في هذه الأيام ستكون قد قرأت بالتأكيد مقالات حول عيب أمني خطير في 1Password ، وهو أحد أفضل التطبيقات الموجودة لنظامي التشغيل iOS و OS X وواحد من التطبيقات المفضلة لدينا للعمل الجيد الذي يقوم به مطوروه ، مع تحديثات مستمرة بدون تكلفة لمستخدميها. أنا شخصياً أثق في تخزين كلمات المرور والتفاصيل المصرفية وبطاقات الائتمان الخاصة بي في التطبيق وما إلى ذلك. لسنوات حتى الآن ، وكنت قلقًا للغاية بشأن اكتشاف هذا الخلل الأمني لأنني كنت مهتمًا جدًا به. كما يحدث غالبًا في هذه الحالات ، فإن إثارة الذعر والإثارة تغمر الويب (دعونا لا ننسى أن هذا هو الأكثر مبيعًا) لذلك سأحاول توضيح ما حدث والعواقب التي قد تترتب عليه.
المشكلة
كل شيء يستند إلى تقرير نشره مهندس Microsoft ، Dale Myers ، أكد فيه ذلك 1Password يحفظ البيانات غير المشفرة في نظام التشفير AgileKeychain. هذه البيانات غير المشفرة هي على وجه التحديد عناوين الويب لتلك الصفحات التي حفظناها في هذه الخدمة ، وعناوينها ، ولكنها ليست بيانات الوصول نفسها أبدًا ، والتي تظل مشفرة تمامًا. لماذا تحافظ على هذه البيانات غير مشفرة؟ في الأساس لأن تشفيرها في ذلك الوقت (نتحدث عن 2008) تسبب في مشاكل لبعض الأجهزة عند الوصول إلى تلك البيانات وتسبب في مشاكل في الأداء والبطارية.
حتى الآن يمكن للمرء أن يفكر ، "ما هي المشكلة؟" يستخدم العديد من المستخدمين 1PasswordAnywhere ، وهي وظيفة يستخدمها Dropbox لتخزين مفاتيح 1Password وتسمح لك بالوصول إليها من أي متصفح دون تثبيت التطبيق على الجهاز. هذا بالضبط هو المكان الذي تكمن فيه المشكلة الرئيسية: تقوم Google بفهرسة هذا المحتوى عندما يتم تخزينه في ملف html ، ويمكن لأي شخص لديه المعرفة اللازمة الوصول إلى هذا الملف ومعرفة تلك البيانات دون تشفير. أصر مرة أخرى ، لا بيانات الوصول الخاصة بك مطلقًا ، فقط عناوين الويب وأسماء الويب التي قمت بتخزينها في 1Password ، وليس بيانات الاعتماد الخاصة بك مطلقًا.
الحل
قام مطورو 1Password بأنفسهم بحل هذه المشكلة بالفعل في عام 2012 بطريقة جديدة لحفظ بياناتك تسمى OPVault.. يقوم هذا النظام الجديد بتشفير جميع البيانات ، بما في ذلك تلك التي لم يتم تشفيرها باستخدام AgileKeychain. فما هي المشكلة؟ كان عليهم أن يقرروا ما إذا كانوا سيستخدمون OPVault كنظام التشفير الوحيد ، أو الاستمرار في استخدام AgileKeychain كبديل. وقد اختاروا هذا الخيار الثاني.
لماذا نحافظ على نظام أقل أمانًا؟ لم يشكل OPVault مشكلة لمستخدمي iOS و Mac OS X ، لكنه فعل ذلك مع مستخدمي Windows و Android وأولئك الذين اختاروا Dropbox كنظام مزامنة البيانات الخاص بهم. لم تكن الإصدارات الأقدم من كلمة المرور الأولى متوافقة مع OPVault ، لذلك كان عليهم أن يقرروا ما يجب عليهم فعله: اترك تلك الإصدارات القديمة خلفك أو استمر في توفير التوافق للجميع. وقد اختاروا هذا البديل الثاني ، مع الاحتفاظ بخيار استخدام AgileKeychain.
الحجم الحقيقي للمشكلة
الشيء الأكثر أهمية هو الإصرار على البيانات التي يمكن لأي شخص يمكنه الوصول إلى ملف html هذا وقراءة بياناتك الوصول إليها (وهذا ليس بالأمر السهل): عناوين الويب وعناوين الويب. فقط هذا. نعم ، صحيح أنه لا أحد يجب أن يعرف هذه البيانات ، وأنه خطأ يجب تصحيحه ، ولكن لا داعي للخوف من وصول بياناتك إلى مواقع الويب أو أرقام بطاقتك الائتمانية ، وهو أمر يبعث على الارتياح.
بمجرد أن يصبح هذا واضحًا ، من الضروري أيضًا الإشارة إلى أولئك الذين لديهم هذه المشكلة: أولئك الذين ما زالوا يستخدمون AgileKeychain. هؤلاء المستخدمون الذين يستخدمون OPVault بالفعل ليس لديهم أدنى مشكلة أيضًا. من هم الذين يستخدمون OPVault؟ أولئك الذين يستخدمون 1Password لنظامي التشغيل iOS و OS X مع تمكين خيار مزامنة iCloud (كما هي حالتي). إذا كانت هذه هي حالتك أيضًا ، فلا مشكلة معك. إذا كنت من مستخدمي 1Password على نظام التشغيل Windows أو Android أو كنت تستخدم Dropbox كنظام مزامنة ، فعليك التغيير إلى OPVault كنظام تخزين ، والذي أوضحته تمامًا في مدونة Agilebits، مطوري 1Password (في نهاية المقال).
مقال رائع لويس ، هكذا يجب أن تكون الصحافة صارمة ، بل وأكثر من ذلك عند الحديث عن الأمن.