msmtp和smtp帐户密码 - 如何进行模糊处理

Question

我使用我的Gmail帐户配置了msmtp。 我显然想避免在配置文件中以纯文本格式编写密码。 幸运的是，msmtp提供了passwordeval选项，可以用来从可执行文件的输出中获取密码。

问题是：我应该如何使用它？

我发现here以下建议： passwordeval gpg -d /some/path/to/.msmtp.password.gpg

这对我来说没有多大意义：如果有人能够访问我的配置文件，他肯定会设法运行这样的命令并从gpg获取密码。

所以我相信我留下了在二进制可执行文件中混淆密码的唯一选择，即使我几乎到处都读到这是坏的！

我不可能实现的是：如果sendmail进程正在运行输出正确的传递，否则给出假传递。

你的建议？ 其他（更安全）技巧不同于将传递存储在二进制文件中？

Answer 1

没有关于如何使用

约束保存凭据的标准解决方案

• 以后必须以纯文本格式使用凭据
• 以无人值守的方式
• 在一个不完全由你控制的系统上（如果你只是对持有秘密的文件设置适当的权利）

你有几个解决方案，没有一个能完全解决你的问题：

• 以对称方式加密您的凭据：您需要输入密钥才能解密它们
• 以非对称方式加密：您需要提供私钥，该私钥必须存储在某处（无人值守的方法）或键入
• obfuscate：正如你所提到的，这只能保护一些人口
• get it from somewhere else - 您需要确定您的系统方式

您需要考虑哪些风险可以接受并从那里开始。

Answer 2

来自Sukima的评论：

  

gpg -d工作原因是因为它需要文件加密的人的私钥。因此，只需将该加密文件放在公共场所，它仍然是加密的，只有一个人（具有密钥的人）可以对其进行解密。假设密钥被锁定在用户的机器上而不会泄露。它还假设他们没有设置任何缓存解锁密码的代理，而黑客可以直接访问同一台机器。在99％的攻击中，所有这些都是极不可能的。