我用水銀銀行透過 HCBI 下載我的銀行對帳單。通常,aqbanking 在下載過程中會要求提供銀行登入憑證,但您也可以將這些資訊儲存在未加密的 pin 檔案中,並在命令列上將 pin 檔案的路徑傳遞給 aqbanking。
我不想將未加密的 pin 檔案儲存在硬碟上。我使用全盤加密,但我有點擔心在未加密的備份中意外洩漏 pin 檔案。
我的想法是使用 GnuPG 加密 pin 文件,然後使用 bash 中的進程替換即時解密 pin 文件。
而不是運行:
aqbanking-cli -P /path/to/unencrypted-pin-file ...
我在跑步:
aqbanking-cli -P <(gpg -q --decrypt /path/to/encrypted/pinfile) ...
這可行,但我擔心潛在的安全影響。
我的假設是該文件僅在記憶體中解密,並且其內容作為記憶體映射檔案進行存取。未加密的內容永遠不會儲存在磁碟上。真的嗎?
我使用的是 macOS,但在 Linux 上,我懷疑 root 使用者可以使用檔案系統存取內容的輸出proc。真的嗎?
我的方法還有哪些安全隱憂?
註:我最初問的是Stack Overflow 上的這個問題但由於偏離主題而關閉,建議將其發佈在這裡。