Цими днями ви напевно прочитаєте статті про серйозний дефект безпеки в 1Password, одному з найкращих додатків, що існують для iOS та OS X, і одному з наших улюблених за хорошу роботу, яку розробники роблять з нею, з постійними оновленнями безкоштовно. для своїх користувачів. Особисто саме в додатку я довіряю зберігати свої паролі, банківські реквізити, кредитні картки тощо. ось уже багато років, і я так дбав про те, щоб повідомити себе про цю ваду безпеки, тому що мене це дуже зацікавило. Як це часто трапляється у цих випадках, страхіття та сенсація заполоняють Інтернет (Не забуваймо, що саме це продається найбільше), тому я спробую з’ясувати, що сталося і які наслідки це може мати.
Проблема
Все базується на звіті, опублікованому інженером Microsoft Дейлом Майєрсом, у якому він запевняє це 1Password зберігає незашифровані дані у своїй системі шифрування AgileKeychain. Ці незашифровані дані - це конкретно веб-адреси тих сторінок, які ми зберегли в цій службі, та їх заголовки, але ніколи не самі дані про доступ, які залишаються ідеально зашифрованими. Навіщо зберігати ці дані в незашифрованому вигляді? В основному тому, що шифрування їх у той час (ми говоримо про 2008 рік) спричинило проблеми для деяких пристроїв при доступі до цих даних та спричинило проблеми з продуктивністю та зарядом батареї.
Поки що можна подумати: "У чому проблема?" Багато користувачів використовують 1PasswordAnywhere, функцію, яку Dropbox використовує для зберігання ваших клавіш 1Password і дозволяє отримати доступ до них із будь-якого браузера, не встановивши програму на пристрої. Саме в цьому полягає основна проблема: Google індексує цей вміст, коли він зберігається у файлі html, і хтось із необхідними знаннями може мати доступ до цього файлу та знати ці дані без шифрування. Я знову наполягаю, ніколи не ваші дані доступу, лише веб-адреси та назви веб-сайтів, які ви зберігаєте в 1Password, ніколи ваші облікові дані.
Рішення
Самі розробники 1Password вже вирішили цю проблему ще в 2012 році за допомогою нового способу збереження ваших даних під назвою OPVault. Ця нова система шифрує всі дані, включаючи ті, які не були зашифровані за допомогою AgileKeychain. То в чому проблема? Що їм довелося вирішити, чи використовувати OPVault як єдину систему шифрування, чи продовжувати використовувати AgileKeychain як альтернативу. І вони обрали цей другий варіант.
Навіщо підтримувати менш безпечну систему? OPVault не створював проблем для користувачів iOS та Mac OS X, але це робив для Windows, користувачів Android та тих, хто вибрав Dropbox як свою систему синхронізації даних. Старіші версії 1Password останніх були несумісні з OPVault, тому вони мали вирішити, що робити: залиште ці старі версії позаду або продовжуйте надавати сумісність усім. І вони обрали цю другу альтернативу, зберігаючи можливість використання AgileKeychain.
Реальна масштабність проблеми
Найголовніше - наполягати на даних, до яких той, хто міг би отримати доступ до цього html-файлу та прочитати ваші дані, мав би доступ (що непросто): веб-адреси та веб-заголовки. Тільки те. Так, це правда, що ніхто не повинен знати цих даних, і це помилка, яку потрібно виправити, але Не потрібно боятися даних про доступ до веб-сайтів або номерів кредитних карток, що полегшує ситуацію.
Як тільки це стане зрозумілим, необхідно також вказати, хто такі, у кого є ця проблема: ті, хто все ще користується AgileKeychain. У тих користувачів, які вже використовують OPVault, також немає найменших проблем. Хто користується OPVault? Ті, хто використовує 1Password для iOS та OS X із увімкненою опцією синхронізації iCloud (як у моєму випадку). Якщо це теж ваш випадок, то з вами проблем немає. Якщо ви користувач 1Password у Windows, Android або ви використовуєте Dropbox як систему синхронізації, вам доведеться перейти на OPVault як систему зберігання, про що ви чудово пояснили в Блог Agilebits, 1Розробники паролів (в кінці статті).
Чудова стаття, Луїс, такою має бути сувора журналістика і тим більше, коли справа стосується безпеки.