最近では、iOSとOS Xに存在する最高のアプリケーションの1つであり、開発者がそれを使って行う優れた作業のための私たちのお気に入りのXNUMXつである、XNUMXPasswordの重大なセキュリティ上の欠陥に関する記事を確実に読んでいます。そのusers.usersに。 個人的には、パスワード、銀行口座の詳細、クレジットカードなどを保存することを信頼しているのはアプリケーションです。 何年もの間、私はこのセキュリティ上の欠陥に非常に興味を持っていたので、自分自身にこのセキュリティ上の欠陥について知らせることにとても気を配っていました。 これらの場合によくあることですが、脅迫と扇情主義がウェブに殺到します (それが最も売れているものであることを忘れないでください)それで、私は何が起こったのか、そしてそれがどのような結果をもたらすのかを明らかにしようとします。
問題
すべては、マイクロソフトのエンジニアであるデールマイヤーズが発行したレポートに基づいています。 1PasswordはAgileKeychain暗号化システムで暗号化されていないデータを保存します。 これらの暗号化されていないデータは、具体的には、このサービスで保存したページのWebアドレスとそのタイトルですが、完全に暗号化されたままのアクセスデータ自体ではありません。 なぜこのデータを暗号化しないでおくのですか? 基本的に、その時点で暗号化すると(2008年について話している)、そのデータにアクセスするときに一部のデバイスで問題が発生し、パフォーマンスとバッテリーの問題が発生したためです。
これまでのところ、「何が問題なのか」と考えることができます。 多くのユーザーが1PasswordAnywhereを使用しています。これは、Dropboxが1Passwordキーを保存するために使用する機能であり、アプリケーションをデバイスにインストールしなくても、どのブラウザーからでもアクセスできます。 これがまさに主な問題です。Googleはこのコンテンツがhtmlファイルに保存されているときにインデックスを作成し、必要な知識を持っている人がこのファイルにアクセスして、暗号化せずにそのデータを知ることができます。 私はもう一度主張します、決してあなたのアクセスデータではなく、あなたが1Passwordに保存したウェブのアドレスと名前だけであり、あなたの資格情報ではありません.
ソリューション
1Passwordの開発者自身が、OPVaultと呼ばれるデータを保存する新しい方法で、2012年にすでにこの問題を解決しました。。 この新しいシステムは、AgileKeychainで暗号化されていないデータを含むすべてのデータを暗号化します。 それで、問題は何ですか? OPVaultを唯一の暗号化システムとして使用するか、代わりにAgileKeychainを引き続き使用するかを決定する必要がありました。 そして彼らはこのXNUMX番目のオプションを選びました。
安全性の低いシステムを維持するのはなぜですか? OPVaultは、iOSおよびMac OS Xユーザーには問題を引き起こしませんでしたが、Windows、Androidユーザー、およびデータ同期システムとしてDropboxを選択したユーザーには問題がありました。 後者の古い1PasswordバージョンはOPVaultと互換性がなかったので、彼らは何をすべきかを決定しなければならなかった: それらの古いバージョンを残すか、すべての人に互換性を与え続けます。 そして彼らは、AgileKeychainを使用するオプションを維持しながら、このXNUMX番目の選択肢を選択しました。
問題の本当の大きさ
最も重要なことは、そのhtmlファイルにアクセスしてデータを読み取ることができる誰かがアクセスできるデータ(WebアドレスとWebタイトル)を主張することです(これは簡単ではありません)。 それだけで。 はい、確かに誰もこのデータを知る必要はなく、修正が必要なのは障害ですが、 ウェブサイトへのアクセスデータやクレジットカード番号を恐れる必要はありません。これは安心です。.
これが明らかになったら、この問題を抱えているのは誰か、つまりまだAgileKeychainを使用しているのは誰かを指摘することも必要です。 すでにOPVaultを使用しているユーザーにも、わずかな問題はありません。 OPVaultを使用しているのは誰ですか? (私の場合のように)iCloud同期オプションを有効にしてiOSとOSXに1Passwordを使用している人。 これがあなたの場合でもあるなら、あなたに問題はありません。 Windows、Androidで1Passwordを使用している場合、または同期システムとしてDropboxを使用している場合は、ストレージシステムとしてOPVaultに変更する必要があります。これについては、 Agilebitsブログ、1Password開発者(記事の最後)。
素晴らしい記事ルイス、それはジャーナリズムがいかに厳格であるべきか、そしてセキュリティに関してはさらにそうあるべきです。