इन दिनों आपने निश्चित रूप से 1Password में एक गंभीर सुरक्षा दोष के बारे में लेख पढ़ा होगा, जो कि iOS और OS X के लिए मौजूद सबसे अच्छे अनुप्रयोगों में से एक है और हमारे डेवलपर्स के अच्छे काम के लिए जो इसके डेवलपर्स इसके साथ करते हैं, बिना किसी लागत के निरंतर अपडेट के साथ। अपने उपयोगकर्ताओं के लिए। व्यक्तिगत रूप से, यह आवेदन में है कि मुझे अपने पासवर्ड, बैंक विवरण, क्रेडिट कार्ड, आदि को स्टोर करने पर भरोसा है। अब के वर्षों के लिए, और मैंने खुद को इस सुरक्षा दोष के बारे में सूचित करने के लिए बहुत परवाह की है क्योंकि मुझे इसमें बहुत दिलचस्पी थी। जैसा कि अक्सर इन मामलों में होता है, डराने और सनसनीखेज वेब पर बाढ़ आती है (आइए यह न भूलें कि यह वही है जो सबसे अधिक बिकता है) इसलिए मैं स्पष्ट करने की कोशिश करने जा रहा हूं कि क्या हुआ है और इसके क्या परिणाम हो सकते हैं।
समस्या
सब कुछ एक Microsoft इंजीनियर, डेल मायर्स द्वारा प्रकाशित एक रिपोर्ट पर आधारित है, जिसमें वह यह आश्वासन देता है 1Password अपने AgileKeychain एन्क्रिप्शन सिस्टम में अनएन्क्रिप्टेड डेटा बचाता है। ये अनएन्क्रिप्टेड डेटा विशेष रूप से उन पृष्ठों के वेब पते हैं, जिन्हें हमने इस सेवा और उनके शीर्षकों में सहेजा है, लेकिन कभी भी हमारा एक्सेस डेटा स्वयं नहीं है, जो पूरी तरह से एन्क्रिप्टेड रहता है। इस डेटा को अनएन्क्रिप्टेड क्यों रखें? मूल रूप से क्योंकि उस समय उन्हें एन्क्रिप्ट करना (हम 2008 के बारे में बात कर रहे हैं) उस डेटा तक पहुंचने और प्रदर्शन और बैटरी की समस्याओं के कारण कुछ उपकरणों के लिए समस्याएं पैदा हुईं।
अब तक कोई सोच सकता है, "समस्या क्या है?" कई उपयोगकर्ता 1PasswordAnywhere का उपयोग करते हैं, एक फ़ंक्शन जो ड्रॉपबॉक्स आपके 1Password कुंजी को संग्रहीत करने के लिए उपयोग करता है और आपको डिवाइस पर एप्लिकेशन इंस्टॉल किए बिना किसी भी ब्राउज़र से उन्हें एक्सेस करने की अनुमति देता है। यह ठीक वही है जहां मुख्य समस्या निहित है: Google इस सामग्री को एक html फ़ाइल में संग्रहीत करने पर अनुक्रमित करता है, और आवश्यक ज्ञान रखने वाला कोई व्यक्ति इस फ़ाइल तक पहुंच सकता है और उस डेटा को एन्क्रिप्शन के बिना जान सकता है। मैं फिर से जोर देता हूं, कभी भी आपके एक्सेस डेटा, केवल वेब पते और वेब के नाम जो आपने 1Password में संग्रहीत किए हैं, कभी भी अपनी साख नहीं बनाएं.
समाधान
1Password Developers ने 2012 में अपने डेटा को OPVault नाम से सहेजने के नए तरीके के साथ पहले ही इस समस्या को हल कर लिया था। यह नई प्रणाली उन सभी डेटा को एन्क्रिप्ट करती है, जिनमें एगिलीकेचिन के साथ एन्क्रिप्ट नहीं किया गया था। तो समस्या क्या है? कि उन्हें यह निर्णय लेना था कि ओपवॉल्ट को एकमात्र एन्क्रिप्शन प्रणाली के रूप में उपयोग करना है, या विकल्प के रूप में एजाइलकेचिन का उपयोग जारी रखना है। और उन्होंने इस दूसरे विकल्प को चुना।
कम सुरक्षित प्रणाली क्यों बनाए रखें? OPVault ने iOS और Mac OS X उपयोगकर्ताओं के साथ समस्या का सामना नहीं किया है, लेकिन विंडोज, एंड्रॉइड उपयोगकर्ताओं और उन लोगों के साथ जो ड्रॉपबॉक्स को अपने डेटा सिंक सिस्टम के रूप में चुनते हैं। उत्तरार्द्ध के पुराने 1Password संस्करण OPVault के साथ संगत नहीं थे, इसलिए उन्हें निर्णय लेना था कि क्या करना है: उन पुराने संस्करणों को पीछे छोड़ दें या सभी को अनुकूलता देना जारी रखें। और उन्होंने AgileKeychain का उपयोग करने का विकल्प रखते हुए इस दूसरे विकल्प को चुना।
समस्या की वास्तविक परिमाण
सबसे महत्वपूर्ण बात यह है कि उस डेटा पर जोर दिया जाए जो कोई व्यक्ति उस HTML फ़ाइल तक पहुंच सकता है और आपके डेटा को पढ़ सकता है (जो कि आसान नहीं है): वेब पते और वेब शीर्षक। केवल वह। हां, यह सच है कि किसी को भी इस डेटा को जानना नहीं है, और यह एक गलती है जिसे सही किया जाना चाहिए, लेकिन वेबसाइटों या आपके क्रेडिट कार्ड नंबरों पर आपके एक्सेस डेटा के लिए डरने की जरूरत नहीं है, जो एक राहत है.
एक बार जब यह स्पष्ट हो गया है, तो यह इंगित करना भी आवश्यक है कि वे कौन हैं जिनके पास यह समस्या है: जो अभी भी AgileKeychain का उपयोग करते हैं। वे उपयोगकर्ता जो पहले से ही OPVault का उपयोग करते हैं उन्हें या तो थोड़ी सी भी समस्या नहीं है। OPVault का उपयोग करने वाले कौन हैं? जो लोग आईक्लाउड सिंक विकल्प सक्षम (जैसे मेरा मामला है) के साथ iOS और OS X के लिए 1Password का उपयोग करते हैं। यदि यह भी आपका मामला है, तो आपके साथ कोई समस्या नहीं है। यदि आप Windows, Android पर 1Password उपयोगकर्ता हैं या आप ड्रॉपबॉक्स को सिंक्रोनाइज़ेशन सिस्टम के रूप में उपयोग करते हैं, तो आपको स्टोरेज सिस्टम के रूप में OPVault में बदलना होगा, जिसे आपने पूरी तरह से समझाया है Agilebits ब्लॉग, 1Password Developers (लेख के अंत में)।
महान लेख लुइस, जो कि पत्रकारिता कितनी कठोर होनी चाहिए और उससे भी ज्यादा जब सुरक्षा की बात हो।