Totuus 1Password-tietoturva-aukosta

1Password

Näinä päivinä olet varmasti lukenut artikkeleita vakavasta tietoturva-aukosta 1Passwordissa, joka on yksi parhaista iOS- ja OS X -sovelluksista ja yksi suosikeistamme hyvästä työstä, jonka sen kehittäjät tekevät, jatkuvasti päivitettäessä ilmaiseksi käyttäjille. Henkilökohtaisesti sovelluksessa luotan tallentaa salasanani, pankkitietoni, luottokorttini jne. jo vuosia, ja olen ollut niin huolissani tämän turvallisuusvirheen selvittämisestä, koska olin hyvin kiinnostunut siitä. Kuten näissä tapauksissa usein tapahtuu, pelottelu ja sensationismi tulvivat verkkoa (Älkäämme unohtako, että se myy eniten), joten yritän selventää mitä on tapahtunut ja mitä seurauksia sillä voi olla.

Ongelma

Kaikki perustuu Microsoftin insinöörin Dale Myersin julkaisemaan raporttiin, jossa hän vakuuttaa sen 1Password tallentaa salaamattomat tiedot AgileKeychain-salausjärjestelmään. Nämä salaamattomat tiedot ovat nimenomaan niiden palvelun sivujen web-osoitteita, jotka olemme tallentaneet, ja niiden otsikot, mutta eivät koskaan itse käyttötiedot, jotka pysyvät täydellisesti salattuina. Miksi pitää nämä tiedot salaamattomina? Pohjimmiltaan siksi, että niiden salaus tuolloin (puhumme vuodesta 2008) aiheutti ongelmia joillekin laitteille, kun niitä käytettiin, ja aiheutti suorituskyky- ja akkuongelmia.

Toistaiseksi voidaan ajatella: "Mikä ongelma on?" Monet käyttäjät käyttävät 1PasswordAnywhere-toimintoa, jota Dropbox käyttää 1Password-avainten tallentamiseen ja jonka avulla voit käyttää niitä miltä tahansa selaimelta ilman, että sovellusta on asennettu laitteeseen. Juuri tässä on suurin ongelma: Google indeksoi tämän sisällön, kun se on tallennettu html-tiedostoon, ja joku, jolla on tarvittavat tiedot, voi käyttää tätä tiedostoa ja tietää nämä tiedot ilman salausta. Vaadin jälleen, älä koskaan käyttöoikeustietojasi, vain 1Passwordiin tallentamasi verkko-osoitteet ja verkkojen nimet, älä koskaan kirjautumistietosi.

1Password

Ratkaisu

1Password-kehittäjät itse ratkaisivat ongelman jo vuonna 2012 uudella tavalla tallentaa tietojasi nimeltä OPVault.. Tämä uusi järjestelmä salaa kaikki tiedot, myös ne, joita ei ole salattu AgileKeychainilla. Joten mikä ongelma on? Heidän oli päätettävä, käyttävätkö OPVaultia ainoana salausjärjestelmänä vai jatkavatko AgileKeychainin käyttöä vaihtoehtona. Ja he valitsivat tämän toisen vaihtoehdon.

Miksi ylläpitää vähemmän turvallista järjestelmää? OPVault ei aiheuttanut ongelmaa iOS- ja Mac OS X -käyttäjille, mutta Windows, Android-käyttäjät ja ne, jotka valitsivat Dropboxin tietojen synkronointijärjestelmään. Viimeksi mainitun vanhemmat salasanaversiot eivät olleet yhteensopivia OPVaultin kanssa, joten heidän oli päätettävä, mitä tehdä: jätä vanhat versiot taakse tai jatka yhteensopivuuden tarjoamista kaikille. Ja he valitsivat tämän toisen vaihtoehdon pitäen mahdollisuuden käyttää AgileKeychainia.

Todellinen ongelman laajuus

Tärkeintä on vaatia tietoja, joihin joku, joka voisi päästä kyseiseen HTML-tiedostoon ja lukea tietosi, saisi pääsyn (mikä ei ole helppoa): verkko-osoitteet ja web-otsikot. Vain se. Kyllä, on totta, että kenenkään ei tarvitse tietää näitä tietoja ja että se on vika, joka on korjattava, mutta Ei tarvitse pelätä pääsytietojasi verkkosivustoille tai luottokorttisi numeroita, mikä on helpotus.

Kun tämä on tullut selväksi, on myös tarpeen mainita kuka on tämä ongelma: ne, jotka edelleen käyttävät AgileKeychainia. Myöskään käyttäjillä, jotka jo käyttävät OPVaultia, ei ole pienintäkään ongelmaa. Ketkä käyttävät OPVaultia? Ne, jotka käyttävät 1Passwordia iOS: lle ja OS X: lle, kun iCloud-synkronointivaihtoehto on käytössä (kuten minun tapauksessani). Jos tämä on myös sinun tapauksesi, sinulla ei ole ongelmaa. Jos olet 1Password-käyttäjä Windowsissa, Androidissa tai käytät Dropboxia synkronointijärjestelmänä, sinun on vaihdettava tallennusjärjestelmäksi OPVault, jonka olet selittänyt täydellisesti Agilebits-blogi, 1Password-kehittäjät (artikkelin lopussa).


iPad 10 Magic Keyboardilla
Olet kiinnostunut:
Erot iPadin ja iPad Airin välillä
Seuraa meitä Google-uutisissa

Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Feli dijo

    Loistava artikkeli Luis, juuri niin tiukan journalismin tulisi olla ja vielä enemmän turvallisuudessa.