這些天,您肯定會讀到有關1Password嚴重安全漏洞的文章,這是iOS和OS X上存在的最佳應用程序之一,也是開發人員使用它所做的出色工作的最愛之一,並且不斷進行免費更新給它的用戶。 就個人而言,我信任它是在應用程序中存儲我的密碼,銀行詳細信息,信用卡等。 多年以來,我一直非常關心如何將此安全漏洞告知自己,因為我對此非常感興趣。 在這些情況下,恐嚇和聳人聽聞的內容氾濫成災 (我們不要忘記這是最暢銷的產品),所以我將嘗試澄清發生了什麼以及可能產生的後果。
問題
一切都是基於Microsoft工程師Dale Myers發布的一份報告,他在報告中保證 1Password將未加密的數據保存在其AgileKeychain加密系統中。 這些未加密的數據專門是我們在此服務中保存的那些頁面的網址及其標題,但絕不是我們的訪問數據本身(確實保持了完全加密)。 為什麼要將這些數據保持未加密狀態? 基本上是因為當時(對我們來說是2008年)對它們進行加密會導致某些設備在訪問該數據時出現問題,並導致性能和電池問題。
到目前為止,人們可能會想,“這是什麼問題?” 許多用戶使用1PasswordAnywhere,Dropbox使用此功能存儲您的1Password密鑰,並允許您從任何瀏覽器訪問它們,而無需在設備上安裝應用程序。 這正是主要問題所在:將內容存儲在html文件中時,Google會對其進行索引,並且具有必要知識的人可以訪問此文件,並且知道該數據無需加密。 我再次堅持,永遠不要訪問數據,只保存您在1Password中存儲的網址和網站名稱,永遠不要您的憑據.
解決方案
1Password開發人員自己早在2012年就已經通過一種名為OPVault的新數據保存方式解決了該問題。。 這個新系統會加密所有數據,包括未使用AgileKeychain加密的數據。 那是什麼問題呢? 他們必須決定是使用OPVault作為唯一的加密系統,還是繼續使用AgileKeychain作為替代方案。 他們選擇了第二種選擇。
為什麼要維護一個不太安全的系統? OPVault對iOS和Mac OS X用戶沒有問題,但對Windows,Android用戶以及選擇Dropbox作為其數據同步系統的用戶來說都沒有問題。 後者的較舊的1Password版本與OPVault不兼容,因此他們必須決定要執行的操作: 拋棄那些舊版本或繼續為所有人提供兼容性。 他們選擇了第二種選擇,保留使用AgileKeychain的選項。
問題的實質
最重要的是要堅持數據,那些可以訪問該html文件並讀取您的數據的人將可以訪問(這並不容易):網址和網絡標題。 就這樣。 是的,的確沒有人必須知道此數據,這是必須糾正的故障,但是 無需擔心您對網站的訪問數據或您的信用卡號,這是一種緩解.
一旦明確這一點,還必須指出誰是有此問題的人:仍在使用AgileKeychain的人。 那些已經使用OPVault的用戶也沒有任何問題。 誰在使用OPVault? 那些在啟用了iCloud同步選項的情況下將1Password用於iOS和OS X的用戶(我就是這種情況)。 如果這也是您的情況,那麼您就沒有問題了。 如果您是Windows,Android上的1Password用戶,或者將Dropbox用作同步系統,則必須更改為OPVault作為存儲系統,在 Agilebits博客,1Password開發人員(在本文結尾)。
偉大的文章路易斯(Luis),那就是新聞業應該多麼嚴格,甚至在安全方面也是如此。