Hari-hari ini Anda pasti akan membaca artikel tentang cacat keamanan yang serius di 1Password, salah satu aplikasi terbaik yang ada untuk iOS dan OS X dan salah satu favorit kami untuk pekerjaan baik yang dilakukan pengembangnya, dengan pembaruan konstan tanpa biaya kepada penggunanya. Secara pribadi, ini adalah aplikasi yang saya percaya untuk menyimpan kata sandi, detail bank, kartu kredit, dll. selama bertahun-tahun sekarang, dan saya sangat peduli tentang memberi tahu diri saya sendiri tentang kelemahan keamanan ini karena saya sangat tertarik padanya. Seperti yang sering terjadi dalam kasus ini, ketakutan dan sensasi membanjiri web (Jangan lupa bahwa itulah yang paling laku) jadi saya akan mencoba menjelaskan apa yang telah terjadi dan konsekuensi apa yang mungkin ditimbulkannya.
Masalahnya
Semuanya didasarkan pada laporan yang diterbitkan oleh insinyur Microsoft, Dale Myers, di mana dia menjamin hal itu 1Password menyimpan data yang tidak terenkripsi dalam sistem enkripsi AgileKeychain. Data yang tidak terenkripsi ini secara khusus adalah alamat web dari halaman-halaman yang telah kami simpan dalam layanan ini, dan judulnya, tetapi tidak pernah data akses kami sendiri, yang tetap terenkripsi dengan sempurna. Mengapa menyimpan data ini tidak dienkripsi? Pada dasarnya karena mengenkripsi mereka pada waktu itu (kita berbicara tentang 2008) menyebabkan masalah pada beberapa perangkat saat mengakses data tersebut dan menyebabkan masalah kinerja dan baterai.
Sejauh ini orang mungkin berpikir, "Apa masalahnya?" Banyak pengguna menggunakan 1PasswordAnywhere, sebuah fungsi yang digunakan Dropbox untuk menyimpan kunci 1Password Anda dan memungkinkan Anda mengaksesnya dari browser apa pun tanpa menginstal aplikasi di perangkat. Di sinilah letak masalah utamanya: Google mengindeks konten ini saat disimpan dalam file html, dan seseorang dengan pengetahuan yang diperlukan dapat mengakses file ini dan mengetahui data tersebut tanpa enkripsi. Saya bersikeras lagi, jangan pernah mengakses data Anda, hanya alamat web dan nama web yang telah Anda simpan di 1Password, tidak pernah kredensial Anda.
Solusinya
Pengembang 1Password sendiri telah memecahkan masalah ini pada tahun 2012 dengan cara baru untuk menyimpan data Anda yang disebut OPVault. Sistem baru ini mengenkripsi semua data, termasuk yang tidak dienkripsi dengan AgileKeychain. Jadi apa masalahnya? Bahwa mereka harus memutuskan apakah akan menggunakan OPVault sebagai satu-satunya sistem enkripsi, atau terus menggunakan AgileKeychain sebagai alternatif. Dan mereka memilih opsi kedua ini.
Mengapa mempertahankan sistem yang kurang aman? OPVault tidak menimbulkan masalah bagi pengguna iOS dan Mac OS X, tetapi dengan pengguna Windows, Android, dan mereka yang memilih Dropbox sebagai sistem sinkronisasi data mereka. Versi 1Password yang lebih lama dari yang terakhir tidak kompatibel dengan OPVault, jadi mereka harus memutuskan apa yang harus dilakukan: tinggalkan versi lama itu atau terus berikan kompatibilitas kepada semua orang. Dan mereka memilih alternatif kedua ini, mempertahankan opsi untuk menggunakan AgileKeychain.
Besarnya masalah yang sebenarnya
Hal terpenting adalah menekankan pada data yang dapat diakses oleh seseorang yang dapat mengakses file html tersebut dan membaca data Anda (yang tidak mudah): alamat web dan judul web. Hanya itu. Ya, memang benar bahwa tidak ada yang harus mengetahui data ini, dan itu adalah kesalahan yang harus diperbaiki, tetapi Tidak perlu khawatir dengan akses data Anda ke situs web atau nomor kartu kredit Anda, yang melegakan.
Setelah ini menjadi jelas, penting juga untuk menunjukkan siapa saja yang memiliki masalah ini: mereka yang masih menggunakan AgileKeychain. Para pengguna yang sudah menggunakan OPVault juga tidak memiliki masalah sedikit pun. Siapa yang menggunakan OPVault? Mereka yang menggunakan 1Password untuk iOS dan OS X dengan opsi sinkronisasi iCloud diaktifkan (seperti kasus saya). Jika ini juga kasus Anda, maka tidak ada masalah dengan Anda. Jika Anda adalah pengguna 1Password di Windows, Android atau Anda menggunakan Dropbox sebagai sistem sinkronisasi, maka Anda harus beralih ke OPVault sebagai sistem penyimpanan, yang telah Anda jelaskan dengan sempurna di Blog Agilebits, Pengembang 1Password (di akhir artikel).
Artikel yang bagus Luis, begitulah seharusnya jurnalisme yang ketat dan terlebih lagi jika menyangkut keamanan.