Prawda o luce w zabezpieczeniach 1Password

Actualidad iPad

4 minut

1Password

W dzisiejszych czasach z pewnością przeczytasz artykuły na temat poważnej luki w zabezpieczeniach 1Password, jednej z najlepszych aplikacji istniejących na iOS i OS X i jednej z naszych ulubionych za dobrą pracę, którą wykonują jej programiści, z ciągłymi aktualizacjami bez żadnych kosztów swoim użytkownikom. Osobiście ufam aplikacji do przechowywania moich haseł, danych bankowych, kart kredytowych itp. od lat i tak bardzo zależało mi na tym, aby dowiedzieć się o tej luce w zabezpieczeniach, ponieważ bardzo mnie to zainteresowało. Jak to często bywa w takich przypadkach, sieć zalewa panika i sensacja (Nie zapominajmy, że to się najlepiej sprzedaje), więc spróbuję wyjaśnić, co się stało i jakie może to mieć konsekwencje.

Problem

Wszystko opiera się na raporcie opublikowanym przez inżyniera Microsoft, Dale'a Myersa, w którym to zapewnia 1Password zapisuje niezaszyfrowane dane w swoim systemie szyfrowania AgileKeychain. Te niezaszyfrowane dane to w szczególności adresy internetowe stron, które zapisaliśmy w tej usłudze, oraz ich tytuły, ale nigdy same dane dostępowe, które pozostają doskonale zaszyfrowane. Po co przechowywać te dane w postaci niezaszyfrowanej? Zasadniczo dlatego, że ich szyfrowanie w tamtym czasie (mówimy o 2008 r.) Powodowało problemy z niektórymi urządzeniami podczas uzyskiwania dostępu do tych danych oraz powodowało problemy z wydajnością i baterią.

Jak dotąd można pomyśleć: „W czym problem?” Wielu użytkowników korzysta z 1PasswordAnywhere, funkcji używanej przez Dropbox do przechowywania kluczy 1Password i umożliwiającej dostęp do nich z dowolnej przeglądarki bez konieczności instalowania aplikacji na urządzeniu. Właśnie w tym tkwi główny problem: Google indeksuje tę zawartość, gdy jest przechowywana w pliku html, a ktoś z niezbędną wiedzą może mieć dostęp do tego pliku i znać te dane bez szyfrowania. Ponownie nalegam, nigdy twoich danych dostępowych, tylko adresy internetowe i nazwy stron internetowych, które zapisałeś w 1Password, nigdy twoje dane uwierzytelniające.

1Password

Rozwiązanie

Sami programiści 1Password rozwiązali ten problem już w 2012 roku dzięki nowemu sposobowi zapisywania danych o nazwie OPVault. Ten nowy system szyfruje wszystkie dane, w tym te, które nie zostały zaszyfrowane za pomocą AgileKeychain. Więc jaki jest problem? Że musieli zdecydować, czy używać OPVault jako jedynego systemu szyfrowania, czy nadal używać AgileKeychain jako alternatywy. I zdecydowali się na tę drugą opcję.

Po co utrzymywać mniej bezpieczny system? OPVault nie stanowiło problemu dla użytkowników iOS i Mac OS X, ale dla użytkowników Windowsa, Androida i tych, którzy wybrali Dropbox jako swój system synchronizacji danych. Starsze wersje tego ostatniego 1Password nie były kompatybilne z OPVault, więc musieli zdecydować, co zrobić: zostaw te stare wersje lub nadal zapewniaj kompatybilność wszystkim. I zdecydowali się na tę drugą alternatywę, zachowując opcję używania AgileKeychain.

Prawdziwa skala problemu

Najważniejsze jest naleganie na dane, do których miałby dostęp ktoś, kto mógłby dotrzeć do tego pliku html i odczytać Twoje dane (co nie jest łatwe): adresy internetowe i tytuły stron internetowych. Tylko to. Tak, to prawda, że ​​nikt nie musi znać tych danych i że jest to usterka, którą trzeba poprawić, ale Nie musisz się obawiać o dane dostępowe do stron internetowych lub numery kart kredytowych, co jest ulgą.

Gdy stanie się to jasne, konieczne jest również wskazanie, kim są ci, którzy mają ten problem: ci, którzy nadal używają AgileKeychain. Użytkownicy, którzy już korzystają z OPVault, również nie mają najmniejszego problemu. Kim są ci, którzy używają OPVault? Ci, którzy używają 1Password na iOS i OS X z włączoną opcją synchronizacji iCloud (tak jak w moim przypadku). Jeśli tak jest również w Twoim przypadku, nie ma z Tobą problemu. Jeśli jesteś użytkownikiem 1Password w systemie Windows, Android lub używasz Dropbox jako systemu synchronizacji, musisz przejść na OPVault jako system przechowywania, co doskonale wyjaśniłeś w Blog Agilebits, Deweloperzy 1Password (na końcu artykułu).


iPad 10 z Magic Keyboard
Jesteś zainteresowany:
Różnice między iPadem a iPadem Air
Obserwuj nas w Wiadomościach Google

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Feli powiedział
    temu 9 roku

    Świetny artykuł Luis, tak rygorystyczne powinno być dziennikarstwo, a jeszcze bardziej jeśli chodzi o bezpieczeństwo.

    Odpowiedz Feli