My WebMoney Linux хранит пароль в открытом виде

Question

[IgorV]

Это не вопрос, а предостережение.
Поставил недавно «My WebMoney» под Linux и обнаружил, что пароль для доступа к программе хранится в открытом виде в «~/.weblaf/wmd.security.xml». А пароль я поставил такой же как для доступа к аккаунту (для удобства) и стало мне от такого открытия немного не по себе.
Ну, а раз уж в Q/A, то вопрос такой: неужели это считается нормальным и так и положено?

Answer 1

[nochkin]

Возможно, идёт рассчёт на то, что права доступа на файл должны быть только у владельца аккаунта (например, права 0400 или 0600).
Многие системы так хранят пароли. Ведь файл нельзя прочитать извне стандартными методами кому-то другому.

А иначе даже зашифрованный пароль можно расшифровать, ведь ключ надо будет хранить на той же машине в бинарнике webmoney. То есть, ключ потенциально можно извлечь и тогда шифрованность пароля сильной разницы не будет делать.

Comments

[nochkin]

Доступ будет вне зависимости от того, зашифрованы пароли или нет. У автора вопрос не в том, что пароли сохранены, а в том, что они сохранены в чистом виде.

[IgorV]

А права доступа 664 ко всему в этом каталоге

Answer 2

[Пума Тайланд]

считается не нормальным ставить одинаковые пароли, ищите проблему в голове.

Comments

[IgorV]

Может оно и так, да только и без того куча паролей в голове, что б ещё один запоминать для того же вроде сервиса.

[Gendalph]

@IgorV для этого есть менеджеры паролей вроде KeePass и LastPass

Answer 3

[merlin-vrn]

Как вы себе представляете автологин, если пароль хранится в компьютере зашифрованным? Ну то есть, либо вам как в ssh его каждый раз самому расшифровывать (а зачем тогда было сохранять?), либо — он хранится в открытом (ну или обратимо зашифрованном) виде. Во втором случае — можно не расшифровывать, скопировать профиль на другой комп, он и подхватится.

Пример вам — скайп. Я не знаю, как он там хранит зашифрованные пароли, но я беру профиль, копирую — работает. Значит, сохранённый пароль скайп способен расшифровать и использовать без моего участия, значит, и из него можно пароль спереть. И из файрфокса можно. И вообще так работает любая программа с галочкой «запомнить пароль».

Comments

[rozhik]

Элементарно. Зачем хранить пароль - если можно хранить токен авторизации ? Всётаки огромная разница в безопасности между хранением открытого пароля и всего лишь токена. Который конечно позволит войти без пароля, но это не одно и тоже. Скайп, к стати хранит хэш и токен.

Answer 4

[rozhik]

Нет, это не нормально. Защиты на уровне доступа к файлу не достаточно. Ведь дырок в софте, которое возможно используется у человека хватает (только у firefox + flash болье десятка э ксплоитов для получения локального файла, было за последние пар лет)
SSH к примеру может шифровать ключи фразой. Некоторые клиенты хранят у себя хэш пароля и токен или ключ авторизации от сервера (чтобы не заставлять пользователя вводить пароль). Или другие подходы.

Comments

[nochkin]

Если софт дырявый, то он может весь xml файл с зашифрованным паролем угнать, а потом этот xml файл можно так же успешно использовать создав такой же аккаунт на машине злоумышленника. Никакой защиты шифрование не даст в этом случае.

SSH может шифровать ключ фразой, верно. В данном случае это равносильно интерактивному вводу пароля (это можно только keylogger'ом перехватить или типа того), а тут автор хочет защитить пароль, который изначально сохранён локально.

Answer 5

[IgorV]

Вы меня не правильно поняли. Это пароль не для автологина, а для запуска программы. Просто я его сделал таким же как и для логина на вебмани, что б не запоминать ещё один пароль. И полагал, что в таком случае он будет просто хранить хэш от пароля.