I disse dager vil du sikkert ha lest artikler om en alvorlig sikkerhetsfeil i 1Password, en av de beste applikasjonene som finnes for iOS og OS X, og en av våre favoritter for det gode arbeidet utviklerne gjør med det, med konstante oppdateringer uten kostnad til brukerne. brukere. Personlig er det i applikasjonen jeg stoler på å lagre passordene mine, bankopplysningene, kredittkortene osv. i mange år nå, og jeg har vært så opptatt av å finne ut om denne sikkerhetsfeilen fordi jeg var veldig interessert i den. Som ofte skjer i disse tilfellene, flommer fryktinngyting og sensasjonellisme på nettet (La oss ikke glemme at det er det som selger mest) så jeg skal prøve å avklare hva som har skjedd og hvilke konsekvenser det kan ha.
Problemet
Alt er basert på en rapport publisert av en Microsoft-ingeniør, Dale Myers, der han forsikrer det 1Password lagrer data ukryptert i AgileKeychain-krypteringssystemet. Disse ukrypterte dataene er spesielt nettadressene til sidene vi har lagret i denne tjenesten, og deres titler, men aldri selve tilgangsdataene våre, som forblir perfekt kryptert. Hvorfor holde disse dataene ukryptert? I utgangspunktet fordi kryptering av dem på det tidspunktet (vi snakker om 2008) forårsaket problemer for noen enheter når du fikk tilgang til dataene og forårsaket ytelses- og batteriproblemer.
Så langt kan man tenke: "Hva er problemet?" Mange brukere bruker 1PasswordAnywhere, en funksjon som Dropbox bruker til å lagre 1Password-tastene dine og lar deg få tilgang til dem fra hvilken som helst nettleser uten å ha applikasjonen installert på enheten. Det er nettopp der hovedproblemet ligger: Google indekserer dette innholdet når det lagres i en html-fil, og noen med nødvendig kunnskap kan ha tilgang til denne filen og vite at data uten kryptering. Jeg insisterer igjen, aldri tilgangsdataene dine, bare nettadresser og navn på nettene du har lagret i 1Password, aldri legitimasjonen din.
Løsningen
1Password-utviklerne selv løste allerede dette problemet i 2012 med en ny måte å lagre dataene dine på, kalt OPVault. Dette nye systemet krypterer alle data, inkludert de som ikke ble kryptert med AgileKeychain. Så hva er problemet? At de måtte bestemme om de skulle bruke OPVault som eneste krypteringssystem, eller å fortsette å bruke AgileKeychain som et alternativ. Og de valgte dette andre alternativet.
Hvorfor opprettholde et mindre sikkert system? OPVault utgjorde ikke et problem for brukere av iOS og Mac OS X, men det gjorde for Windows, Android-brukere og de som valgte Dropbox som datasynkroniseringssystem. Eldre 1Password-versjoner av sistnevnte var ikke kompatible med OPVault, så de måtte bestemme hva de skulle gjøre: la de gamle versjonene være igjen eller fortsett å gi kompatibilitet til alle. Og de valgte dette andre alternativet, og holdt muligheten til å bruke AgileKeychain.
Den virkelige størrelsen på problemet
Det viktigste er å insistere på dataene som noen som kan nå den html-filen og lese dataene dine, vil ha tilgang til (noe som ikke er lett): nettadresser og webtitler. Det er alt. Ja, det er sant at ingen trenger å kjenne disse dataene, og at det er en feil som må rettes, men Det er ikke nødvendig å frykte for tilgangsdata til nettstedene eller kredittkortnumrene, noe som er en lettelse.
Når dette har blitt klart, er det også nødvendig å påpeke hvem som er de som har dette problemet: de som fortsatt bruker AgileKeychain. De brukerne som allerede bruker OPVault har heller ikke det minste problemet. Hvem er de som bruker OPVault? De som bruker 1Password for iOS og OS X med alternativet iCloud-synkronisering aktivert (som det er tilfellet mitt). Hvis dette også er saken din, er det ikke noe problem med deg. Hvis du er 1Password-bruker på Windows, Android eller bruker Dropbox som et synkroniseringssystem, må du bytte til OPVault som et lagringssystem, som du har forklart perfekt i Agilebits blogg, 1Password-utviklere (på slutten av artikkelen).
Flott artikkel Luis, det er så streng journalistikk skal være og enda mer når det gjelder sikkerhet.