标签 密码 下的文章

1 就连 Linus Torvalds 都觉得电子邮件补丁模式需要改变

虽然 Linus Torvalds 是 Git 的发明人,但他一直不喜欢 GitHub 这样的服务,以至于 Linux 内核虽然在 GitHub 上存放了仓库,但是也只是一个只读镜像库。Linux 内核的开发三十年来一直采用的是古老的基于电子邮件的工作流,所有的贡献者和维护者都通过电子邮件提交补丁、审核补丁,反复修改和讨论补丁。在 2023 维护者峰会的一次会议上,诸多内核维护者们讨论了维护者压力过大的问题。其中,Linus Torvalds 说到,真正需要的是找到摆脱电子邮件补丁模式的方法,因为这种模式已经行不通了。尽管他是一个“老派的电子邮件人”,但他现在也有这种感觉。

(插图:DA/dd559cda-c979-4262-8732-3b342c3a2adf)

消息来源:LWN
老王点评:Linux 从最初一个挑战复杂庞大的 Unix 操作系统的业余项目,已经变成了全球最大的软件项目,成为了新的巨龙。现在就看 Linux 自我革新的能力如何了。

2 Windows 11 开始移除写字板

微软已经开始从 Windows 中删除写字板,并在 2024 年的第一个金丝雀版本中移除了该编辑器。从 Windows 11 的 26020 版本开始,干净安装将不安装写字板。在未公开的情况下,该应用将在升级时移除。写字板是夹在记事本和 Word 中间的一个奇怪产品,微软建议用户使用 Word 来替代它打开 RTF 文件。

(插图:DA/2bbeaf3d-8c9e-496e-8b9f-ac5768a29883)

消息来源:The Register
老王点评:真的还有人用写字板吗?

3 电信运营商使用一个弱得离谱的密码管理全球路由表

西班牙第二大移动运营商 Orange Espana 周三遭遇重大故障,原因是一个不明身份的人获取了一个 “弱得离谱” 的密码,并用它访问了一个管理全球路由表的账户,该路由表控制着哪些网络可以传输该公司的互联网流量。攻击者使用密码 “ripeadmin” 登录了 Orange 的 RIPE NCC 账户。RIPE 网络协调中心是五个地区互联网注册机构之一,负责管理和分配 IP 地址给互联网服务提供商、电信组织和管理自己网络基础设施的公司。RIPE 为欧洲、中东和中亚的 75 个国家提供服务。

(插图:DA/e331a438-6251-46d3-a12a-849a121df509)

消息来源:Ars Technica
老王点评:首先,这个问题最大的责任应该是 RIPE 的,居然可以放任这样差的安全实践。其实才是这些偷懒的运营商。

使用一些顶级开源密码管理器,确保你的登录凭证安全无虞。

密码管理器是一项非常有用的实用程序。在你想寻找一个合适的密码管理器时,有着丰富的选择。

你的智能手机制造商、浏览器、抗病毒软件都会提供密码管理器,并且还有其他多种第三方的选项。根据你的实际需求和便利性,你可以选择使用任何一款密码管理器。

但是,如果你偏爱开源的密码管理器,想要尝试使用开源的替代私有的?你有哪些选择呢?

这里,让我来为你揭示所有重要的信息。

为何选择开源的密码管理器?

密码管理器是一种关键的工具,它能存储各种敏感的数据,包括:

  • 账号凭据
  • 安全笔记
  • 恢复代码
  • 2FA 令牌(某些情况下)

因此,使用一款能提供顶级隐私保护和安全性的密码管理器极为重要。

而选择开源选项,你将得到更好的透明度,并将有更多的人共同努力确保密码管理器的安全。

当然,如果你希望参与贡献、审查和改进密码管理器,你需要具备一定的技术能力。但是,即使你没有时间参与进来,用户和开发者社区依然会努力核实产品所做出的承诺。

这就是使用开源密码管理器所获得的优势。

对于私有的解决方案,你需要完全信任产品公司,而且你无法自行验证他们的声明。

考虑到选择安全工具的利弊,我在此为你推荐一些最受用户欢迎的密码管理器。

1、KeePass

KeePass 是一款为 Windows 用户提供的卓越的开源密码管理器。你还可以试试 利用 Wine 在 Linux 环境中运行这款 Windows 应用

这是一个纯本地的密码管理器,允许你将所有密码保存在一个数据库中。数据库经过加密,并设有主密钥保护(要牢记密钥,避免遗失)。

你可以根据需要,自主决定是否将数据库文件同步到任何选定的云存储中。但一般来说,将数据保存在自己的系统上,比存储在云端更为安全。

你既可以选择安装 KeePass,也可以通过 USB 设备运行它的便携版。此外,它还具备众多实用的功能,如附加附件、排序和导入导出等等。

亮点:

  • 仅限本地使用
  • 可用的便携版
  • 支持导入 / 导出功能
  • 可通过分组 / 排序管理密码
  • 插件可用于增强功能集

2、Bitwarden

Bitwarden 是一款强大、跨平台的密码管理器,涵盖了桌面应用程序和浏览器扩展。它与 KeePass 不同的之处在于,Bitwarden 依赖云端进行密码的加密和存储,大大提高了在多终端之间同步数据的便捷性。

Bitwarden 集成了你在密码管理器中可能需要的所有核心功能,而且对个人用户来说,所有的这些功能都有一个可承受的订阅价格。

你将得到一个使用起来更舒适的用户界面,并有众多功能供你使用。

亮点:

  • 浏览器扩展和桌面应用
  • 移动应用
  • 提供自托管或基于云端的选项
  • 支持命令行界面访问
  • 对高级用户开放的紧急访问权限
  • 价格适中
  • 支持导入 / 导出功能
  • 提供 Bitwarden Send 功能,安全分享文本 / 笔记

3、Proton Pass

Proton Pass 是以隐私保护为核心的 Proton 公司提供的优秀产品之一。

如果你已经在使用 Proton Mail 和 Proton VPN,并且希望从同一家值得信赖的公司使用多种服务,那么 Proton Pass 将是一个很好的选择。

你可以安装浏览器插件来开始使用 Proton Pass。在本文撰写时,它并未提供任何桌面应用程序。

除了所有基本功能外,你还可以在密码管理器内部使用电子邮件别名功能。随着 Proton Pass 的多样性,我们也提供了一个深入的 Proton Pass 和 Bitwarden 的比较

亮点:

  • 浏览器插件
  • 基于云
  • 移动应用
  • 作为 Proton 工具系列的一部分,使用起来非常方便
  • 邮件别名
  • 支持导入 / 导出

4、KeePassXC

如果你对 KeePass 的功能感兴趣,并且需要原生的 Linux 支持,那么 KeePassXC 会是个不错的选择。

你将获得跨平台支持和浏览器扩展支持,无需依赖于插件。

总的来说,KeePassXC 可以视为 KeePass 的现代化替代版本,对用户体验进行了一些改善。

亮点:

  • 仅支持离线
  • KeePass 的现代替代
  • 原生支持 Linux 和 macOS
  • 支持导入 / 导出

5、Passbolt

Passbolt 是一个为企业用户(或团队)设计的开源密码管理器。

不同于其他选择,Passbolt 不适合个人使用。你可以选择自我托管,或选择云托管版本,并根据你的实际需求选择适当的订阅方案。

尽管在社区版中,Passbolt 提供了所有基础的功能,但通过订阅计划你可以解锁更多的功能。

亮点:

  • 专为企业和团队定制
  • 自托管或基于云
  • 支持命令行界面访问

6、Buttercup

如果你在寻找一款优先考虑本地使用的密码管理器,那么Buttercup 就是一个针对 macOS、Linux 和 Windows 的理想选择。

如果你不需要云同步功能,但希望寻找一款与 KeePass 用户体验不同的密码管理器,那么 Buttercup 将是一个好的替代品。

这是一个带有简洁用户界面的跨平台开源密码管理器,同时提供了移动应用程序。

亮点:

  • 仅支持离线使用
  • 易用性强
  • 兼容多平台
  • 界面简洁现代
  • 提供扩展支持

7、KWalletManager

KWalletManager 是一款 专为 Linux 设计的密码管理器,可对所有的用户凭证进行加密存储。

虽然它能在任何桌面环境下工作,但如果你使用的是 KDE 驱动的 Linux 系统,它能更好地与其他应用集成。

如果你需要一个能与应用程序集成、实现从 Linux 系统保存或自动填充密码的工具,KWalletManager 是个不错的选择。在某些情况下,它可能已经预装在 Linux 发行版中。如果你不打算使用 KWallet,应禁用 KDE 钱包

亮点:

  • 仅支持离线使用
  • 简单易用
  • 专为 Linux 定制

8、密码和密钥(即 GNOME 的 Seahorse)

Seahorse 是 GNOME 发展出的一个实用工具,能存储密码并管理加密密钥。与 KWallet 类似,它是一款专为 Linux 设计的应用程序,与 Ubuntu 和其他几种发行版一起预装。

它不仅仅是一个传统的密码管理器,它还提供了许多其他功能,并且所有这一切都封装在了一个简洁的用户界面中。

亮点:

  • 仅支持离线使用
  • 专为 Linux 定制
  • 可管理加密密钥和密码

总结

任何一款密码管理器都包含了全部的基础功能。因此,你需要根据具体的情况来做选择,比如是否支持自我托管、是否有紧急的共享访问,以及根据价格计划来决定所需的功能集等。

如果你需要一款以浏览器中心化的密码管理器,Proton Pass 就是不错的选择。而 KeePass 以及它的现代化版本 KeePassXC 是完美的离线工具。Bitwarden 则是全能解决方案。最后,Buttercup 和 Passbolt 对于那些希望体验最小化或需要团队协作功能的用户来说,也是独特的选择。

(题图:MJ/8d97ac3c-1ed9-4dae-a176-03d99e6e8391)


via: https://itsfoss.com/open-source-password-managers/

作者:Ankush Das 选题:lujun9972 译者:ChatGPT 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

1 科学家利用树莓派“胶囊”保护气球望远镜数据

NASA 在四月份升空了一架超压气球成像望远镜,在 33 千米的高度,用了一个多月的时间环绕地球,获取天体观测数据。但由于通讯故障,5 月底临时决定降落,望远镜本身在着陆过程中被毁坏,它的固态硬盘被完好无损地找了回来,不过这不重要。因为它带有 4 个数据恢复系统(DRS)胶囊。每个胶囊包括一个树莓派 3B 和 5TB 固态存储,以及一个降落伞、一个全球导航卫星系统。在降落前,望远镜在阿根廷上空投放了两个 DRS 胶囊。并在报告的地点找到了它们。一只好奇的美洲狮显然在其中一个胶囊周围嗅了嗅,但没有造成损坏,而且数据完好无损。

消息来源:The Register
老王点评:简单地将数据复制到 SD 卡,然后从天上扔下来,听起来不靠谱,但是其实效果还不错。

2 微软将人工智能产品统一到 Copilot 品牌下

微软将其必应聊天工具更名为 Microsoft Copilot,与微软其他多款人工智能产品共享相同的品牌名称。该公司还宣布将推出 Copilot Studio,以支持 OpenAI 最近发布的代理型人工智能模型 GPT,这是为其 ChatGPT AI 助手定制的角色。微软的 Copilot 被用于多个应用程序,包括 Microsoft 365、Edge、Windows 等,有些是免费的,有些则不是。这一命名方案的历史始于 2021 年的 GitHub Copilot。微软称自己是“是一家 Copilot 公司。不久的将来,每个人、每件事都会有一个 Copilot”。

消息来源:Ars Technica
老王点评:不知道微软公司会不会和谷歌、Facebook 一样也改名,叫 Copilot 或 MicroPilot ??

3 程序员们仍然忍不住在代码中留下密钥和凭证

根据一项研究,在 Python 的官方代码库 PyPI 上提交的总共 45 万个项目中,发现了近 4000 个唯一的机密信息。近 3000 个项目至少包含一个独一无二的机密。许多机密被泄露了不止一次,使被曝光的机密总数达到近 57,000 个。这些泄露的凭证提供了对一系列资源的访问权限,如微软活动目录服务器、允许单点登录的 OAuth 服务器、SSH 服务器等。以及,还包括了与云服务交互的 API 密钥、数据库凭据以及各种令牌等。而 PyPI 只是众多开源代码库中的一个。

消息来源:Ars Technica
老王点评:再好的机制和最佳实践,也架不住程序员偷懒。

IT 管理员最爱用 admin 作为密码

网络安全研究人员分析了恶意程序窃取的身份凭证,将其中的管理员账号挑选出来。他们共分析了 180 万个管理员凭证,发现其中使用 admin 的账号有 4 万个。其它流行的密码包括:123456、12345678、1234、Password、123、12345、admin123、demo、root 和 admin1 等等。

消息来源:Bleeping Computer
老王点评:就安全意识而言,很多系统管理员和普通用户也差不多。

Windows 11 设备数量超过 4 亿台

微软内部数据显示,Windows 11 的活跃设备使用量最近刚刚突破 4 亿台,并在稳步攀升,预计到 2024 年初将达到 5 亿台。这意味着微软用了大约两年的时间才使 Windows 11 的月活跃设备达到 4 亿台。这一速度明显慢于 Windows 10,后者仅用了一年多的时间,并最终在 2020 年初达到了 10 亿用户。当然,这和微软对待它们的升级策略不同有很大关系。

消息来源:Windows Central
老王点评:不得不说,微软 Windows 还是最受欢迎的桌面操作系统。

安卓将在侧载安装应用程序时扫描恶意软件

谷歌的安卓上的恶意软件系统 “Google Play Protect” 一直以来都能检查侧载应用程序中的恶意软件,但它使用的是定义文件等更快的技术,而且是在后台悄悄进行的。这项新技术将通过全屏 “扫描” 界面延迟应用程序的安装,同时谷歌将对应用程序代码进行深度扫描。谷歌在博文中称,这是 “在代码层面进行实时扫描,以打击新型恶意应用程序” ,而且它可以 “在安装从未扫描过的应用程序时推荐进行实时应用程序扫描,以帮助检测新出现的威胁”。

消息来源:Ars Technica
老王点评:每一个流行的操作系统都需要一种“杀毒软件”,而不太流行的系统,比如 macOS 和 Linux 就不太需要。

不喜欢 KDE 钱包不时弹出?这里教你如何禁用它。

KDE 钱包管理器 Wallet Manager 是 KDE Plasma 桌面默认包含的一个应用,用于存储和管理密码。

无论是存储网站凭据还是 SSH 密钥密码,你都可以使用 KDE 钱包来完成这一切。它与系统的其余部分集成良好,没有任何麻烦。你可以将其配置执行更多操作(或与更多应用和窗口管理器集成)。

既然 KDE 钱包是一个有用的程序,为什么要关闭它呢?

有时,当你与处理密码/凭据的操作交互时,KDE 钱包可能会弹出。因此,如果你遇到这种情况,我们的指南可以帮助你禁用钱包。

禁用 KDE 钱包的最快方法

幸运的是,你不需要使用终端或任何类型的命令来禁用它。你可以使用图形用户界面(GUI)直接从系统设置中执行此操作。

请注意,我在 KDE Plasma 27.4 上尝试过此操作。

首先,从应用坞或搜索栏打开 系统设置 System Settings 应用。

接下来,从左侧边栏中的菜单中,单击 “ KDE 钱包 KDE Wallet ”。

? 如果你运行的是旧版本的 KDE Plasma,并且找不到下面的设置,那么需要手动安装 KDE 钱包管理器 Wallet Manager (kwalletmanager)。

你可以通过 KDE 的软件中心( 发现 Discover 应用)执行此操作,然后返回系统设置以查找所需的选项。

这里,你可以访问钱包首选项,其中默认启用 KDE 钱包。

你所要做的就是取消选中 “ 启用 KDE 钱包子系统 Enable the KDE wallet subsystem ” 选项。

完成后,点击 “ 应用 Apply ” 使更改生效。系统可能会提示你使用密码验证操作。

确实,并不是每个 KDE Plasma 用户都使用这个钱包应用。如果它困扰你或与其他应用冲突,你只需将其禁用即可。

此外,你可以探索一些适用于 Linux 的 最佳密码管理器

5 个 Linux 上的最佳密码管理器

? 你对 KDE 钱包有何看法? 你经常使用它吗? 之前有让你烦恼吗? 除了默认钱包之外,你更喜欢使用什么? 在下面的评论中分享你的想法。

(题图:MJ/45d57fcd-72c3-489d-9051-2a1ad1b5eb96)


via: https://itsfoss.com/disable-kde-wallet/

作者:Ankush Das 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

微软 WSL2 工程师超爱的 Linux 功能

在温哥华举行的 Linux 基金会的开源峰会上,微软的 WSL2 工程团队分享了他们喜欢的 Linux 内核功能。这包括多代 LRU(MGLRU)、用于编译器优化的性能剖析导引优化(PGO)、用于虚拟 GPU 处理的 VirtIO-GPU,暂停到磁盘等。

消息来源:Phoronix
老王点评:不知道微软会不会“借鉴”这些功能到 Windows 中,反正 Linux 从 Windows 中借鉴比较难,微软似乎没有开源操作系统底层技术方面的惯例。

红帽裁掉了 Fedora 项目经理

在这次的红帽裁员中,Fedora 项目经理 Ben Cotton 不幸被裁掉了。他在过去五年中一直担任 Fedora 项目经理。该职位负责协调 Fedora 社区和红帽工程、上游项目、硬件供应商等之间的关系,还负责 Fedora 社区的选举。此外,Cotton 也是提出 CentOS Stream 计划的人之一。Cotton 表示他已经在寻找新的机会,并准备休息一段时间。他说,“我的目标是,在几个月后,没有人会注意到我已经离开了。这是我衡量成功的标准。多年来,我一直在努力将可以自动化的任务自动化。如果 Fedora 脱离了轨道,那么我就失败了。”他表示,没有迹象表明他的角色被特别针对,红帽公司里肯定有一些人继续把 Fedora 看作是具有战略意义的。

消息来源:Phoronix
老王点评:姑且让我们相信这背后不代表红帽公司对 Fedora 的想法发生了变化。那么从职业生涯的角度看,当你把一切都做好自动化了,是不是你就可以很顺滑地被裁掉了?而从公司的角度看,一个岗位如果能不依赖任何特定的人,也不需要专人,那才有保障。所以,如果是你,你会怎么做?

微软云服务会扫描有密码的压缩文件

一位安全专家说,他通过用密码保护的压缩文件向同事发送恶意程序样本,但该压缩文件被微软标记为存在恶意代码,从而阻止了该文件。将文件内容压缩到存档的压缩文件中,长期以来一直是威胁者用来掩盖恶意软件的一种策略。而微软正在尝试绕过压缩文件的密码保护,并在成功后对其进行恶意代码扫描,从而一举击破这一举措。据称,微软会通过邮件正文、文件名等猜测密码。微软没有经过用户允许就解开了用密码保护的压缩文件,而且没有提供绕开的方法,令人感到冒犯。而谷歌表示,他们不会检查带密码的压缩文件。

消息来源:Ars Technica
老王点评:这颇有种被海关将行李箱彻底翻开检查一遍的感觉。难道真的需要用强加密、非对称加密吗?