[gelöst] Passwörter und Verschlüsselung (Seahorse): Passphrase nicht speichern

[Lunix]

Hallo zusammen!

Auf meinem Rechner habe ich zweimal Debian 12 Bookworm installiert: einmal mit stark verschlüsselter home-Partition (für vertrauliche Daten) und einmal ohne verschlüsselte home-Partition und schwachem Login-Kennwort (ohne vertrauliche Daten, vor allem zum Surfen unterwegs). Die erste Installation heiße hier I1 und die zweite I2.

Manchmal muss ich von I2 auf Daten von I1 zugreifen. Dafür verlangt Debian die Passphrase der verschlüsselten Partition – das ist sinnvoll. Allerdings merkt sich Debian I2 die Passphrase – sie ist in „Passwörter und Verschlüsselung“ gespeichert – und verlangt sie seit der ersten Eingabe nie wieder.

Das bedeutet: Die vertraulichen Daten sind nur durch ein schwaches Login-Kennwort geschützt. Mehr noch: Wenn ich Debian ein drittes Mal so installiere, dass ein Benutzer sofort ohne Eingabe eines Kennwortes angemeldet ist, und dieser Benutzer einmal die verschlüsselte Partition von I1 entschlüsselt hat, hat jeder, der Zugriff auf meinen Rechner hat (zum Beispiel nach einem Diebstahl), auch Zugriff auf die verschlüsselte Partition von I1. (Das halte ich für ein Sicherheitsproblem, aber das muss hier nicht diskutiert werden.)

Das Speichern der Passphrase muss nicht sein. Aus historischen Gründen habe ich zwei analoge Installationen von Ubuntu, und dort ist das nicht der Fall; in „Passwörter und Verschlüsselung“ findet sich kein einschlägiger Eintrag.

Wie kann ich verhindern, dass die Passphrase einer verschlüsselten Partition in „Passwörter und Verschlüsselung“ gespeichert wird? - Ich danke jetzt schon für hilfreiche Antworten!

[SirArthur]

Ich habe ein ähnliches Problem...mein VPN speichert die Passwörter im Keyring und wenn diese geändert werden, kann ich mich aufgrund der alten gespeicherten Passwörter nicht einloggen. Ich muss dann immer händisch löschen.
Ich habe es jetzt noch nicht probiert, aber man könnte eventuell einfach die Dateien in ~/.local/share/keyrings in einem Shutdown Script mit der gewünschten / alten Version überschreiben, womit neue gespeicherte Passwörter wieder weg sind.
War jetzt aber noch nicht so weit, das auszuprobieren.
Wenn ich in Seahorse ein Passwort lösche, wird auf jeden Fall die Datei login.keyring aktualisiert.

[joka63]

Manchmal muss ich von I2 auf Daten von I1 zugreifen. Dafür verlangt Debian die Passphrase der verschlüsselten Partition – das ist sinnvoll. Allerdings merkt sich Debian I2 die Passphrase – sie ist in „Passwörter und Verschlüsselung“ gespeichert – und verlangt sie seit der ersten Eingabe nie wieder.

Welchen Desktop verwendest du? Wenn ich im GNOME Desktop einen verschlüsselten Datenträger einhänge, muss/kann ich ein Häkchen setzen, ob ich das Passwort (im Keyring) speichern wil oder nicht.

Auf meinem Rechner habe ich zweimal Debian 12 Bookworm installiert: einmal mit stark verschlüsselter home-Partition (für vertrauliche Daten) und einmal ohne verschlüsselte home-Partition und schwachem Login-Kennwort (ohne vertrauliche Daten, vor allem zum Surfen unterwegs). Die erste Installation heiße hier I1 und die zweite I2.

Das bedeutet: Die vertraulichen Daten sind nur durch ein schwaches Login-Kennwort geschützt. Mehr noch: Wenn ich Debian ein drittes Mal so installiere, dass ein Benutzer sofort ohne Eingabe eines Kennwortes angemeldet ist, und dieser Benutzer einmal die verschlüsselte Partition von I1 entschlüsselt hat, hat jeder, der Zugriff auf meinen Rechner hat (zum Beispiel nach einem Diebstahl), auch Zugriff auf die verschlüsselte Partition von I1. (Das halte ich für ein Sicherheitsproblem, aber das muss hier nicht diskutiert werden.)

Gibt es einen besonderen Grund, warum du für jede Benutzerkennung ein eigenes Debian-System installierst? Warum nicht ein Debian mit mehreren Nutzerkennungen auf jeweils ihren eigenen LUKS verschlüsselten Partitionen oder Logical Volumes? Mit dem Paket libpam-mount kann man sein System so einrichten, dass eine verschlüsselte Homepartition erst beim Login entschlüsselt wird. pam-mount gibt es schon seit fast 20 Jahren, funktioniert immer noch (bei meinen Installationen seit 15 Jahren), ist aber schon lange außer Mode gekommen.

[Lunix]

Vielen Dank für die Tipps! Mein Problem ist gelöst: kein Haken bei „An Passwort erinnern“ (siehe unten).

An eine Lösung, wie SirArthur sie vorgeschlagen hat, hatte ich auch schon gedacht. Jetzt weiß ich genauer, wie sie gegebenenfalls aussehen könnte.

joka63 hat mich auf die richtige Fährte gebracht: Wo werde ich gefragt, ob ich das Passwort (im Keyring) speichern will oder nicht? An so eine Frage konnte ich mich nicht erinnern. Bei der Passwortabfrage kann ich nur ein Häkchen bei „An Passwort erinnern“ setzen. Der war standardmäßig gesetzt, und ich dachte, dass GNOME mich gegebenenfalls an das Passwort erinnern würde (wozu ich im Folgenden die nötigen Informationen geben müsste; solche Funktionen habe ich anderswo schon mal gesehen). Der Haken hat mich nie gestört, und einen Zusammenhang mit meinem Problem habe ich nicht gesehen (das war wohl der Haken an der Sache ).

Vermutlich ist „An Passwort erinnern“ eine schlechte Übersetzung von „remember password“. Stünde da „Passwort merken“, hätte ich kapiert, dass sich GNOME ein Passwort merken möchte, und ich hätte den Haken sofort entfernt. So aber dachte ich, irgendjemand möchte irgendwen irgendwann an das Passwort erinnern.

An joka63: Ich habe eine wichtige Installation, die ich mir auf keinen Fall verpuzzeln möchte und die sehr vertrauliche Daten enthält; deshalb sind sie auf einer LUKS-verschlüsselten home-Partition. Für Experimente, die auch mal richtig schiefgehen dürfen, und um Zeit beim Hochfahren zu sparen (es dauert wirklich lang, bis ich die Passphrase für die erste Installation eingegeben habe), habe ich eine zweite Installation. Ich dachte: Weil ich vor dem Anmelden die Passphrase eingeben muss, ist eine Installation mit zwei Benutzerkennungen, von denen eine eine verschlüsselte home-Partition hat, nicht möglich. Jetzt weiß ich es besser. Es bleibt das Argument, dass ich an einer zweiten Installation herumschrauben kann, ohne die erste zu verpuzzeln.

Summa summarum: Ich habe dazugelernt, und mein Problem ist gelöst. Herzlichen Dank!!