrouille le trousseau (que ce soit pour Chromium ou pour une autre application), alors tous les mots de passe sont lisibles. Si ce n'était pas le cas, alors le mot de passe du troussera serait demandé à chaque fois qu'il y a besoin d'un des mots de passe qui y sont contenus : c'est tout le contraire de l'objectif du trousseau.
Chromium utilisant le trousseau de GNOME (GNOME Keyring), tous les mots de passe contenus dans ce trousseau sont lisibles.
Donc en effet, c'est une raison de plus pour verrouiller son poste quand on s'en éloigne !
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#4 Le 09/11/2012, à 11:10
- Actaric
Re : Mots de passe stock en clair ??
Merci de vos réponses, je crois que j'ai compris.
Cependant chrome déverrouille tous le trousseau pour se connecter 1 fois à ma messagerie et rien que pour ça, tout le trousseau est déverrouillé, et surtout, reste déverrouillé. J'aurai pensé qu'il se reverrouillait tout seul au bout d'un truc comme une minute.
Hors ligne
#5 Le 09/11/2012, à 11:27
- tiramiseb
Re : Mots de passe stock en clair ??
Si ça verrouillait toutes les minutes ça redemanderait le mot de passe à la moindre occasion...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1