Danes boste zagotovo prebrali članke o resni varnostni napaki v 1Password, eni najboljših aplikacij, ki obstajajo za iOS in OS X, in eni izmed naših priljubljenih za dobro delo, ki ga s tem izvajajo njegovi razvijalci, s stalnimi posodobitvami brez stroškov svojim uporabnikom. Osebno v aplikaciji zaupam, da shranjuje gesla, bančne podatke, kreditne kartice itd. Že leta mi je tako mar, da se obveščam o tej varnostni napaki, ker me je zelo zanimala. Kot se v teh primerih pogosto dogaja, splet straši preplah in senzacionalizem (Ne pozabimo, da je to tisto, kar se najbolj prodaja), zato bom poskušal razjasniti, kaj se je zgodilo in kakšne posledice ima lahko.
Problem
Vse temelji na poročilu, ki ga je objavil Microsoftov inženir Dale Myers, v katerem to zagotavlja 1Password shrani šifrirane podatke v svoj sistem šifriranja AgileKeychain. Ti nešifrirani podatki so izrecno spletni naslovi tistih strani, ki smo jih shranili v tej storitvi, in njihovi naslovi, nikoli pa naši podatki o dostopu, ki ostanejo popolnoma šifrirani. Zakaj te podatke hraniti nešifrirane? V bistvu zato, ker je njihovo šifriranje takrat (govorimo o letu 2008) nekaterim napravam povzročalo težave pri dostopu do teh podatkov in povzročalo težave z zmogljivostjo in baterijo.
Zaenkrat lahko nekdo pomisli: "V čem je težava?" Številni uporabniki uporabljajo 1PasswordAnywhere, funkcijo, ki jo Dropbox uporablja za shranjevanje vaših tipk 1Password in vam omogoča dostop do njih iz katerega koli brskalnika, ne da bi bila aplikacija nameščena v napravi. Prav v tem je glavna težava: Google indeksira to vsebino, ko je shranjena v datoteki html, in nekdo s potrebnim znanjem ima lahko dostop do te datoteke in te podatke pozna brez šifriranja. Še enkrat vztrajam, nikoli vaših podatkov o dostopu, samo spletni naslovi in imena spletnih mest, ki ste jih shranili v 1Password, nikoli vaše poverilnice.
Rešitev
Razvijalci 1Password so to težavo že rešili že leta 2012 z novim načinom shranjevanja vaših podatkov, imenovanim OPVault. Ta novi sistem šifrira vse podatke, vključno s tistimi, ki niso bili šifrirani z AgileKeychain. V čem je torej problem? Da so se morali odločiti, ali bodo OPVault uporabili kot edini sistem šifriranja ali bodo še naprej uporabljali AgileKeychain kot alternativo. In odločili so se za to drugo možnost.
Zakaj vzdrževati manj varen sistem? OPVault ni predstavljal težav uporabnikom iOS in Mac OS X, temveč Windowsom, Androidom in tistim, ki so se odločili za Dropbox kot svoj sistem za sinhronizacijo podatkov. Starejše različice 1Password slednjih niso bile združljive z OPVaultom, zato so se morali odločiti, kaj storiti: pustite stare različice za seboj ali še naprej zagotavljajte združljivost vsem. In odločili so se za to drugo možnost, obdržali možnost uporabe AgileKeychain.
Resnična velikost problema
Najpomembneje je vztrajati pri podatkih, do katerih bi imel dostop nekdo, ki bi lahko prišel do te datoteke html in prebral vaše podatke (kar ni enostavno): spletni naslovi in naslovi. To je vse. Da, res je, da teh podatkov nihče ne mora poznati in da je treba napako popraviti, vendar Za vaše podatke o dostopu do spletnih mest ali številke kreditnih kartic se ni treba bati, kar je olajšanje.
Ko je to jasno, je treba tudi opozoriti, kdo je tisti, ki ima to težavo: tisti, ki še vedno uporablja AgileKeychain. Tisti uporabniki, ki že uporabljajo OPVault, nimajo niti najmanjše težave. Kdo so tisti, ki uporabljajo OPVault? Tisti, ki uporabljajo 1Password za iOS in OS X z omogočeno sinhronizacijo iCloud (kot v mojem primeru). Če je to tudi vaš primer, potem z vami ni težav. Če ste uporabnik 1Password v operacijskem sistemu Windows, Android ali uporabljate Dropbox kot sistem za sinhronizacijo, morate kot sistem za shranjevanje spremeniti v OPVault, kar ste popolnoma pojasnili v Blog Agilebits, 1 Razvijalci gesla (na koncu članka).
Odličen članek Luis, takšno bi moralo biti strogo novinarstvo in še bolj, ko gre za varnost.