Uwaga na 1PasswordAnywhere, nie chroni niektórych danych

Ircus

Bardzo aktywny
Ekspert
Dołączył
26 Maj 2010
Posty
12827
Reakcje/Polubienia
43173
Uwaga na 1PasswordAnywhere, usługa nie chroni niektórych z naszych danych
Oprogramowanie do bezpiecznego przechowywania haseł wydaje się obecnie narzędziem niezbędnym. Otacza nas zbyt wiele serwisów, zapamiętanie wszystkich danych staje się niemożliwe. Czasami mogą nas one jednak narazić na wyciek informacji. Jeden ze specjalistów poinformował o istotnej luce w menadżerze 1Password, przez którą atakujący może przechwycić dane na nasz temat.

Na całe szczęście luka nie dotyczy zgromadzonych w sejfie haseł, te są bezpieczne, dopóki oczywiście na komputerze nie znajduje się szkodliwe oprogramowanie. W ramach usługi znajdziemy mechanizm 1PasswordAnywhere, który umożliwia nam dostęp do własnego sejfu z dowolnego miejsca z Internetu. Wystarczy przeglądarka internetowa, uruchomienie odpowiedniego pliku i zalogowanie się w celu odszyfrowania danych. Całość znajduje się w naszych rękach, pliki możemy umieścić w chmurze internetowej pokroju Dropboksa lub na np. serwerze własnej strony internetowej.

W tym drugim przypadku pojawia się jednak pewien istotny problem. Dostęp do haseł jest chroniony przez szyfrowanie, nawet przejęcie plików nie jest więc straszne. Niestety stosowany przez sejf format Agile Keychain ma pewną słabość. Metadane są zapisane w osobnym pliku i przechowywane w postaci jawnego tekstu. Znajdziemy tam natomiast informacje o adresach stron internetowych, nazwach usług, banków, w których posiadamy karty kredytowe. Jeżeli więc zapiszemy w sejfie dane do konta jakiejś strony, którą nie będziemy się chcieli chwalić (choćby serwisy z pornografią), atakujący nie uzyska hasła, ale dowie się, że posiadamy na niej konto.Dale Mayers, pracownik Microsoftu, który odkrył ten problem, postanowił sprawdzić tę kwestię dokładniej. Jak się okazało, wiele osób umieszcza 1Password na serwerach, aby mieć publiczny dostęp do swojego konta. Google natomiast naturalnie indeksuje strony, przez co ułatwia odnalezienie wrażliwych danych. Sprawa jest poważna, bo niektóre z linków zapisanych w sejfie mogą przekazywać istotne dla użytkownika dane np. informacje o sesji lub kody weryfikacyjne wymagane do resetowania hasła. Przy rozbudowanym sejfie metadane pozwalają na uzyskanie wielu informacji o użytkowniku, a jeżeli ten stosuje główne hasło zbudowane z np. jakichś personalnych danych, ułatwia to atak na sam sejf.

Dlaczego twórcy 1Password nie szyfrują metadanych? Początkowo problemem była wydajność tego rozwiązania, autorzy nie chcieli natomiast irytować użytkowników zbyt długim oczekiwaniem na dostęp do danych. Teraz możliwe jest wykorzystywanie nowego formatu OPVault, który nie ujawnia naszych danych. Usługa nie sugeruje jednak jego użycia i domyślnie korzysta z Agile Keychain. Użytkownicy nie są także informowani o potencjalnym ryzyku wynikającym ze stosowania tego rozwiązania. Powód jest stosunkowo prosty: nowy format uniemożliwia korzystanie z opcji 1PasswordAnywhere, co znacznie uderza w funkcjonalność menadżera.

Oczywiście 1Password nie jest jedynym popularnym rozwiązaniem dostępnym na rynku. Ogromną liczbę użytkowników zdobył LastPass, ale obecnie menadżer styka się z problemem ich odpływu – wszystko za sprawą tego, iż firma została przejęta przez LogMeIn, które słynie raczej z zamykania darmowych projektów. Wiele osób podejrzewa więc, że z czasem LastPass stanie się jedynie płatny, a w jeszcze gorszym przypadku jego rozwojem będą zajmować się osoby, które nie powinny pracować nad kwestią bezpieczeństwa danych innych ludzi. Dodajmy do tego problemy wynikające z przechowywania danych na serwerach producenta: są szyfrowane, ale wielu osób może to nie przekonać.

Co więc zrobić? Na szczęście istnieją jeszcze alternatywy, które takich problemów nie mają, choć mogą być nieco mniej wygodne. Użytkowników zainteresowanych przechowywaniem własnych haseł w bezpiecznym sejfie i jego synchronizowaniu na wielu urządzeniach zachęcamy do wypróbowania aplikacji KeePass. To otwartoźródłowe narzędzie przeznaczone do tworzenia zaszyfrowanej bazy wszystkich poufnych informacji.
źródło :dobreprogramy
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24595
Miasto
Trololololo
Korzystam ale z wersji nie chmurkowej także spokojna wasza i moja rozczochrana.
 
Do góry