La veritat sobre la fallada de seguretat de 1Password

Actualidad iPad

4 minuts

1Password

Aquests dies haureu segur llegit articles sobre un greu error de seguretat de 1Password, una de les millors aplicacions que existeixen per iOS i OS X i una de les nostres favorites per la bona feina que els seus desenvolupadors fan amb ella, amb actualitzacions constants sense cost per a les seves usuaris. Personalment és en l'aplicació en la qual confio per emmagatzemar les meves contrasenyes, dades bancàries, targetes de crèdit, etc. des de fa anys, i m'he preocupat per tant d'informar-me sobre aquesta fallada de seguretat perquè m'interessava i molt. Com sol passar en aquests casos, l'alarmisme i el sensacionalisme inunda el web (No ens oblidem que és el que més ven) així que vaig a intentar aclarir què és el que ha passat i quines conseqüències pot tenir.

el problema

Tot es basa en un informe publicat per un enginyer de Microsoft, Dale Myers, en què assegura que 1Password guarda dades sense xifrar en el seu sistema de xifrat AgileKeychain. Aquestes dades sense xifrar són en concret les adreces web d'aquelles pàgines que tenim guardades en aquest servei, i els títols de les mateixes, però mai els nostres dades d'accés en si, que sí que romanen perfectament xifrats. Per què guardar aquestes dades sense xifrar? Bàsicament perquè xifrar en aquell moment (estem parlant de 2008) suposava problemes per a alguns dispositius a l'hora d'accedir a aquestes dades i provocava problemes de rendiment i de bateria.

Fins aquí un pot pensar, «¿Quin és el problema?». Molts usuaris utilitzen 1PasswordAnywhere, una funció que utilitza Dropbox per emmagatzemar les teves claus de 1Password i et permet accedir-hi des de qualsevol navegador sense necessitat de tenir l'aplicació instal·lada al dispositiu. Aquí precisament és on rau el problema principal: Google indexa aquest contingut a l'emmagatzemar-se en un arxiu html, i algú amb els coneixements necessaris pot tenir accés a aquest arxiu i conèixer aquestes dades sense xifrar. Insisteixo de nou, mai les teves dades d'accés, només adreces webs i noms de les webs que tinguis emmagatzemades en 1Password, mai les teves credencials.

1Password

la solució

Els mateixos desenvolupadors de 1Password ja van solucionar aquest problema allà per 2012 amb una nova forma de guardar les seves dades anomenada OPVault. Aquest nou sistema encripta totes les dades, inclosos els que no estaven encriptats amb AgileKeychain. Llavors quin és el problema? Que van haver de decidir si usar OPVault com a sistema únic d'encriptació, o seguir usant AgileKeychain com a alternativa. I van optar per aquesta segona opció.

Per què mantenir un sistema menys segur? OPVault no plantejava cap problema amb els usuaris de iOS i Mac OS X, però sí amb els usuaris de Windows, Android i aquells que optaven per Dropbox com a sistema per sincronitzar dades. Les versions anteriors de 1Password d'aquests últims no eren compatibles amb OPVault, per la qual cosa van haver de decidir què fer: deixar enrere aquestes versions antigues o seguir donant compatibilitat a tothom. I van optar per aquesta segona alternativa, mantenint l'opció d'usar AgileKeychain.

La magnitud real d'el problema

El més important és insistir en quines són les dades als quals tindria accés algú que aconseguís arribar a aquest arxiu html i llegir les teves dades (la qual cosa no és fàcil): adreces web i títols de les webs. Només això. Sí, és veritat que ningú té per què conèixer aquestes dades, i que es es tracta d'un error que s'ha de corregir, però no cal témer per les teves dades d'accés a les webs ni els teus números de targetes de crèdit, la qual cosa és un alleujament.

Un cop això ha quedat clar, també cal assenyalar qui són els que tenen aquest problema: els que encara utilitzen AgileKeychain. Aquells usuaris que ja fan servir OPVault no tenen tampoc el més mínim problema. Qui són els que fan servir OPVault? Aquells que fan servir 1Password per iOS i OS X amb l'opció de sincronització mitjançant iCloud activada (com és el meu cas). Si aquest és també el teu cas, llavors no hi ha cap problema amb tu. Si ets usuari de 1Password a Windows, Android o fas servir Dropbox com a sistema de sincronització llavors has de canviar a OPVault com a sistema d'emmagatzematge, la qual cosa ho tens perfectament explicat en el bloc de Agilebits, Desenvolupadors de 1Password (a la fi de l'article).


iPad 10 amb teclat Magic Keyboard
T'interessa:
Diferències entre iPad i iPad Air
Segueix-nos a Google News

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Feli va dir
    fa 9 anys

    Gran article Luís, així de rigorós hauria de ser el periodisme i més quan es parla de seguretat.

    Respondre a Feli