Chromium pyytää avainnippu varmennusta käynnistäessä [Ratkaistu]

[serola]

Käytössä Ubuntu 16.04 kotikoneella. Asensin Ubuntu Sovellusvalikoiman kautta Chromium selaimen. Nyt Chromium vaatii avainnippuvarmennusta aina, kun selaimen avaa ensimmäisen kerran koneen käynnistämisen jälkeen.

Olen lukenut erinnäisiä ohjeita, suomeksi ja englanniksi, ja ainakaan 'Sisäänkirjautuminen' ja/tai 'Oletusavainnippu' -avainnippujen poistaminen tai salasanan vaihto ei auta. Lisäksi en niele ohjetta salasanan määrittelemättä jättämistä, sillä se ei ole mielestäni hyvä vaihtoehto.

Olen myös lukenut samaa aihetta sivuavat postit, missä tämän sanotaan olevan turvallisuuden kannalta tarkoituksenmukaista, että koneen käynnistyksen jälkeen selainsovelluksen istunto varmennetaan. Mutta kun se ei todella olisi tarpeen kotikoneella.

Firefox ja mikään muu asennuksen mukana tullut sovellus ei varmennusta samassa tilanteessa kysele. En siis ymmärrä, miksi nyt tämän Chromium sovelluksen kohdalla tilanne on eri kuin esim. Firefox selaimen kanssa.

[repalus]

http://linuxmint-fi.info/wp-content/uploads/2016/10/Avainnipun-kysely.png  tolla siitä selviää

[JaniAlander]

Tuo on hyvä kysymys, itselläni Chrome vitisee läppärissä tuosta. Mutta omalla kohdalla tiedän syyn siihen. Läppäriin kirjaudun sormenjäljellä en salasanaa naputtamalla. Jos salasanan naputtaa se ei sitä oletusavainnipun salasanaa kysy.

[raimo]

Tuo on hyvä kysymys, itselläni Chrome vitisee läppärissä tuosta. Mutta omalla kohdalla tiedän syyn siihen. Läppäriin kirjaudun sormenjäljellä en salasanaa naputtamalla. Jos salasanan naputtaa se ei sitä oletusavainnipun salasanaa kysy.

Hämärä muistikuva kertoilee että kannattaa kokeilla avainipun salasanaksi samaa sanaa joka on kirjautumissalasanana.

[JaniAlander]

Juu itselläni toimii moinen käytäntö.

[repalus]

http://linuxmint-fi.info/avainnipun-kysely/      toimiskohan toi nyt

[JaniAlander]

No niin virheellinen linkki (siinä alkuperäisessä vastauksessasi), poistankin sen huomautuksen

[serola]

http://linuxmint-fi.info/avainnipun-kysely/      toimiskohan toi nyt

Kiitos repalus, ja anteeksi aiemman vastauksen "ilmianto", kun luulin pelkän avainnipun kuvan postausta pilaksi. Alkaa huumori loppumaan, kun olen hakenut ratkaisua ongelmaan kissojen ja koirien kera.

Muutama tarkennus ja jatkokysymys kaikille:

Seahorse on jo asennettuna Ubuntu 16.04:ssä, joten se osuus ei aiheuta ongelmaa. Mutta jos kirjautumisen (login) salasanan määrittää tyhjäksi, niin eikö se vaaranna koko koneen turvallisuuden? Kuten aiemmin sanoin, on kyseessä kotikone, mutta eihän kirjautumissalasanan "tyhjäksi jättäminen" vain riskeeraa esimerkiksi asennusten turvallisuutta? Kysyyhän järjestelmä kuitenkin edelleen varmennusta esimerkiksi uusia ohjelmia asennettaessa?

Löysin itse myös jonkinlaisen selityksen tilanteelle, ja mahdollisen ratkaisunkin, mutta nuo menee silti vielä yli ymmärryksen:
https://unix.stackexchange.com/questions/324843/chrome-harasses-me-for-a-keychain-password-at-startup

Tuolla neuvottiin vaihtoehtona muuttamaan Chromiumin asetuksia, ja pakottamaan pekästään selain "turvattomaksi":

Koodia: [Valitse]

#!/bin/bash
/usr/bin/chromium-browser --password-store=basic "$@"
Mutta miten tuo tapahtuu käytännössä, on minulle siis epäselvää. Koneellani on jo tiedosto 'chromium-browser' ko kansiossa, eli minne tuo komento pitäisi sitten laittaa ja miten?

[Eesaurus]

Seahorse on jo asennettuna Ubuntu 16.04:ssä, joten se osuus ei aiheuta ongelmaa. Mutta jos kirjautumisen (login) salasanan määrittää tyhjäksi, niin eikö se vaaranna koko koneen turvallisuuden? Kuten aiemmin sanoin, on kyseessä kotikone, mutta eihän kirjautumissalasanan "tyhjäksi jättäminen" vain riskeeraa esimerkiksi asennusten turvallisuutta? Kysyyhän järjestelmä kuitenkin edelleen varmennusta esimerkiksi uusia ohjelmia asennettaessa?

Jos teet tuon, niin salasanat tallentuvat ymmärtääkseni salaamattomina, muuten kaikki säilyy ennallaan. Kotikäytössä omassa käytössä olevassa koneessa tuo on minusta aika pieni tietoturvariski, itse teen kyseisen operaation ihan rutiininomaisesti, jos ohjelman käynnistäminen alkaa salasanaa kysellä.

Ja se salasanan kysely tulee siis, jos on käytössä automaattinen kirjautuminen koneen käynnistyessä. 

[Tomin]

Jos teet tuon, niin salasanat tallentuvat ymmärtääkseni salaamattomina, muuten kaikki säilyy ennallaan. Kotikäytössä omassa käytössä olevassa koneessa tuo on minusta aika pieni tietoturvariski, itse teen kyseisen operaation ihan rutiininomaisesti, jos ohjelman käynnistäminen alkaa salasanaa kysellä.

Ja se salasanan kysely tulee siis, jos on käytössä automaattinen kirjautuminen koneen käynnistyessä.

Juurikin näin. Tavallisesti salasanan kanssa kirjautuessa tuo "nippu" voidaan suojata käyttäjän salasanalla, mutta jos kirjaudutaan automaattisesti, ei ole mitään, millä varmentaa, että käyttäjä on se kuka on ja myöskään nipun salausta ei ole voitu purkaa ilman salasanaa. Siksi salasanaa kysytään tätä nippua käytettäessä. Jos tästä salasananipusta otetaan salasana pois, sen tietoja voidaan käyttää ilman salasanaa, mikäli joku pääsee sen lukemaan. Käytännössä tämä vaatii fyysisen pääsyn koneelle, mikäli siellä ei ole asennettuna jotain takaporttia (ts. haitallinen ohjelma tai vaikka turvattomasti asennettu SSH-palvelin). Näitä ei ole normaalisti.

Firefox ei käytä järjestelmän avainnippua vaan tallettaa salasanat omaan säilöönsä, jossa ei oletuksena ole salasanaa eikä sitä ole siis myöskään suojattu (ks. pääsalasana Firefoxin asetuksista). Tosin Firefoxiinkin on lisäosa, jolla sen saa tallettamaan salasanat järjestelmän avainnippuun. Chrome/Chromium taas käyttää järjestelmän avainnippua, jolloin se voidaan aukaista kirjautuessa sisään käyttäjän sitä sen kummemmin huomaamatta, jos kirjautumisessa käytetään salasanaa. Periaatteessa aina, kun käyttäjä on kirjautunut koneelle, ohjelmat voivat käyttää avainnippua ja salasanat ovat jossain määrin näkyvillä, mutta kun kone on esimerkiksi sammutettuna, salasanat ovat turvassa esimerkiksi siltä varalta, että kone varastetaan.

Aina voi tietysti miettiä, mitä salasanoja koneelle kannattaa yleensäkään tallettaa ja kuinka työlästä ne on vaihtaa, mikäli ne joutuvat hukuksiin. On hyödyllistä pitää kirjaa siitä, missä palveluissa on tunnuksia, jotta salasanat pääsee vaihtamaan tarvittaessa (tai sulkemaan tunnuksen, jos se on osoittautunut täysin joutavaksi). Itse en säilyttäisi tietokoneella mitään erityisen tärkeitä salasanoja, kuten pankkitunnuksia (olkoonkin, että se vaatii kaksivaiheisen tunnistautumisen avainliuskan muodossa) ja sähköpostin salasanankin kanssa olisin varovainen.

[serola]

Kiitos kaikille neuvoista. Julistan tämän nyt omasta puolestani ratkaistuksi, vaikka Chromiumin osalta tätä voisi toki jotenkin tulevaisuudessa helpottaa. Aiheesta löytyy kosolti keskustelua englanniksi.

Koska kyseessä on tosiaan kotikone, enkä missään tapauksessa koskaan esimerkiksi tallenna koneelle pankkitunnuksia, niin uskaltaudun "tyhjän salasanan" ratkaisuun.