Ovih dana sigurno ćete pročitati članke o ozbiljnoj sigurnosnoj grešci u 1Passwordu, jednoj od najboljih aplikacija koje postoje za iOS i OS X i jednoj od naših omiljenih za dobar rad koji njegovi programeri rade s njim, uz stalna ažuriranja bez ikakvih troškova svojim korisnicima. Osobno, u aplikaciju vjerujem da čuva moje lozinke, bankovne podatke, kreditne kartice itd. Već godinama mi je toliko stalo da se informišem o ovoj sigurnosnoj grešci, jer me to jako zanimalo. Kao što se često događa u ovim slučajevima, plašenje i senzacionalizam preplavljuju mrežu (Ne zaboravimo da je to ono što se najviše prodaje), pa ću pokušati razjasniti šta se dogodilo i kakve posljedice to može imati.
problem
Sve se temelji na izvještaju koji je objavio Microsoftov inženjer Dale Myers u kojem on to uvjerava 1Password sprema nešifrirane podatke u svoj sistem šifriranja AgileKeychain. Ovi nešifrirani podaci posebno su web adrese onih stranica koje smo spremili u ovoj usluzi i njihovi naslovi, ali nikada sami podaci o pristupu koji ostaju savršeno šifrirani. Zašto ove podatke držati nešifriranim? Uglavnom jer je njihovo šifriranje u to vrijeme (govorimo o 2008. godini) nekim uređajima stvaralo probleme prilikom pristupa tim podacima i uzrokovalo probleme s performansama i baterijom.
Do sada se može pomisliti: "U čemu je problem?" Mnogi korisnici koriste 1PasswordAnywhere, funkciju koju Dropbox koristi za pohranu vaših 1Password ključeva i omogućava vam pristup njima iz bilo kojeg pretraživača bez instaliranja aplikacije na uređaju. Upravo u tome leži glavni problem: Google indeksira ovaj sadržaj kada je pohranjen u html datoteci, a neko s potrebnim znanjem može imati pristup ovoj datoteci i znati te podatke bez šifriranja. Opet inzistiram, nikada na vašim pristupnim podacima, samo na web adresama i imenima mreža koje ste pohranili u 1Password, nikada na vašim vjerodajnicama.
rješenje
Sami programeri 1Password već su riješili ovaj problem 2012. godine novim načinom spremanja vaših podataka pod nazivom OPVault. Ovaj novi sistem šifrira sve podatke, uključujući one koji nisu šifrirani AgileKeychain-om. Pa u čemu je problem? Da su morali odlučiti hoće li koristiti OPVault kao jedini sistem šifriranja ili će nastaviti koristiti AgileKeychain kao alternativu. I odlučili su se za ovu drugu opciju.
Zašto održavati manje siguran sistem? OPVault nije predstavljao problem kod iOS i Mac OS X korisnika, već kod Windows, Android korisnika i onih koji su se odlučili za Dropbox kao svoj sistem za sinhronizaciju podataka. Starije verzije 1Passworda potonjeg nisu bile kompatibilne s OPVaultom, pa su morali odlučiti što učiniti: ostavite te stare verzije ili nastavite davati kompatibilnost svima. I odlučili su se za ovu drugu alternativu, zadržavši mogućnost korištenja AgileKeychain-a.
Stvarna veličina problema
Najvažnije je inzistirati na podacima kojima bi pristupio neko ko bi mogao pristupiti toj html datoteci i pročitati vaše podatke (što nije lako): web adrese i naslovi web stranica. To je sve. Da, istina je da niko ne mora znati ove podatke i da je greška koja se mora ispraviti, ali Ne morate se bojati za svoje podatke o pristupu web lokacijama ili brojeve svojih kreditnih kartica, što je olakšanje.
Jednom kada je ovo postalo jasno, takođe je potrebno naglasiti ko su oni koji imaju ovaj problem: oni koji još uvijek koriste AgileKeychain. Ni oni korisnici koji već koriste OPVault nemaju ni najmanjeg problema. Ko su ti koji koriste OPVault? Oni koji koriste 1Password za iOS i OS X s omogućenom iCloud opcijom sinhronizacije (kao što je to moj slučaj). Ako je i ovo vaš slučaj, onda s vama nema problema. Ako ste korisnik 1Password-a na Windowsima, Androidima ili koristite Dropbox kao sistem za sinhronizaciju, tada se morate prebaciti na OPVault kao sistem za skladištenje, što ste savršeno objasnili u Agilebits blog, 1Programeri za lozinke (na kraju članka).
Sjajan članak Luis, takvo bi rigorozno novinarstvo trebalo biti, a još više što se tiče sigurnosti.