ความจริงเกี่ยวกับข้อบกพร่องด้านความปลอดภัย 1Password

วันนี้คุณจะได้อ่านบทความเกี่ยวกับข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงใน 1Password ซึ่งเป็นหนึ่งในแอปพลิเคชั่นที่ดีที่สุดสำหรับ iOS และ OS X และเป็นหนึ่งในรายการโปรดของเราสำหรับผลงานที่ดีที่นักพัฒนาทำกับมันโดยมีการอัปเดตอย่างต่อเนื่องโดยไม่มีค่าใช้จ่าย ให้กับผู้ใช้ผู้ใช้ โดยส่วนตัวแล้วมันอยู่ในแอปพลิเคชันที่ฉันไว้วางใจในการจัดเก็บรหัสผ่านรายละเอียดธนาคารบัตรเครดิต ฯลฯ เป็นเวลาหลายปีแล้วและฉันใส่ใจมากกับการแจ้งตัวเองเกี่ยวกับข้อบกพร่องด้านความปลอดภัยนี้เพราะฉันสนใจเรื่องนี้มาก บ่อยครั้งที่เกิดขึ้นในกรณีเหล่านี้ความหวาดกลัวและความรู้สึกโลดโผนท่วมท้นเว็บ (อย่าลืมว่าเป็นสิ่งที่ขายได้มากที่สุด) ดังนั้นฉันจะพยายามชี้แจงสิ่งที่เกิดขึ้นและผลที่ตามมา

ปัญหา

ทุกอย่างเป็นไปตามรายงานที่เผยแพร่โดย Dale Myers ซึ่งเป็นวิศวกรของ Microsoft ซึ่งเขารับรองว่า 1Password บันทึกข้อมูลที่ไม่ได้เข้ารหัสในระบบเข้ารหัส AgileKeychain. ข้อมูลที่ไม่ได้เข้ารหัสเหล่านี้เป็นเฉพาะที่อยู่เว็บของเพจที่เราบันทึกไว้ในบริการนี้และชื่อของพวกเขา แต่ไม่เคยเข้าถึงข้อมูลของเราเองซึ่งจะยังคงเข้ารหัสอย่างสมบูรณ์แบบ เหตุใดจึงเก็บข้อมูลนี้ไว้โดยไม่เข้ารหัส โดยพื้นฐานแล้วเนื่องจากการเข้ารหัสในเวลานั้น (เรากำลังพูดถึงปี 2008) ทำให้เกิดปัญหากับอุปกรณ์บางอย่างเมื่อเข้าถึงข้อมูลนั้นและทำให้เกิดปัญหาด้านประสิทธิภาพและแบตเตอรี่

จนถึงตอนนี้อาจคิดว่า "ปัญหาคืออะไร" ผู้ใช้จำนวนมากใช้ 1PasswordAnywhere ซึ่งเป็นฟังก์ชันที่ Dropbox ใช้เพื่อจัดเก็บคีย์ 1Password ของคุณและช่วยให้คุณเข้าถึงได้จากเบราว์เซอร์ใด ๆ โดยไม่ต้องติดตั้งแอปพลิเคชันบนอุปกรณ์ นี่คือจุดที่เป็นปัญหาหลักอย่างแน่นอน: Google จัดทำดัชนีเนื้อหานี้เมื่อเก็บไว้ในไฟล์ html และผู้ที่มีความรู้ที่จำเป็นสามารถเข้าถึงไฟล์นี้และรู้ว่าข้อมูลนั้นโดยไม่ต้องเข้ารหัส ฉันยืนยันอีกครั้งไม่เคยเข้าถึงข้อมูลของคุณมีเพียงที่อยู่เว็บและชื่อของเว็บที่คุณเก็บไว้ใน 1Password เท่านั้นอย่าใช้ข้อมูลรับรองของคุณ.

การแก้ปัญหา

นักพัฒนา 1Password เองได้แก้ไขปัญหานี้ในปี 2012 ด้วยวิธีใหม่ในการบันทึกข้อมูลของคุณที่เรียกว่า OPVault. ระบบใหม่นี้เข้ารหัสข้อมูลทั้งหมดรวมถึงข้อมูลที่ไม่ได้เข้ารหัสด้วย AgileKeychain แล้วปัญหาคืออะไร? พวกเขาต้องตัดสินใจว่าจะใช้ OPVault เป็นระบบเข้ารหัสเพียงอย่างเดียวหรือจะใช้ AgileKeychain เป็นทางเลือกต่อไป และพวกเขาเลือกใช้ตัวเลือกที่สองนี้

ทำไมต้องรักษาระบบที่มีความปลอดภัยน้อยกว่า? OPVault ไม่ได้ก่อให้เกิดปัญหากับผู้ใช้ iOS และ Mac OS X แต่สำหรับผู้ใช้ Windows, Android และผู้ที่เลือกใช้ Dropbox เป็นระบบซิงค์ข้อมูล 1Password ที่เก่ากว่ารุ่นหลังไม่สามารถทำงานร่วมกับ OPVault ได้ดังนั้นพวกเขาจึงต้องตัดสินใจว่าจะทำอย่างไร: ทิ้งเวอร์ชันเก่าเหล่านั้นไว้ข้างหลังหรือให้ความเข้ากันได้กับทุกคนต่อไป. และพวกเขาเลือกใช้ทางเลือกที่สองนี้โดยรักษาตัวเลือกในการใช้ AgileKeychain

ขนาดที่แท้จริงของปัญหา

สิ่งที่สำคัญที่สุดคือการยืนยันข้อมูลที่ผู้ที่สามารถเข้าถึงไฟล์ html นั้นและอ่านข้อมูลของคุณจะสามารถเข้าถึงได้ (ซึ่งไม่ใช่เรื่องง่าย): ที่อยู่เว็บและชื่อเว็บ ว่ามีเพียง. ใช่มันเป็นความจริงที่ไม่มีใครรู้ข้อมูลนี้และเป็นความผิดที่ต้องได้รับการแก้ไข แต่ ไม่จำเป็นต้องกลัวข้อมูลการเข้าถึงเว็บไซต์หรือหมายเลขบัตรเครดิตของคุณซึ่งเป็นวิธีบรรเทา.

เมื่อชัดเจนแล้วก็จำเป็นต้องชี้ให้เห็นว่าใครคือผู้ที่มีปัญหานี้: ผู้ที่ยังใช้ AgileKeychain ผู้ใช้ที่ใช้ OPVault อยู่แล้วก็ไม่มีปัญหาเช่นกัน ใครคือคนที่ใช้ OPVault? ผู้ที่ใช้ 1Password สำหรับ iOS และ OS X โดยเปิดใช้งานตัวเลือกการซิงค์ iCloud (เช่นเดียวกับกรณีของฉัน) หากเป็นกรณีของคุณแสดงว่าไม่มีปัญหากับคุณ หากคุณเป็นผู้ใช้ 1Password บน Windows, Android หรือคุณใช้ Dropbox เป็นระบบซิงโครไนซ์คุณต้องเปลี่ยนเป็น OPVault เป็นระบบจัดเก็บข้อมูลซึ่งคุณได้อธิบายไว้อย่างสมบูรณ์ใน บล็อก Agilebits, นักพัฒนา 1Password (ท้ายบทความ)