Die Wahrheit über die 1Password-Sicherheitslücke

Actualidad iPad

1 Kommentar

1Password

In diesen Tagen haben Sie sicherlich Artikel über eine schwerwiegende Sicherheitslücke in 1Password gelesen, einer der besten Anwendungen für iOS und OS X und einer unserer Favoriten für die gute Arbeit, die die Entwickler damit leisten, mit ständigen Updates ohne Kosten an seine Benutzer. Benutzer. Persönlich vertraue ich in der Anwendung darauf, meine Passwörter, Bankdaten, Kreditkarten usw. zu speichern. seit Jahren, und ich bin so besorgt darüber, mich über diese Sicherheitslücke zu informieren, weil ich sehr daran interessiert war. Wie so oft in diesen Fällen überschwemmen Panikmache und Sensationslust das Netz (Vergessen wir nicht, dass es das ist, was sich am meisten verkauft), also werde ich versuchen zu klären, was passiert ist und welche Konsequenzen es haben kann.

Das Problem

Alles basiert auf einem Bericht eines Microsoft-Ingenieurs, Dale Myers, in dem er dies versichert 1Password speichert unverschlüsselte Daten in seinem AgileKeychain-Verschlüsselungssystem. Diese unverschlüsselten Daten sind speziell die Webadressen der Seiten, die wir in diesem Dienst gespeichert haben, und deren Titel, jedoch niemals unsere Zugriffsdaten selbst, die perfekt verschlüsselt bleiben. Warum sollten diese Daten unverschlüsselt bleiben? Grundsätzlich, weil die Verschlüsselung zu diesem Zeitpunkt (wir sprechen von 2008) bei einigen Geräten Probleme beim Zugriff auf diese Daten verursachte und Leistungs- und Batterieprobleme verursachte.

Bisher kann man denken: "Was ist das Problem?" Viele Benutzer verwenden 1PasswordAnywhere, eine Funktion, mit der Dropbox Ihre 1Password-Schlüssel speichert und mit der Sie von jedem Browser aus darauf zugreifen können, ohne dass die Anwendung auf dem Gerät installiert ist. Genau hier liegt das Hauptproblem: Google indiziert diesen Inhalt, wenn er in einer HTML-Datei gespeichert ist, und jemand mit den erforderlichen Kenntnissen kann auf diese Datei zugreifen und diese Daten ohne Verschlüsselung kennen. Ich bestehe erneut darauf, niemals Ihre Zugangsdaten, nur Webadressen und Namen der Websites, die Sie in 1Password gespeichert haben, niemals Ihre Anmeldeinformationen.

1Password

die Lösung

Die 1Password-Entwickler selbst haben dieses Problem bereits 2012 mit einer neuen Methode zum Speichern Ihrer Daten namens OPVault gelöst.. Dieses neue System verschlüsselt alle Daten, einschließlich derjenigen, die nicht mit AgileKeychain verschlüsselt wurden. Was ist also das Problem? Sie mussten sich entscheiden, ob sie OPVault als einziges Verschlüsselungssystem verwenden oder weiterhin AgileKeychain als Alternative verwenden möchten. Und sie entschieden sich für diese zweite Option.

Warum ein weniger sicheres System warten? OPVault war für iOS- und Mac OS X-Benutzer kein Problem, jedoch für Windows-, Android-Benutzer und diejenigen, die sich für Dropbox als Datensynchronisationssystem entschieden haben. Ältere 1Password-Versionen der letzteren waren nicht mit OPVault kompatibel, daher mussten sie entscheiden, was zu tun ist: Lassen Sie diese alten Versionen hinter sich oder geben Sie weiterhin allen Kompatibilität. Und sie entschieden sich für diese zweite Alternative und behielten die Möglichkeit, AgileKeychain zu verwenden.

Das wahre Ausmaß des Problems

Das Wichtigste ist, auf den Daten zu bestehen, auf die jemand zugreifen kann, der diese HTML-Datei erreichen und Ihre Daten lesen kann (was nicht einfach ist): Webadressen und Webtitel. Das ist alles. Ja, es stimmt, dass niemand diese Daten kennen muss und dass es sich um einen Fehler handelt, der behoben werden muss, aber Sie müssen sich keine Sorgen um Ihre Zugangsdaten zu den Websites oder Ihre Kreditkartennummern machen, was eine Erleichterung darstellt.

Sobald dies klar geworden ist, muss auch darauf hingewiesen werden, wer dieses Problem hat: diejenigen, die AgileKeychain noch verwenden. Die Benutzer, die OPVault bereits verwenden, haben auch nicht das geringste Problem. Wer nutzt OPVault? Diejenigen, die 1Password für iOS und OS X mit aktivierter iCloud-Synchronisierungsoption verwenden (wie in meinem Fall). Wenn dies auch Ihr Fall ist, gibt es kein Problem mit Ihnen. Wenn Sie ein 1Password-Benutzer unter Windows, Android sind oder Dropbox als Synchronisationssystem verwenden, müssen Sie zu OPVault als Speichersystem wechseln, was Sie im Abschnitt perfekt erläutert haben Agilebits Blog, 1Password-Entwickler (am Ende des Artikels).


iPad 10 mit Magic Keyboard
Du bist interessiert in:
Unterschiede zwischen iPad und iPad Air
Folgen Sie uns auf Google News

Einen Kommentar, hinterlasse deinen

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Feli sagte
    vor 8-jährige

    Großartiger Artikel Luis, so streng sollte Journalismus sein, und noch mehr, wenn es um Sicherheit geht.

    Antworte Feli