Tõde 1Passwordi turvavea kohta

1Password

Nendel päevadel olete kindlasti lugenud artikleid tõsise turvavea kohta 1Passwordis, mis on üks iOS-i ja OS X-i jaoks parimatest rakendustest ja üks meie lemmikutest selle hea töö eest, mida selle arendajad sellega teevad, pidevate värskendustega tasuta oma kasutajatele. Isiklikult usaldan oma rakenduses paroolide, pangaandmete, krediitkaartide jms talletamist. juba aastaid ja olen olnud nii mures selle turvavea teavitamise pärast, sest olin sellest väga huvitatud. Nagu nendel juhtudel sageli juhtub, ujutab veebi üle hirmutamine ja sensatsioonilisus (Ärgem unustagem, et see müüb kõige rohkem), seega püüan selgitada, mis on juhtunud ja millised tagajärjed sellel võivad olla.

probleem

Kõik põhineb Microsofti inseneri Dale Myersi avaldatud aruandel, milles ta seda kinnitab 1Password salvestab krüptimata andmed oma AgileKeychaini krüptimissüsteemi. Need krüpteerimata andmed on konkreetselt nende lehtede veebiaadressid, mille oleme selles teenuses salvestanud, ja nende pealkirjad, kuid mitte kunagi meie enda juurdepääsuandmed, mis jäävad täiuslikult krüptituks. Miks hoida neid andmeid krüptimata? Põhimõtteliselt seetõttu, et nende krüptimine sel ajal (me räägime 2008. aastast) tekitasid osadele seadmetele nendele andmetele juurdepääsemisel probleeme ning põhjustasid jõudluse ja aku probleeme.

Siiani võib mõelda: "Mis on probleem?" Paljud kasutajad kasutavad funktsiooni 1PasswordAnywhere - funktsiooni, mida Dropbox kasutab teie 1Password-võtmete salvestamiseks, ja võimaldab teil neile juurde pääseda mis tahes brauserist ilma, et rakendus oleks seadmesse installitud. Just selles peitubki peamine probleem: Google indekseerib selle sisu, kui see on salvestatud HTML-faili, ja kellel on vajalikke teadmisi, võib sellele failile juurde pääseda ja see teave krüpteerimata teada olla. Nõuan veelkord, et mitte kunagi ei tohi teie juurdepääsuandmeid, vaid ainult 1Passwordi salvestatud veebiaadresse ja veebinimesid, mitte kunagi teie volitusi.

1Password

lahendus

1Passwordi arendajad lahendasid selle probleemi juba 2012. aastal uue viisiga teie andmete salvestamiseks, nimega OPVault. See uus süsteem krüpteerib kõik andmed, ka need, mida ei krüptitud AgileKeychainiga. Milles siis probleem on? Et nad pidid otsustama, kas kasutada OPVault ainsa krüptimissüsteemina või jätkata alternatiivina AgileKeychaini kasutamist. Ja nad valisid selle teise variandi.

Miks säilitada vähem turvalist süsteemi? OPVault ei tekitanud probleeme iOS-i ja Mac OS X-i kasutajatele, küll aga Windowsi, Android-i kasutajatele ja neile, kes valisid andmete sünkroonimissüsteemiks Dropboxi. Viimase vanemad parooliversioonid ei ühildunud OPVaultiga, nii et nad pidid otsustama, mida teha: jätke need vanad versioonid maha või jätkake kõigile ühilduvuse pakkumist. Ja nad valisid selle teise alternatiivi, säilitades võimaluse kasutada AgileKeychaini.

Probleemi tegelik suurus

Kõige tähtsam on nõuda andmeid, millele juurdepääs oleks kellelgi, kes võiks jõuda selle HTML-failini ja lugeda teie andmeid (see pole lihtne): veebiaadressid ja veebipealkirjad. Ainult et. Jah, on tõsi, et keegi ei pea neid andmeid teadma ja see on viga, mis tuleb parandada, kuid Veebisaitidele juurdepääsuandmete ega krediitkaardinumbrite pärast pole vaja karta, mis on kergendus.

Kui see on selge, on vaja ka välja tuua, kes on need, kellel on see probleem: need, kes kasutavad endiselt AgileKeychaini. Neil kasutajatel, kes juba kasutavad OPVault, pole vähimatki probleemi. Kes kasutavad OPVault'i? Need, kes kasutavad 1Passwordi iOS-i ja OS X-i jaoks, kui iCloudi sünkroonimisvõimalus on lubatud (nagu ka minu puhul). Kui see on ka teie juhtum, siis pole teiega probleemi. Kui olete Windowsi, Androidi 1Passwordi kasutaja või kasutate sünkroonimissüsteemina Dropboxi, peate salvestussüsteemina üle minema OPVaultile, mida olete Agilebitsi ajaveeb, 1Parooli arendajad (artikli lõpus).


Artikli sisu järgib meie põhimõtteid toimetuse eetika. Veast teatamiseks klõpsake nuppu siin.

Kommentaar, jätke oma

Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   Feli DIJO

    Suurepärane artikkel Luis, just see peaks olema range ajakirjandus ja veelgi enam turvalisuse osas.