1Password меняет формат файлов по умолчанию для повышения уровня безопасности

    image

    Менеджер файлов 1Password заявил о смене формата файлов, в которых хранится информация пользователей. Эти действия компания решила предпринять в ответ на пост Дейла Майерса, работника Microsfoft, обнаружившего уязвимость в текущем формате. Так, Майерс изучил файл .agilekeychain, оставляемый 1Password, и обнаружил, что метаданные не зашифрованы, а хранятся практически в открытом виде, plain text. А поскольку 1Password — достаточно популярный менеджер паролей, то данные многих сотен тысяч пользователей могут быть скомпрометированы.

    Если кто-либо получает доступ к соответствующему файлу, то этот человек без проблем может получить информацию о сайтах, на которых пользователь недавно логинился. Есть также возможность получить данные о банковском аккаунте пользователя, и узнать, какого рода лицензии на ПО были приобретены. Вся эта информация позволяет обратиться в банк от имени пользователя, плюс злоумышленник может сбросить все пароли. Плюс ко всему, Google индексирует keychain-ы пользователей, обеспечивающих простой доступ к различным сайтам.

    .agilekeychain — это директория, где находится файл 1password.html. Все данные пользователя хранятся в файле 1Password.agilekeychain/data/default/contents.js.

    В свою очередь, в компании Agilebits утверждают, что найденный сотрудником Microsoft баг на самом деле «не баг, а фича». Так, разработчики заранее предусмотрели возможность хранения данных в незашифрованном виде, поскольку в этом случае производительность программы повышается. Интересно, что формат .agilekeychain используется разработчиками с 2008 года — тогда гаджеты и ПО были несколько проще, чем сейчас, поэтому для обеспечения производительности своей программы на не самом сильном железе разработчики решили оставить данные в открытом виде.

    С тех пор был представлен новый формат, OPVault, который был опциональным. После публикации работника Microsoft, компания решила заменить .agilekeychain на OPVault, оставив последний по умолчанию. Если вы работаете с этим менеджером пароля, то перейти со старого формата файлов на новый можно следующим образом:

    ua-hosting.company

    631,81

    Хостинг-провайдер: серверы в NL / US до 100 Гбит/с

    Поделиться публикацией
    Комментарии 20
      –1
      Переплюнули NQ Vault. Браво.
        +2
        Вы перегибаете палку. Открытым текстом доступны поля:

        • title — заголовок записи
        • typeName — категория записи
        • txTimestamp — изменено
        • createdAt — создано

        Это, безусловно, утечка. Но даже близко не стоит с NQ Vault.
        0
        Ну всё-таки не «меняет формат для повышения уровня безопасности», а «меняет формат по умолчанию для повышения уровня безопасности». Формат opvault они ввели ещё в 2012-м, но по умолчанию хранилища создавались в старом agilekeychain из-за его 1PasswordAnywhere, который в новом формате отсутствует (ну ещё из-за обратной совместимости, лени и всего прочего). Почему отсутствует, ведь в opvault данные хранятся в JSON — другой вопрос.
          0
          Спасибо, заголовок поправил.
          +1
          Вот только 1Password for Android не поддерживает OPVault при синхронизации через Dropbox. Придется пока сидеть на старом формате.
            +1
            Забавно. Он появился-то в нормальном виде не так давно, можно было сразу новый формат поддержать.
              0
              Из-за этого пока отказался от синхронизации через Dropbox и синхронизирую через Wi-Fi Sync.
              –2
              Бесполезная вещь, пока не сделают версию для linux.
                +3
                Странно, что заминусовали коммент. На самом деле я вот был бы рад увидеть 1password для линукса. Программа нравится именно за мультиплатформенность.
                  +1
                  Под Wine работает вполне. Не работает только хоткей ctrl+\, нужно не забыть прописать автостарт для 1PasswordHelper и придётся отключить «Verify web browser code signature».
                    0
                    А где можно отключить «Verify web browser code signature»?
                    Облазил все «Preferences» и ничего не нашел похожего.
                      +1
                      вопрос снимаю. нашел не в преференсах.
                    +2
                    Действительно странно, ведь пользователи ОС, отличных от Linux — инопланетяне-рептилоиды.
                      –1
                      на работе — винда, поставил 1password — впечатлился. реально круто. очень!
                      на мобильник\планшет тоже есть версия. норм.
                      но дома линукс, менять его ради парольного менеджера не хочется. но осознал, что появилась незаполненная ниша, в результате — установил keepass.
                      сделают клиента под линукс — куплю и за 200 баксов. а так, посмотрел на триал и отложил.
                      кстати, ну и пусть минусуют. минус за слово линукс — это даже приятно.
                        +2
                        Ну вот у меня и дома и на работе винда, для меня оно тоже бесполезно? Если вы своим комментарием имели ввиду «бесполезно для меня лично», то могу лишь сказать — держите нас в курсе. Минусы я полагаю не за слово linux, не обольщайтесь, а за категоричное высказывание про «бесполезность» софта.
                          –1
                          да, дело в бескомпромисности.
                          сколько я знаю про 1p? лет 5.
                          сколько у них просят под линукс программу? лет 5.
                          и вроде они говорили даже в некоторых местах, что собираются делать. собираются делать тоже уже лет 5. сколько их помню.
                          поэтому пока мои интересы не учтут — они бесполезны.
                          а за категоричность минусовать — это вообще глупость, свойственная людям с однобоким мышлением.
                            0
                            В тех местах, которые я видел они говорили, что учтут просьбу о linux-версии, но именно «она есть у нас в планах» я не видел. Вообще, я уже год, как запускаю Windows-версию под wine и никаких неудобств не чувствую. Ну да, нет поддержки хоткея, но нажать на иконку в браузере действие не сильно более длительное.
                              0
                              пока просьбу не учитывают, да и не учтут, я так думаю.
                              wine — конечно выход, стоит попробовать.
                          0
                          У меня на работе Ubuntu, дома — macOS и win. Вот везде хотелось бы иметь доступ к своим паролям…
                      0
                      Зачем? Есть же keepassx.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое