В эти дни вы наверняка прочтете статьи о серьезном недостатке безопасности в 1Password, одном из лучших приложений для iOS и OS X и одном из наших фаворитов за хорошую работу, которую его разработчики делают с ним, с постоянными бесплатными обновлениями. своим пользователям. Лично я доверяю приложению хранить свои пароли, банковские реквизиты, кредитные карты и т. Д. в течение многих лет, и я очень заботился о том, чтобы проинформировать себя об этой уязвимости безопасности, потому что я был очень заинтересован в ней. Как это часто бывает в подобных случаях, Интернет наводняет паника и сенсации. (Не будем забывать, что это то, что продается больше всего), поэтому я попытаюсь прояснить, что произошло и какие последствия это может иметь.
Проблема
Все основано на отчете, опубликованном инженером Microsoft Дейлом Майерсом, в котором он заверяет, что 1Password сохраняет данные в незашифрованном виде в своей системе шифрования AgileKeychain.. Эти незашифрованные данные представляют собой, в частности, веб-адреса тех страниц, которые мы сохранили в этой службе, и их заголовки, но не сами данные для доступа, которые остаются полностью зашифрованными. Зачем хранить эти данные в незашифрованном виде? В основном потому, что их шифрование в то время (мы говорим о 2008 году) вызывало проблемы для некоторых устройств при доступе к этим данным и вызывало проблемы с производительностью и батареей.
Пока можно подумать: «В чем проблема?» Многие пользователи используют 1PasswordAnywhere, функцию, которую Dropbox использует для хранения ваших ключей 1Password и позволяет вам получить к ним доступ из любого браузера, не устанавливая приложение на устройство. Именно в этом и заключается основная проблема: Google индексирует этот контент, когда он хранится в html-файле, и кто-то с необходимыми знаниями может иметь доступ к этому файлу и знать эти данные без шифрования. Я снова настаиваю, никогда не используйте ваши данные доступа, только веб-адреса и имена веб-сайтов, которые вы сохранили в 1Password, и никогда не ваши учетные данные..
решение
Сами разработчики 1Password уже решили эту проблему еще в 2012 году с новым способом сохранения ваших данных под названием OPVault.. Эта новая система шифрует все данные, в том числе те, которые не были зашифрованы с помощью AgileKeychain. Так в чем проблема? Им нужно было решить, использовать ли OPVault в качестве единственной системы шифрования или продолжать использовать AgileKeychain в качестве альтернативы. И они выбрали второй вариант.
Зачем поддерживать менее безопасную систему? OPVault не представлял проблемы для пользователей iOS и Mac OS X, но это было так для пользователей Windows, Android и тех, кто выбрал Dropbox в качестве системы синхронизации данных. Более старые версии 1Password последнего не были совместимы с OPVault, поэтому им пришлось решать, что делать: оставьте эти старые версии позади или продолжайте предоставлять совместимость всем. И они выбрали вторую альтернативу, сохранив возможность использования AgileKeychain.
Реальный масштаб проблемы
Самое главное - настаивать на данных, к которым тот, кто может получить доступ к этому html-файлу и прочитать ваши данные, будет иметь доступ (что непросто): веб-адреса и веб-заголовки. Вот и все. Да, это правда, что никто не должен знать эти данные, и что это ошибка, которую необходимо исправить, но Не нужно опасаться за данные для доступа к веб-сайтам или номера кредитных карт, что является облегчением..
Как только это станет ясно, необходимо также указать, у кого есть эта проблема: у тех, кто все еще использует AgileKeychain. У тех пользователей, которые уже используют OPVault, тоже нет ни малейших проблем. Кто использует OPVault? Те, кто использует 1Password для iOS и OS X с включенной опцией синхронизации iCloud (как в моем случае). Если это тоже ваш случай, то с вами проблем нет. Если вы являетесь пользователем 1Password в Windows, Android или используете Dropbox в качестве системы синхронизации, вам необходимо перейти на OPVault в качестве системы хранения, что вы прекрасно объяснили в Блог Agilebits, Разработчики 1Password (в конце статьи).
Отличная статья, Луис, вот какой должна быть журналистика, и тем более, когда дело касается безопасности.