t3h*_*mun 10 security online-accounts
与任何需要我的密码的东西一样,我想知道使用 gnome-online-accounts [goa] 功能的安全性(以及如何利用它)。我只对其中的 Google 部分感兴趣,因为这是目前可用的全部内容。
我想了解它是否以任何方式存储我的密码 - 我觉得它使用某种令牌身份验证,但我不明白这一点。是否可以通过 goa 从我的计算机中窃取密码(或类似密码?)?
我发现的所有文档对于普通人来说都太复杂了。
简短回答:如果您使用 Twitter、Facebook 和 Google 帐户,并且您面对的登录页面看起来是这些服务的本机(例如,Facebook 风格的登录框而不是 GNOME 风格的登录框),那么您可能可以信任 goa . 编辑:但是,请始终假设您的帐户已被盗用。果阿可能不是在最薄弱的环节,但你已经在项链上得到了更多的链接,越有可能是它的一个将是微弱的。始终谨慎对待您的数据。
长答案:根据您使用的服务,它使用“令牌身份验证”(参见http://en.wikipedia.org/wiki/OAuth)或明文密码。例如 Twitter 的最坏情况是有人使用您的帐户发送垃圾邮件,但他们将无法访问敏感数据(但是,如果您将密码存储在 Chrome/Firefox 中 - 那是完全不同的事情)并且“黑客”不能窃取您的密码或更改密码。您可以进入安全设置(在 Twitter 上),然后删除您的 goa 的 OAuth 令牌。
这对于不同的服务是不同的。在Google(和Facebook)上,如果您担心自己的隐私,可以指定特定于应用程序的密码。如果这些密码被盗,您可以删除它们。
归根结底,除非您实际上针对的是运行 GNOME 的特定人员,否则利用 goa 可能没有那么有价值,因为大多数人(我敢说)将他们的密码存储在 Firefox/IE/Chrome 中,这两者都应该变得不那么安全和更常见——就像告诉孩子不要从打开的糖果罐里偷糖果,然后出去购物一个小时。
如果您担心 goa,您应该始终在关闭浏览器时重置浏览器中的浏览历史记录(和 cookie 等),并且不要运行任何非官方 Facebook 应用程序等。