Ovih ćete dana zasigurno pročitati članke o ozbiljnoj sigurnosnoj grešci u 1Passwordu, jednoj od najboljih aplikacija koje postoje za iOS i OS X i jednoj od naših omiljenih za dobro djelo koje njegovi programeri rade s njim, uz stalna ažuriranja bez ikakvih troškova svojim korisnicima. Osobno, u aplikaciju vjerujem da čuva moje lozinke, bankovne podatke, kreditne kartice itd. već godinama i toliko mi je stalo da se informiram o ovoj sigurnosnoj grešci jer me to jako zanimalo. Kao što se često događa u tim slučajevima, plašenje i senzacionalizam preplavljuju mrežu (Ne zaboravimo da je to ono što se najviše prodaje), pa ću pokušati razjasniti što se dogodilo i kakve posljedice to može imati.
problem
Sve se temelji na izvješću koje je objavio Microsoftov inženjer Dale Myers u kojem on to uvjerava 1Password sprema nešifrirane podatke u svoj sustav šifriranja AgileKeychain. Ovi nešifrirani podaci posebno su web adrese onih stranica koje smo spremili u ovoj usluzi i njihovi naslovi, ali nikada sami podaci o pristupu, koji ostaju savršeno šifrirani. Zašto ove podatke držati nešifriranima? Uglavnom jer je njihovo šifriranje u to vrijeme (govorimo o 2008. godini) nekim uređajima stvaralo probleme prilikom pristupa tim podacima i uzrokovalo probleme s performansama i baterijom.
Do sada se može pomisliti: "U čemu je problem?" Mnogi korisnici koriste 1PasswordAnywhere, funkciju koju Dropbox koristi za pohranu vaših 1Password ključeva i omogućuje vam pristup njima iz bilo kojeg preglednika bez instaliranja aplikacije na uređaju. Upravo u tome leži glavni problem: Google indeksira ovaj sadržaj kad je pohranjen u html datoteci, a netko tko ima potrebno znanje može imati pristup toj datoteci i znati te podatke bez šifriranja. Opet inzistiram, nikada na vašim pristupnim podacima, samo na web adresama i imenima mreža koje ste pohranili u 1Password, nikada na vašim vjerodajnicama.
Rješenje
Sami programeri 1Password već su 2012. riješili ovaj problem novim načinom spremanja vaših podataka pod nazivom OPVault. Ovaj novi sustav šifrira sve podatke, uključujući one koji nisu šifrirani AgileKeychainom. Pa u čemu je problem? Da su morali odlučiti hoće li koristiti OPVault kao jedini sustav šifriranja ili će nastaviti koristiti AgileKeychain kao alternativu. I odlučili su se za ovu drugu opciju.
Zašto održavati manje siguran sustav? OPVault nije predstavljao problem za korisnike iOS-a i Mac OS-a X, ali jest za Windows, Android korisnike i one koji su se odlučili za Dropbox kao svoj sustav za sinkronizaciju podataka. Starije verzije 1Passworda potonjeg nisu bile kompatibilne s OPVaultom, pa su morali odlučiti što učiniti: ostavite te stare verzije ili nastavite davati kompatibilnost svima. Odlučili su se za ovu drugu alternativu, zadržavši mogućnost korištenja AgileKeychain-a.
Stvarna veličina problema
Najvažnije je inzistirati na podacima kojima bi pristupio netko tko bi mogao pristupiti toj html datoteci i pročitati vaše podatke (što nije lako): web adrese i naslovi web stranica. Samo to. Da, istina je da nitko ne mora znati ove podatke i da je to greška koja se mora ispraviti, ali Nema potrebe za strahom za podatke o web pristupu ili brojeve svojih kreditnih kartica, što je olakšanje.
Jednom kada je to postalo jasno, također je potrebno istaknuti tko su oni koji imaju ovaj problem: oni koji još uvijek koriste AgileKeychain. Oni korisnici koji već koriste OPVault nemaju ni najmanjeg problema. Tko su oni koji koriste OPVault? Oni koji koriste 1Password za iOS i OS X s omogućenom opcijom sinkronizacije iCloud (kao što je to moj slučaj). Ako je ovo također vaš slučaj, onda s vama nema problema. Ako ste korisnik 1Password-a u sustavu Windows, Android ili koristite Dropbox kao sustav za sinkronizaciju, tada se morate promijeniti u OPVault kao sustav za pohranu, što ste savršeno objasnili u Blog Agilebits, 1Programeri za lozinke (na kraju članka).
Sjajan članak Luis, takvo bi rigorozno novinarstvo trebalo biti, a još više što se tiče sigurnosti.