Dessa dagar har du säkert läst artiklar om ett allvarligt säkerhetsfel i 1Password, en av de bästa applikationerna som finns för iOS och OS X och en av våra favoriter för det goda arbete som utvecklarna gör med det, med ständiga uppdateringar utan kostnad till sina användare. Personligen är det i applikationen jag litar på att lagra mina lösenord, bankuppgifter, kreditkort etc. i åratal nu, och jag har varit så bekymrad över att få reda på detta säkerhetsfel eftersom jag var mycket intresserad av det. Som ofta händer i dessa fall översvämmer skrämsel och sensationism på nätet (Låt oss inte glömma att det är det som säljer mest) så jag ska försöka klargöra vad som har hänt och vilka konsekvenser det kan få.
Problemet
Allt är baserat på en rapport publicerad av en Microsoft-ingenjör, Dale Myers, där han försäkrar det 1Password sparar data okrypterad i sitt AgileKeychain-krypteringssystem. Dessa okrypterade data är specifikt webbadresserna till de sidor som vi har sparat i den här tjänsten och deras titlar, men aldrig våra åtkomstdata i sig, som förblir perfekt krypterade. Varför hålla dessa data okrypterade? I grund och botten för att kryptering av dem vid den tidpunkten (vi pratar om 2008) orsakade problem för vissa enheter vid åtkomst till data och orsakade prestanda och batteriproblem.
Hittills kan man tänka, "Vad är problemet?" Många användare använder 1PasswordAnywhere, en funktion som Dropbox använder för att lagra dina 1Password-nycklar och låter dig komma åt dem från vilken webbläsare som helst utan att applikationen är installerad på enheten. Det är just där huvudproblemet ligger: Google indexerar detta innehåll när det lagras i en html-fil, och någon med nödvändig kunskap kan ha tillgång till den här filen och känna till dessa data utan kryptering. Jag insisterar igen, aldrig dina åtkomstdata, bara webbadresser och namn på de webbsidor som du har lagrat i 1Password, aldrig dina referenser.
Lösningen
1Password-utvecklarna själva har redan löst problemet redan 2012 med ett nytt sätt att spara dina data som heter OPVault. Det nya systemet krypterar all data, inklusive de som inte krypterats med AgileKeychain. Så vad är problemet? Att de var tvungna att bestämma om de skulle använda OPVault som enda krypteringssystem eller att fortsätta använda AgileKeychain som ett alternativ. Och de valde det andra alternativet.
Varför upprätthålla ett mindre säkert system? OPVault utgjorde inte ett problem för iOS- och Mac OS X-användare, utan för Windows-, Android-användare och de som valde Dropbox som deras datasynkroniseringssystem. Äldre 1Password-versioner av den senare var inte kompatibla med OPVault, så de var tvungna att bestämma vad de skulle göra: lämna de gamla versionerna eller fortsätt att ge alla kompatibilitet. Och de valde det andra alternativet och behöll möjligheten att använda AgileKeychain.
Problemets verkliga omfattning
Det viktigaste är att insistera på den information som någon som kan nå den html-filen och läsa dina data skulle ha tillgång till (vilket inte är lätt): webbadresser och webbtitlar. Det är allt. Ja, det är sant att ingen behöver känna till dessa uppgifter, och att det är ett fel som måste åtgärdas, men Det finns ingen anledning att frukta din åtkomstinformation till webbplatserna eller ditt kreditkortsnummer, vilket är en lättnad.
När detta väl är klart är det också nödvändigt att påpeka vem som är de som har detta problem: de som fortfarande använder AgileKeychain. De användare som redan använder OPVault har inte heller det minsta problemet. Vilka är de som använder OPVault? De som använder 1Password för iOS och OS X med alternativet iCloud-synkronisering aktiverat (som är mitt fall). Om detta också är ditt fall är det inget problem med dig. Om du är 1Password-användare på Windows, Android eller använder Dropbox som ett synkroniseringssystem måste du byta till OPVault som ett lagringssystem, vilket du har förklarat perfekt i Agilebits blogg, 1Password-utvecklare (i slutet av artikeln).
Bra artikel Luis, så strikt journalistik bör vara och ännu mer när det gäller säkerhet.