La verità sulla falla di sicurezza di 1Password

Actualidad iPad

4 minuti

1Password

In questi giorni avrai sicuramente letto articoli su una grave falla di sicurezza in 1Password, una delle migliori applicazioni esistenti per iOS e OS X e una delle nostre preferite per il buon lavoro che ci fanno i suoi sviluppatori, con aggiornamenti costanti a costo zero ai suoi utenti. Personalmente, è nell'applicazione che mi fido di memorizzare le mie password, coordinate bancarie, carte di credito, ecc. da anni ormai, e sono stato così preoccupato di scoprire questo difetto di sicurezza perché ero molto interessato ad esso. Come spesso accade in questi casi, allarmismo e sensazionalismo inondano il web (Non dimentichiamo che è quello che vende di più) quindi cercherò di chiarire cosa è successo e quali conseguenze potrebbe avere.

Il problema

Tutto si basa su un rapporto pubblicato da un ingegnere Microsoft, Dale Myers, in cui lo assicura 1Password salva i dati non crittografati nel suo sistema di crittografia AgileKeychain. Questi dati non crittografati sono specificamente gli indirizzi web di quelle pagine che abbiamo salvato in questo servizio ei loro titoli, ma mai i nostri dati di accesso stessi, che rimangono perfettamente crittografati. Perché mantenere questi dati non crittografati? Fondamentalmente perché crittografarli in quel momento (stiamo parlando del 2008) ha causato problemi ad alcuni dispositivi durante l'accesso a quei dati e ha causato problemi di prestazioni e batteria.

Fin qui si può pensare: "Qual è il problema?" Molti utenti utilizzano 1PasswordAnywhere, una funzione che Dropbox utilizza per memorizzare le tue chiavi 1Password e ti consente di accedervi da qualsiasi browser senza avere l'applicazione installata sul dispositivo. È proprio qui che risiede il problema principale: Google indicizza questo contenuto quando è memorizzato in un file html e qualcuno con le conoscenze necessarie può avere accesso a questo file e conoscere quei dati senza crittografia. Insisto ancora, mai i tuoi dati di accesso, solo indirizzi web e nomi dei siti web che hai memorizzato in 1Password, mai le tue credenziali.

1Password

La soluzione

Gli stessi sviluppatori di 1Password hanno già risolto questo problema nel 2012 con un nuovo modo di salvare i dati chiamato OPVault. Questo nuovo sistema crittografa tutti i dati, inclusi quelli che non sono stati crittografati con AgileKeychain. Quindi qual'è il problema? Che dovevano decidere se utilizzare OPVault come unico sistema di crittografia o continuare a utilizzare AgileKeychain come alternativa. E hanno optato per questa seconda opzione.

Perché mantenere un sistema meno sicuro? OPVault non ha rappresentato un problema con gli utenti iOS e Mac OS X, ma con Windows, utenti Android e coloro che hanno scelto Dropbox come sistema di sincronizzazione dei dati. Le versioni precedenti di 1Password di quest'ultimo non erano compatibili con OPVault, quindi dovevano decidere cosa fare: lascia quelle vecchie versioni o continua a dare la compatibilità a tutti. E hanno optato per questa seconda alternativa, mantenendo la possibilità di utilizzare AgileKeychain.

La reale entità del problema

La cosa più importante è insistere sui dati che qualcuno che potrebbe raggiungere quel file html e leggere i tuoi dati avrebbe accesso (cosa non facile): indirizzi web e titoli web. Solo quello. Sì, è vero che nessuno deve conoscere questi dati e che è un difetto che deve essere corretto, ma Non c'è bisogno di temere per i tuoi dati di accesso ai siti web o per i numeri della tua carta di credito, il che è un sollievo.

Una volta che questo è diventato chiaro, è anche necessario indicare chi sono coloro che hanno questo problema: coloro che usano ancora AgileKeychain. Anche quegli utenti che usano già OPVault non hanno il minimo problema. Chi sono quelli che usano OPVault? Coloro che utilizzano 1Password per iOS e OS X con l'opzione di sincronizzazione iCloud abilitata (come nel mio caso). Se questo è anche il tuo caso, non ci sono problemi con te. Se sei un utente 1Password su Windows, Android o utilizzi Dropbox come sistema di sincronizzazione, devi passare a OPVault come sistema di archiviazione, che hai perfettamente spiegato nella Blog Agilebits, Sviluppatori di 1Password (alla fine dell'articolo).


iPad 10 con tastiera magica
Sei interessato a:
Differenze tra iPad e iPad Air
Seguici su Google News

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Feli suddetto
    fa 9 anni

    Grande articolo Luis, è così che dovrebbe essere rigoroso il giornalismo e ancora di più quando si parla di sicurezza.

    Rispondi a Feli