Sự thật về lỗ hổng bảo mật 1Password

Những ngày này, bạn chắc chắn sẽ đọc các bài báo về một lỗ hổng bảo mật nghiêm trọng trong 1Password, một trong những ứng dụng tốt nhất tồn tại cho iOS và OS X và một trong những ứng dụng yêu thích của chúng tôi vì công việc tốt mà các nhà phát triển của nó làm với nó, với các bản cập nhật liên tục miễn phí cho người dùng của nó. người dùng. Về mặt cá nhân, nó nằm trong ứng dụng mà tôi tin tưởng để lưu trữ mật khẩu, chi tiết ngân hàng, thẻ tín dụng, v.v. của tôi. trong nhiều năm nay, và tôi đã rất lo lắng về việc thông báo cho bản thân về lỗi bảo mật này bởi vì tôi rất quan tâm đến nó. Như thường xảy ra trong những trường hợp này, chủ nghĩa hù dọa và giật gân tràn ngập trên web (Đừng quên rằng đó là thứ bán chạy nhất) vì vậy tôi sẽ cố gắng làm rõ những gì đã xảy ra và những hậu quả mà nó có thể gây ra.

Vấn đề

Mọi thứ đều dựa trên một báo cáo được xuất bản bởi kỹ sư Microsoft, Dale Myers, trong đó anh ta đảm bảo rằng 1Password lưu dữ liệu không được mã hóa trong hệ thống mã hóa AgileKeychain của nó. Những dữ liệu không được mã hóa này cụ thể là địa chỉ web của những trang mà chúng tôi đã lưu trong dịch vụ này và tiêu đề của chúng, nhưng không bao giờ là dữ liệu truy cập của chúng tôi, vốn vẫn được mã hóa hoàn hảo. Tại sao giữ dữ liệu này không được mã hóa? Về cơ bản vì việc mã hóa chúng vào thời điểm đó (chúng ta đang nói về năm 2008) đã gây ra sự cố cho một số thiết bị khi truy cập dữ liệu đó và gây ra các vấn đề về hiệu suất và pin.

Cho đến nay người ta có thể nghĩ, "Vấn đề là gì?" Nhiều người dùng sử dụng 1PasswordAnywhere, một chức năng mà Dropbox sử dụng để lưu trữ các khóa 1Password của bạn và cho phép bạn truy cập chúng từ bất kỳ trình duyệt nào mà không cần cài đặt ứng dụng trên thiết bị. Đây chính là nơi mà vấn đề chính nằm ở chỗ: Google lập chỉ mục nội dung này khi nó được lưu trữ trong tệp html và ai đó có kiến ​​thức cần thiết có thể truy cập vào tệp này và biết dữ liệu đó mà không cần mã hóa. Tôi nhấn mạnh một lần nữa, không bao giờ dữ liệu truy cập của bạn, chỉ địa chỉ web và tên của các trang web mà bạn đã lưu trữ trong 1Password, không bao giờ là thông tin đăng nhập của bạn.

các giải pháp

Bản thân các nhà phát triển 1Password đã giải quyết vấn đề này vào năm 2012 bằng một cách mới để lưu dữ liệu của bạn có tên là OPVault.. Hệ thống mới này mã hóa tất cả dữ liệu, bao gồm cả những dữ liệu không được mã hóa bằng AgileKeychain. Vì vậy, vấn đề là gì? Rằng họ phải quyết định sử dụng OPVault làm hệ thống mã hóa duy nhất hay tiếp tục sử dụng AgileKeychain như một giải pháp thay thế. Và họ đã chọn phương án thứ hai này.

Tại sao phải duy trì một hệ thống kém an toàn hơn? OPVault không gây ra vấn đề gì đối với người dùng iOS và Mac OS X, nhưng đối với người dùng Windows, Android và những người đã chọn Dropbox làm hệ thống đồng bộ hóa dữ liệu của họ. Các phiên bản 1Password cũ hơn không tương thích với OPVault, vì vậy họ phải quyết định xem phải làm gì: bỏ lại các phiên bản cũ đó hoặc tiếp tục cung cấp khả năng tương thích cho mọi người. Và họ đã chọn giải pháp thay thế thứ hai này, giữ nguyên tùy chọn sử dụng AgileKeychain.

Mức độ thực sự của vấn đề

Điều quan trọng nhất là nhấn mạnh vào dữ liệu mà ai đó có thể truy cập vào tệp html đó và đọc dữ liệu của bạn sẽ có quyền truy cập (điều này không dễ dàng): địa chỉ web và tiêu đề web. Chỉ thế thôi. Đúng, đúng là không ai phải biết dữ liệu này, và đó là lỗi cần phải được sửa chữa, nhưng Không cần phải lo lắng về dữ liệu truy cập của bạn vào các trang web hoặc số thẻ tín dụng của bạn, điều này thật nhẹ nhõm.

Một khi điều này đã trở nên rõ ràng, cũng cần phải chỉ ra những người gặp vấn đề này là ai: những người vẫn sử dụng AgileKeychain. Những người dùng đã sử dụng OPVault cũng không gặp vấn đề nhỏ nhất. Những người sử dụng OPVault là ai? Những người sử dụng 1Password cho iOS và OS X với tùy chọn đồng bộ hóa iCloud được bật (như trường hợp của tôi). Nếu đây cũng là trường hợp của bạn, thì không có vấn đề gì với bạn. Nếu bạn là người dùng 1Password trên Windows, Android hoặc bạn sử dụng Dropbox làm hệ thống đồng bộ hóa thì bạn phải thay đổi thành OPVault làm hệ thống lưu trữ, bạn đã giải thích hoàn hảo trong phần Blog Agilebits, Các nhà phát triển 1Password (ở cuối bài viết).