Ових дана сигурно ћете прочитати чланке о озбиљној сигурносној грешци у 1Пассворд-у, једној од најбољих апликација које постоје за иОС и ОС Кс и једној од наших омиљених за добар рад који његови програмери раде с њом, уз стална ажурирања без икаквих трошкова својим корисницима. Лично, у апликацији верујем да чува моје лозинке, банковне податке, кредитне картице итд. већ годинама и толико сам забринут да се информишем о овој безбедносној грешци јер ме је то јако занимало. Као што се често догађа у овим случајевима, плашење и сензационализам преплављују мрежу (Не заборавимо да је то оно што се највише продаје), па ћу покушати да разјасним шта се догодило и какве последице то може имати.
Проблем
Све се заснива на извештају који је објавио инжењер Мицрософта, Дале Миерс, у којем он то уверава 1Пассворд чува нешифриране податке у свом систему шифровања АгилеКеицхаин. Ови нешифровани подаци су посебно веб адресе оних страница које смо сачували у овој услузи и њихови наслови, али никада сами подаци о приступу, који остају савршено шифровани. Зашто ове податке држати у шифрираном облику? У основи зато што је њихово шифровање у то време (говоримо о 2008. години) неким уређајима стварало проблеме приликом приступа тим подацима и узроковало проблеме са перформансама и батеријом.
До сада се може помислити: "У чему је проблем?" Многи корисници користе 1ПассвордАнивхере, функцију коју Дропбок користи за чување ваших 1Пассворд кључева и омогућава вам приступ њима из било ког прегледача без инсталирања апликације на уређају. Управо у томе лежи главни проблем: Гоогле индексира овај садржај када је ускладиштен у хтмл датотеци, а неко са потребним знањем може имати приступ овој датотеци и знати те податке без шифрирања. Опет инсистирам, никада на вашим приступним подацима, само на веб адресама и именима мрежа које сте сачували у 1Пассворд, никада на вашим акредитивима.
Решење
Сами програмери 1Пассворд већ су решили овај проблем још 2012. године, новим начином чувања података под називом ОПВаулт.. Овај нови систем шифрира све податке, укључујући оне који нису шифровани АгилеКеицхаин-ом. Па у чему је проблем? Да су морали да одлуче да ли ће користити ОПВаулт као једини систем шифровања или ће наставити да користе АгилеКеицхаин као алтернативу. И одлучили су се за ову другу опцију.
Зашто одржавати мање сигуран систем? ОПВаулт није представљао проблем за иОС и Мац ОС Кс кориснике, али јесте за Виндовс, Андроид кориснике и оне који су се одлучили за Дропбок као свој систем за синхронизацију података. Старије верзије 1Пассворд ове последње нису биле компатибилне са ОПВаулт-ом, па су морали да одлуче шта да раде: оставите те старе верзије или наставите да дајете компатибилност свима. И одлучили су се за ову другу алтернативу, задржавајући могућност коришћења АгилеКеицхаин-а.
Стварна величина проблема
Најважније је инсистирати на подацима којима би приступио неко ко би могао доћи до те хтмл датотеке и прочитати ваше податке (што није лако): веб адресе и веб наслови. Само то. Да, истина је да нико не мора знати ове податке и да је грешка која се мора исправити, али Нема потребе да се бојите за своје податке о приступу веб локацијама или бројеве својих кредитних картица, што је олакшање.
Када се ово једном разјасни, такође је потребно нагласити ко су они који имају овај проблем: они који још увек користе АгилеКеицхаин. Они корисници који већ користе ОПВаулт немају ни најмањег проблема. Ко су ти који користе ОПВаулт? Они који користе 1Пассворд за иОС и ОС Кс са омогућеном опцијом синхронизације иЦлоуд (као што је то мој случај). Ако је ово такође ваш случај, онда са вама нема проблема. Ако сте корисник 1Пассворд-а на Виндовс-у, Андроид-у или користите Дропбок као систем за синхронизацију, тада морате да пређете на ОПВаулт као систем за складиштење, што сте савршено објаснили у Агилебитс блог, 1Програмери за лозинке (на крају чланка).
Одличан чланак Луис, такво ригорозно новинарство треба да буде, а још више што се тиче сигурности.