Bug oder Feature?
 "Gnome zeigt Passwörter im Klartext")
Gnome zeigt Passwörter im Klartext
02.11.2009
In den Ubuntu-Foren wird zur Zeit diskutiert, ob es in Gnome eine Sicherheitslücke gibt. Konkret geht es darum, dass Gnome angemeldeten Benutzern die im Keyring gespeicherten Passwörter im Klartext anzeigt. Kein Bug, sondern das Security-Konzept der Keyrings, sagen Verteidiger.
In dem Thread, der die Diskussion startete, beschreibt der Entdecker auch den Weg dorthin, der zum Beispiel unter Ubuntu 9.10 funktioniert. Der Anwender muss Ubuntu starten und sich auf dem Desktop anmelden. Über Anwendungen | Zubehör | Passwörter und Verschlüsselung gelangt man dann in den Keyring-Manager. Unter Login listet die Anwendung die einzelnen Vorgänge und Programme auf, deren Passwörter es kennt (dazu gehören WLAN-Zugänge und Mail-Accounts).
Klickt man nun mit der rechten Maustaste auf einen Eintrag und wählt Eigenschaften aus dem Kontextmenü, gelangt man zum Reiter Schlüssel. Wählt man hier Passwort, erscheint eine Anfrage, ob man diese Aktion gewähren will. Nach der Bejahung erscheint verdeckt das Passwort. Nun fehlt nur noch ein Häkchen bei Passwort zeigen, um es im Klartext zu betrachten. So weit so einfach.
Kritiker dieser Offenheit stellen sich nun ein Szenario vor, nach dem ein Profileigner im Büro mehrere Personen unter seinem Account arbeiten lässt. Wenn er seinen Rechner im heimischen WLAN verwendet, will er jedoch darauf vertrauen, dass sein Passwort sicher ist. Sie schlagen daher vor, den Zugriff auf die Passwortansicht noch einmal durch das Nutzerpasswort zu schützen. So müssten Gäste das Passwort des Profileigners kennen, um die anderen Passworte im Klartext zu sehen. Zur Zeit, so ein Argument, sei es auch Nutzern ohne jedes Computerwissen möglich, die Passwörter auszuspionieren. So eine Passwortsperre würde 99% der Versuche verhindern.
Verteidiger der Keyrings-Strategie argumentieren indes, nur angemeldete User hätten die Möglichkeit, die Passworte einzusehen. Sie verweisen auf die Sicherheitsphilosophie der Keyrings von Gnome. Die fordert Benutzer auf, beim Verlassen des Rechners den Bildschirm zu sperren und für fremde Nutzer eine Gastsitzung zu eröffnen. Eine verbindliche Lösung für das Problem gibt es bisher noch nicht. Es wird aber fleißig diskutiert, unter anderem auf den Keyring-Mailinglisten.
Einem Freund empfehlen
das beschriebene verfahren ging auch schon unter 9.04 und ich vermute auch unter 8.10. als ich es das erste mal entdeckte habe dachte ich das sei ein schlechter scherz. es gibt einen unterschied ob das system meine passwörter vorhält und damit automatisch mails holt, sich selbstständig ins wlan einloggt und sonstige dienste die eben aufgrund der benutzerfreundlichkeit automatisiert ablaufen sollten für mich erledigt oder ob es mir ohne jegliche sicherheitsabfrage diese passwörter auch noch anzeigt. auch opera hält zb. einen eigenen schlüsselbund vor, hier ist es aber nicht möglich nachträglich die passwörter einzusehen. firefox ermöglicht zwar das passwort einzusehen aber eben nur mit erneuter abfrage des masterpasswortes. das argument: sperr doch deinen bildschirm und benutze gastaccounts rührt aus einem derart krassen unverständnis der problematik. da frage ich mich warum ich überhaupt dagegen argumentieren soll. aber hier ein beispiel: ich sperre meinen pc. eine person in meinem haushalt möchte etwas im netz nachschlagen kann den pc aber nicht benutzen da ich ihn ja gesperrt habe. eine gastsitzung kann aufgrund der mangelnden rechte nicht initialisiert werden, geschweige denn dass eine anmeldung eines anderen benutzers möglich wäre. also lasse ich meinen pc offen angemeldet. oder ich starte beim verlassen eine gastsitzung...soll ich ausführen warum hier für mich jegliche benutzerfreundlichkeit dahin ist????! personen in meinem haushalt vertraue ich meinen pc gerne an. wenn sie sich in meine accounts einloggen würde ich das als vertrauensbruch sehen aber wenn diese die möglichkeit haben alle meine passwörter einzusehen. Das geht zu weit. Wenn ich meinen tresor mit bargeld unverschlossen lasse und meinem freund sage, nimm mal 50 euro raus, die kann ich dir leihen, ist es eine sache, aber wenn in diesem tresor die schlüssel meiner anderen tresore alle offen rumliegen eine andere. in diesem sinne - macht eine passwortabfrage vor das einsehen der passwörter und ruhe ist | |||||||||||||||||||||||||||||||||
Der Vorteil am Gnome-Keyring ist das die Passwörter nicht im Klartext abgespeichert werden. Sie werden mit einem sicheren symmetrischen Verschlüsselungsverfahren abgespeichert. Früher musste das Passwort (aus dem der Schlüssel erzeugt wird) beim ersten Zugriff (was meist der NetworkManager war) selbst eingetippt werden. Seit Gnome 2.24 gibt es ein PAM Modul welches das Login Passwort an den Keyring weitergibt. Sind beide Passwörter gleich wir der Keyring damit entsperrt. Das funktioniert aber nicht beim Auto-Login, da hier nie ein Passwort eingegeben wurde, hier muss der Keyring wieder selbst entsperrt werden. Der Keyring ist eine GNOME Sache und in jedem Linux mit GNOME Desktop vorhanden. Die Architektur ist so aufgebaut das nur der Keyring-Daemon die Passwörter bei Bedarf entschlüsseln kann. Damit eine Applikation auf ein Passwort zugreifen kann, muss diese um Erlaubnis beim Keyring-Daemon bitten. Dieser fragt über eine Dialogbox beim Anwender nach (Verweigern, Erlauben, Immer Erlauben), erst dann gibt er die Daten weiter. Jetzt aber im Klartext weil es anders irgendwie schwer geht. Passwörter sind im Keyring also sehr gut gegen Trojaner & Co gesichert. Die Kritik gilt hier einer sehr nützliche Anwendung (Seahorse) mit welcher der Eigentümer eines Schlüsselbundes die gespeicherten Schlüssel verwalten/bearbeiten/löschen kann. Auch hier fragt der Daemon für jeden einzelnen Schlüssel extra nach, ob "seahorse" auf dieses Passwort zugreifen darf. Genau diese Applikation soll laut einigen Leuten mit einem Zusatz Passwort geschützt werden, dies macht jedoch keinen Sinn. Binnen 5 Minuten habe ich ein Python Script erstellt das auch ohne zusätzlichen Passwort den Keyring auslesen kann. Klar fragt der Daemon auch hier jedesmal um Erlaubnis, aber der Anwender hat ja seinen Bildschirm nicht gesperrt. :) Ich klick einfach auf "Immer Erlauben" Wenn die Anwender Ihre Accounts und Passwörter an Fremde weitergeben, sich nicht abmelden wollen, oder den Bildschirm nicht sperren wollen, dann greifen solche Konzepte nicht. Eine Tresortüre sperrt eben erst dann, wenn man sie schließt. Natürlich könnte man auch den Keyring zusätzlich mit einer Smartcard sichern, aber mal ehrlich: Wenn diese Leute, schon ihren Bildschirm nicht sperren wollen (ctrl+alt+l), würden die dann Ihre Cryptocard aus dem PC ziehen? | |||||||||||||||||||||||||||||||||
Generell, kann z.B. auch unter KDE oder Mozilla die Daten zwar verschlüsselt speichern aber nach dem öffnen, zumindest für den aktuellen Benutzer, bleiben alle Daten offen bis der Schlüsselbund wieder geschlossen wird. Es gibt aber z.B. in KDE (kWalletmanager) eine reihe Optionen, dieses zu beeinflussen (beenden sobald nicht mehr benötigt, nach Timeout oder wenn Bildschirmschoner aktiv). Mann muss aber dann beim erneuten öffnen wieder seinen Schlüsselbund aufschließen. Schlimm ist nur, das z.B. Ubuntu und teilweise auch andere Distributionen wie openSUSE per default gleich nur einen Benutzer anmelden und sich teilweise die Passwortabfrage übergehen lässt (Option "direkt anmelden"). Ansonsten ist gegen dagegen wenig einzuwenden. OK, toll wäre eine erneute Passwort abfrage beim öffnen'der Einstellungen, da somit nur die angemeldete Anwendung auf Ihre Daten zugreifen könnte (zumindest ist das in KDE so geregelt). Ciao Ulf | |||||||||||||||||||||||||||||||||
|
