Bug oder Feature?

Gnome zeigt Passwörter im Klartext

Gnome zeigt Passwörter im Klartext

Kristian Kißling
02.11.2009 In den Ubuntu-Foren wird zur Zeit diskutiert, ob es in Gnome eine Sicherheitslücke gibt. Konkret geht es darum, dass Gnome angemeldeten Benutzern die im Keyring gespeicherten Passwörter im Klartext anzeigt. Kein Bug, sondern das Security-Konzept der Keyrings, sagen Verteidiger.

In dem Thread, der die Diskussion startete, beschreibt der Entdecker auch den Weg dorthin, der zum Beispiel unter Ubuntu 9.10 funktioniert. Der Anwender muss Ubuntu starten und sich auf dem Desktop anmelden. Über Anwendungen | Zubehör | Passwörter und Verschlüsselung gelangt man dann in den Keyring-Manager. Unter Login listet die Anwendung die einzelnen Vorgänge und Programme auf, deren Passwörter es kennt (dazu gehören WLAN-Zugänge und Mail-Accounts).

Klickt man nun mit der rechten Maustaste auf einen Eintrag und wählt Eigenschaften aus dem Kontextmenü, gelangt man zum Reiter Schlüssel. Wählt man hier Passwort, erscheint eine Anfrage, ob man diese Aktion gewähren will. Nach der Bejahung erscheint verdeckt das Passwort. Nun fehlt nur noch ein Häkchen bei Passwort zeigen, um es im Klartext zu betrachten. So weit so einfach.

Kritiker dieser Offenheit stellen sich nun ein Szenario vor, nach dem ein Profileigner im Büro mehrere Personen unter seinem Account arbeiten lässt. Wenn er seinen Rechner im heimischen WLAN verwendet, will er jedoch darauf vertrauen, dass sein Passwort sicher ist. Sie schlagen daher vor, den Zugriff auf die Passwortansicht noch einmal durch das Nutzerpasswort zu schützen. So müssten Gäste das Passwort des Profileigners kennen, um die anderen Passworte im Klartext zu sehen. Zur Zeit, so ein Argument, sei es auch Nutzern ohne jedes Computerwissen möglich, die Passwörter auszuspionieren. So eine Passwortsperre würde 99% der Versuche verhindern.

Verteidiger der Keyrings-Strategie argumentieren indes, nur angemeldete User hätten die Möglichkeit, die Passworte einzusehen. Sie verweisen auf die Sicherheitsphilosophie der Keyrings von Gnome. Die fordert Benutzer auf, beim Verlassen des Rechners den Bildschirm zu sperren und für fremde Nutzer eine Gastsitzung zu eröffnen. Eine verbindliche Lösung für das Problem gibt es bisher noch nicht. Es wird aber fleißig diskutiert, unter anderem auf den Keyring-Mailinglisten.

Ähnliche Artikel

Kommentare
es ging auch schon unter 9.04
david (unangemeldet), Montag, 23. November 2009 16:11:21
Ein/Ausklappen

das beschriebene verfahren ging auch schon unter 9.04 und ich vermute auch unter 8.10.
als ich es das erste mal entdeckte habe dachte ich das sei ein schlechter scherz.
es gibt einen unterschied ob das system meine passwörter vorhält und damit automatisch mails holt, sich selbstständig ins wlan einloggt und sonstige dienste die eben aufgrund der benutzerfreundlichkeit automatisiert ablaufen sollten für mich erledigt oder ob es mir ohne jegliche sicherheitsabfrage diese passwörter auch noch anzeigt.

auch opera hält zb. einen eigenen schlüsselbund vor, hier ist es aber nicht möglich nachträglich die passwörter einzusehen. firefox ermöglicht zwar das passwort einzusehen aber eben nur mit erneuter abfrage des masterpasswortes.

das argument: sperr doch deinen bildschirm und benutze gastaccounts rührt aus einem derart krassen unverständnis der problematik. da frage ich mich warum ich überhaupt dagegen argumentieren soll.

aber hier ein beispiel: ich sperre meinen pc. eine person in meinem haushalt möchte etwas im netz nachschlagen kann den pc aber nicht benutzen da ich ihn ja gesperrt habe. eine gastsitzung kann aufgrund der mangelnden rechte nicht initialisiert werden, geschweige denn dass eine anmeldung eines anderen benutzers möglich wäre.

also lasse ich meinen pc offen angemeldet. oder ich starte beim verlassen eine gastsitzung...soll ich ausführen warum hier für mich jegliche benutzerfreundlichkeit dahin ist????!

personen in meinem haushalt vertraue ich meinen pc gerne an. wenn sie sich in meine accounts einloggen würde ich das als vertrauensbruch sehen aber wenn diese die möglichkeit haben alle meine passwörter einzusehen. Das geht zu weit.

Wenn ich meinen tresor mit bargeld unverschlossen lasse und meinem freund sage, nimm mal 50 euro raus, die kann ich dir leihen, ist es eine sache, aber wenn in diesem tresor die schlüssel meiner anderen tresore alle offen rumliegen eine andere.

in diesem sinne - macht eine passwortabfrage vor das einsehen der passwörter und ruhe ist



Bewertung: 72 Punkte bei 5 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Ein paar Technische Details die im Artikel nicht erklärt werden.
Christian Berg, Dienstag, 03. November 2009 21:12:17
Ein/Ausklappen

Der Vorteil am Gnome-Keyring ist das die Passwörter nicht im Klartext abgespeichert werden.

Sie werden mit einem sicheren symmetrischen Verschlüsselungsverfahren abgespeichert. Früher musste das Passwort (aus dem der Schlüssel erzeugt wird) beim ersten Zugriff (was meist der NetworkManager war) selbst eingetippt werden.

Seit Gnome 2.24 gibt es ein PAM Modul welches das Login Passwort an den Keyring weitergibt. Sind beide Passwörter gleich wir der Keyring damit entsperrt. Das funktioniert aber nicht beim Auto-Login, da hier nie ein Passwort eingegeben wurde, hier muss der Keyring wieder selbst entsperrt werden.

Der Keyring ist eine GNOME Sache und in jedem Linux mit GNOME Desktop vorhanden. Die Architektur ist so aufgebaut das nur der Keyring-Daemon die Passwörter bei Bedarf entschlüsseln kann.

Damit eine Applikation auf ein Passwort zugreifen kann, muss diese um Erlaubnis beim Keyring-Daemon bitten. Dieser fragt über eine Dialogbox beim Anwender nach (Verweigern, Erlauben, Immer Erlauben), erst dann gibt er die Daten weiter. Jetzt aber im Klartext weil es anders irgendwie schwer geht.

Passwörter sind im Keyring also sehr gut gegen Trojaner & Co gesichert. Die Kritik gilt hier einer sehr nützliche Anwendung (Seahorse) mit welcher der Eigentümer eines Schlüsselbundes die gespeicherten Schlüssel verwalten/bearbeiten/löschen kann.
Auch hier fragt der Daemon für jeden einzelnen Schlüssel extra nach, ob "seahorse" auf dieses Passwort zugreifen darf.

Genau diese Applikation soll laut einigen Leuten mit einem Zusatz Passwort geschützt werden, dies macht jedoch keinen Sinn. Binnen 5 Minuten habe ich ein Python Script erstellt das auch ohne zusätzlichen Passwort den Keyring auslesen kann. Klar fragt der Daemon auch hier jedesmal um Erlaubnis, aber der Anwender hat ja seinen Bildschirm nicht gesperrt. :) Ich klick einfach auf "Immer Erlauben"

Wenn die Anwender Ihre Accounts und Passwörter an Fremde weitergeben, sich nicht abmelden wollen, oder den Bildschirm nicht sperren wollen, dann greifen solche Konzepte nicht. Eine Tresortüre sperrt eben erst dann, wenn man sie schließt.

Natürlich könnte man auch den Keyring zusätzlich mit einer Smartcard sichern, aber mal ehrlich: Wenn diese Leute, schon ihren Bildschirm nicht sperren wollen (ctrl+alt+l), würden die dann Ihre Cryptocard aus dem PC ziehen?


Bewertung: 40 Punkte bei 4 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Problem auch unter anderen Keyringverwaltungen
Ulf B., Montag, 02. November 2009 20:34:21
Ein/Ausklappen

Generell, kann z.B. auch unter KDE oder Mozilla die Daten zwar verschlüsselt speichern aber nach dem öffnen, zumindest für den aktuellen Benutzer, bleiben alle Daten offen bis der Schlüsselbund wieder geschlossen wird. Es gibt aber z.B. in KDE (kWalletmanager) eine reihe Optionen, dieses zu beeinflussen (beenden sobald nicht mehr benötigt, nach Timeout oder wenn Bildschirmschoner aktiv). Mann muss aber dann beim erneuten öffnen wieder seinen Schlüsselbund aufschließen.

Schlimm ist nur, das z.B. Ubuntu und teilweise auch andere Distributionen wie openSUSE per default gleich nur einen Benutzer anmelden und sich teilweise die Passwortabfrage übergehen lässt (Option "direkt anmelden"). Ansonsten ist gegen dagegen wenig einzuwenden.

OK, toll wäre eine erneute Passwort abfrage beim öffnen'der Einstellungen, da somit nur die angemeldete Anwendung auf Ihre Daten zugreifen könnte (zumindest ist das in KDE so geregelt).

Ciao
Ulf


Bewertung: 108 Punkte bei 5 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Verteidiger der Keyrings-Strategie
Helmutk (unangemeldet), Montag, 02. November 2009 14:42:08
Ein/Ausklappen

hallo Verteidiger.
Meine Strategie ist es jetzt: weg mit dem Schrott 9.10, der es ermöglicht meine Passworte zu sehen. Was ist das für eine absurde Sicherheitsphilosophie, die mich auffordert, beim Verlassen des Rechners, den Bildschirm zu sperren? Ich will nicht, daß es möglich ist meine Passworte irgendwie im Klartext zu sehen!!! Habs gerade probiert. Sogar mein geheimes, privates E-mail Konto ist einzusehen.
Seir Jahren arbeite ich mit Ubuntu, doch das hier gibt den Auschlagsich mit dem Gedanken anzufreunden W7 mal auszuprobieren. So teier ist das auch nicht!!!!!!!!!


Bewertung: 87 Punkte bei 10 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Verteidiger der Keyrings-Strategie
sam (unangemeldet), Montag, 02. November 2009 15:42:37
Ein/Ausklappen

hehe du bist lustig


Bewertung: 108 Punkte bei 5 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Verteidiger der Keyrings-Strategie
Kristian Kißling, Montag, 02. November 2009 16:06:11
Ein/Ausklappen

Gnome ist nicht gleich Ubuntu! Vermutlich funktioniert der Trick auch mit anderen Distributionen, die Gnome und die Keyrings einsetzen.

Ganz von der Hand zu weisen, ist das Sicherheitskonzept ja nicht, aber Passwörter sollte man einfach - Konzept hin oder her - nicht im Klartext irgendwo ablegen. Zumal das Konzept die alltägliche Praxis ausblendet, wenn sie davon ausgeht, dass man a) IMMER die Bildschirmsperre aktiviert b) und IMMER den Gast-Account verwendet.

Ja, einige User halten sich womöglich hin und wieder (oder auch stets) nicht an das Sicherheitskonzept und regen sich dennoch auf, wenn die Passwörter gestohlen werden.


Bewertung: 110 Punkte bei 8 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
Re: Verteidiger der Keyrings-Strategie
Christian Berg, Dienstag, 03. November 2009 17:06:27
Ein/Ausklappen

Dem kann ich nur zustimmen, was ist das nur für eine Sicherheit?

Zuerst speichert man alle seine Passwörter, Bankkonten, (sehr persönlichen) Fotos und Briefe auf dem PC und anschließend ärgert man sich darüber das jeder, dem man seinen PC mit seinen Zugangsdaten überlässt sich das ansehen kann.

Das man jeder Anwendung den Zugriff auf den Keyring verweigern könnte, und die Passwörter nicht speichern muss, ist ja in dieser Diskussion hinfällig. Die Betroffenen sind ja sowie dumm genug IHREN Account offen zu lassen und die Zugangsdaten an alle Bekannten, Verwandten und Arbeitskollegen weiter zu geben.

Personen mit solch einen Grad an Sicherheitsverständnis sollte man den PC wieder wegnehmen, vor den Taschenrechner setzen und eine Position in der Firma verschaffen wo sie sehr weit weg von Beriebsgeheimissen sind. Dieses Problem kann nur auf sozialer Ebene gelöst werden, jede Technik ist hier zum scheitern verurteilt.


Bewertung: 71 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Verteidiger der Keyrings-Strategie
Kristian (unangemeldet), Mittwoch, 04. November 2009 09:45:58
Ein/Ausklappen

Die einfachste Lösung ist es immer, dem User die Schuld zuzuschieben. Wer ein wirklich sicheres System programmieren will, das alle Menschen benutzen sollen, muss eben auch an alle potenziellen Sicherheitslücken denken, und zwar gerade an die, die vor dem Rechner sitzen.

Während Du User hier als "dumm" bezeichnest, weil sie ihren Account offen lassen, traust Du ihren Kollegen und Bekannten in Deinem Post oben aber zu, in fünf Minuten ein Python-Script zu schreiben, dass die Passwörter trotz des Passwortschutzes ausliest. Ich denke, so ein Schutz würde nicht viel kosten und tatsächlich die Mehrheit der Späher ausschließen.

Und das letzte Argument, solche Leute dürften nicht vor einem Computer sitzen, ist elitär. Wenn Linux weiter wachsen will, muss es gerade diese Menschen ohne Computerverständnis berücksichtigen.


Bewertung: 68 Punkte bei 6 Stimmen.
Den Beitrag bewerten: Gut / Schlecht
-
Re: Verteidiger der Keyrings-Strategie
Christian Berg, Mittwoch, 04. November 2009 20:52:32
Ein/Ausklappen

Eigentlich brauch ich es nicht mehr schreiben. Das gibt es schon:
http://michael.susens-schur...words-stored-in-gnome-keyring/

Da die Antwort auf diese Fragen sehr lange ist, Hab ich es so gelöst:
http://www.linux-community....Mein-Passwort-gehoert-nur-mir!

Man könnte dem Anwender natürlich auch einfach Sicherheit vorgaukeln.


Bewertung: 72 Punkte bei 5 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

2635 Hits
Wertung: 176 Punkte (7 Stimmen)

Schlecht Gut

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...