msmtp和smtp帐户密码-如何混淆

Question

我用我的gmail帐户配置了msmtp。显然，我希望避免在配置文件中以明文格式编写密码。幸运的是，足够多的msmtp提供了选项passwordeval，它可以用于从可执行文件的输出中获取密码。

问题是:我该如何使用它？

我找到了这里的以下建议：passwordeval gpg -d /some/path/to/.msmtp.password.gpg

这对我来说没有多大意义:如果有人能够访问我的配置文件，他肯定会运行这样的命令，并从gpg获得密码。

因此，我相信我只剩下在二进制可执行文件中混淆密码的唯一选项了，即使我几乎在任何地方都看到，这是坏的！

我不可能破解的实现是:如果sendmail进程正在运行正确的pass输出，否则就会给出一个假的pass。

你的建议？其他(更安全的)技巧与在二进制文件中存储pass不同？

Answer 1

的约束下如何保存凭据的标准解决方案。

• 以后必须在纯文本中使用凭据
• 以无人看管的方式
• 在一个不完全由你控制的系统上(如果是的话，你只是对保存秘密的文件设置了适当的权限)。

你有几个解决方案，但没有一个能完美地解决你的问题：

• 以对称的方式加密凭据:您需要输入密钥才能解密它们。
• 以一种不对称的方式加密:您需要提供您的私钥，它必须存储在某个地方(无人值守的方法)或输入
• 模糊:正如你所提到的，这只会保护一些人群。
• 从别的地方弄来 -您需要确定系统的某种方式

你需要考虑哪些风险是可以接受的，并从那里开始。

Answer 2

来自苏岛的评论：

gpg -d之所以工作，是因为它需要对文件进行加密的人的私钥。因此，只要将加密的文件公开，它仍然是加密的，只有一个人(拥有秘密密钥的人)可以解密它。假定秘密密钥被锁在用户的机器上，而不是泄漏。它还假设它们没有设置任何代理来缓存解锁密码，而黑客可以直接访问同一台计算机。在99%的攻击中，所有这些都是极不可能的。