Тези дни със сигурност ще сте чели статии за сериозен недостатък в сигурността в 1Password, едно от най-добрите приложения, които съществуват за iOS и OS X и едно от любимите ни за добрата работа, която разработчиците правят с него, с постоянни актуализации без заплащане на своите потребители. Лично в приложението се доверявам да съхранявам паролите си, банкови данни, кредитни карти и т.н. от години и съм толкова загрижен да разбера за този недостатък в сигурността, защото много се интересувах от него. Както често се случва в тези случаи, плашенето и сензацията наводняват мрежата (Нека не забравяме, че това е, което се продава най-много), затова ще се опитам да изясня какво се е случило и какви последици може да има.
Проблемът
Всичко се базира на доклад, публикуван от инженер на Microsoft Дейл Майърс, в който той уверява, че 1Password запазва некриптирани данни в своята система за криптиране AgileKeychain. Тези нешифровани данни са конкретно уеб адресите на тези страници, които сме запазили в тази услуга, и техните заглавия, но никога самите ни данни за достъп, които остават перфектно криптирани. Защо да съхранявате тези данни нешифровани? По принцип защото криптирането им по това време (говорим за 2008 г.) създава проблеми на някои устройства при достъп до тези данни и причинява проблеми с производителността и батерията.
Досега човек може да си помисли: "Какъв е проблемът?" Много потребители използват 1PasswordAnywhere, функция, която Dropbox използва за съхранение на вашите ключове 1Password и ви позволява да имате достъп до тях от всеки браузър, без приложението да е инсталирано на устройството. Именно тук се крие основният проблем: Google индексира това съдържание, когато се съхранява в html файл и някой с необходимите познания може да има достъп до този файл и да знае тези данни без криптиране. Отново настоявам, никога вашите данни за достъп, само уеб адреси и имена на мрежите, които сте съхранили в 1Password, никога вашите идентификационни данни.
Решението
Самите разработчици на 1Password вече са решили този проблем през 2012 г. с нов начин за запазване на вашите данни, наречен OPVault. Тази нова система криптира всички данни, включително тези, които не са криптирани с AgileKeychain. И така, какъв е проблемът? Че трябва да решат дали да използват OPVault като единствена система за криптиране или да продължат да използват AgileKeychain като алтернатива. И те избраха този втори вариант.
Защо да поддържаме по-малко сигурна система? OPVault не създава проблем за потребителите на iOS и Mac OS X, но го прави за Windows, потребители на Android и тези, които са избрали Dropbox като тяхна система за синхронизиране на данни. По-старите версии на 1Password на последните не бяха съвместими с OPVault, така че те трябваше да решат какво да правят: оставете тези стари версии или продължете да давате съвместимост на всички. И те избраха тази втора алтернатива, запазвайки възможността да използват AgileKeychain.
Истинската величина на проблема
Най-важното е да настоявате за данните, до които някой, който може да достигне до този html файл и да прочете вашите данни, ще има достъп (което не е лесно): уеб адреси и уеб заглавия. Това е всичко. Да, вярно е, че никой не трябва да знае тези данни и че грешката трябва да бъде коригирана, но Не е необходимо да се страхувате за данните си за достъп до уебсайтовете или номерата на кредитните си карти, което е облекчение.
След като това стане ясно, също така е необходимо да се посочи кои са тези, които имат този проблем: тези, които все още използват AgileKeychain. Потребителите, които вече използват OPVault, нямат и най-малкия проблем. Кои са тези, които използват OPVault? Тези, които използват 1Password за iOS и OS X с активирана опция за синхронизиране iCloud (както е в моя случай). Ако това е и вашият случай, тогава няма проблем с вас. Ако сте потребител на 1Password в Windows, Android или използвате Dropbox като система за синхронизация, тогава трябва да преминете към OPVault като система за съхранение, което сте обяснили перфектно в Блог на Agilebits, 1 Разработчици на пароли (в края на статията).
Страхотна статия Луис, такава трябва да бъде строгата журналистика и още повече що се отнася до сигурността.