这些天,您肯定会读到有关1Password严重安全漏洞的文章,这是iOS和OS X上存在的最佳应用程序之一,也是开发人员使用它所做的出色工作的最爱之一,并且不断进行免费更新给它的用户。 就个人而言,我信任它是在应用程序中存储我的密码,银行详细信息,信用卡等。 多年以来,我一直非常关心这个安全漏洞,因为它引起了我的极大兴趣。 在这些情况下,恐吓和耸人听闻的内容泛滥成灾 (我们不要忘记这是最畅销的产品),所以我将尝试澄清发生了什么以及可能产生的后果。
问题
一切都是基于Microsoft工程师Dale Myers发布的一份报告,他在报告中保证 1Password将未加密的数据保存在其AgileKeychain加密系统中。 这些未加密的数据专门是我们在此服务中保存的那些页面的网址及其标题,但绝不是我们的访问数据本身(确实保持了完全加密)。 为什么要将这些数据保持未加密状态? 基本上是因为当时(对我们来说是2008年)对它们进行加密会导致某些设备在访问该数据时出现问题,并导致性能和电池问题。
到目前为止,人们可能会想,“这是什么问题?” 许多用户使用1PasswordAnywhere,Dropbox使用此功能存储1Password密钥,并允许您从任何浏览器访问它们,而无需在设备上安装应用程序。 这正是主要问题所在:当内容存储在html文件中时,Google会对其进行索引,并且具有必要知识的人可以访问此文件,并且知道该数据无需加密。 我再次坚持,永远不要访问数据,只保存您在1Password中存储的网址和网站名称,永远不要您的凭据.
该解决方案
1Password开发人员自己早在2012年就已经通过一种名为OPVault的新数据保存方式解决了该问题。。 这个新系统会加密所有数据,包括未使用AgileKeychain加密的数据。 那是什么问题呢? 他们必须决定是使用OPVault作为唯一的加密系统,还是继续使用AgileKeychain作为替代方案。 他们选择了第二种选择。
为什么要维护一个不太安全的系统? OPVault对iOS和Mac OS X用户没有问题,但对Windows,Android用户以及选择Dropbox作为其数据同步系统的用户来说都没有问题。 后者的较旧的1Password版本与OPVault不兼容,因此他们必须决定要执行的操作: 抛弃那些旧版本或继续为所有人提供兼容性。 他们选择了第二种选择,保留使用AgileKeychain的选项。
问题的实质
最重要的是要坚持那些可以访问该html文件并读取您的数据的人可以访问的数据(这并不容易):网址和标题。 只有这样。 是的,的确没有人必须知道此数据,这是必须纠正的故障,但是 无需担心您对网站的访问数据或您的信用卡号,这是一种缓解.
一旦明确这一点,还必须指出谁是有此问题的人:仍在使用AgileKeychain的人。 那些已经使用OPVault的用户也没有任何问题。 谁在使用OPVault? 那些在启用了iCloud同步选项的情况下将1Password用于iOS和OS X的用户(我就是这种情况)。 如果这也是您的情况,那么您就没有问题了。 如果您是Windows,Android上的1Password用户,或者将Dropbox用作同步系统,则必须更改为OPVault作为存储系统,在 Agilebits博客,1Password开发人员(在本文结尾)。
伟大的文章Luis,这就是新闻的严谨性,在安全性方面更是如此。