Менеджер файлов 1Password заявил о смене формата файлов, в которых хранится информация пользователей. Эти действия компания решила предпринять в ответ на пост Дейла Майерса, работника Microsfoft, обнаружившего уязвимость в текущем формате. Так, Майерс изучил файл .agilekeychain, оставляемый 1Password, и обнаружил, что метаданные не зашифрованы, а хранятся практически в открытом виде, plain text. А поскольку 1Password — достаточно популярный менеджер паролей, то данные многих сотен тысяч пользователей могут быть скомпрометированы.
Если кто-либо получает доступ к соответствующему файлу, то этот человек без проблем может получить информацию о сайтах, на которых пользователь недавно логинился. Есть также возможность получить данные о банковском аккаунте пользователя, и узнать, какого рода лицензии на ПО были приобретены. Вся эта информация позволяет обратиться в банк от имени пользователя, плюс злоумышленник может сбросить все пароли. Плюс ко всему, Google индексирует keychain-ы пользователей, обеспечивающих простой доступ к различным сайтам.
.agilekeychain — это директория, где находится файл 1password.html. Все данные пользователя хранятся в файле 1Password.agilekeychain/data/default/contents.js.
В свою очередь, в компании Agilebits утверждают, что найденный сотрудником Microsoft баг на самом деле «не баг, а фича». Так, разработчики заранее предусмотрели возможность хранения данных в незашифрованном виде, поскольку в этом случае производительность программы повышается. Интересно, что формат .agilekeychain используется разработчиками с 2008 года — тогда гаджеты и ПО были несколько проще, чем сейчас, поэтому для обеспечения производительности своей программы на не самом сильном железе разработчики решили оставить данные в открытом виде.
С тех пор был представлен новый формат, OPVault, который был опциональным. После публикации работника Microsoft, компания решила заменить .agilekeychain на OPVault, оставив последний по умолчанию. Если вы работаете с этим менеджером пароля, то перейти со старого формата файлов на новый можно следующим образом:
- 1Password для Mac, руководство.
- 1Password для Windows, руководство.
- If you use only 1Password для iOS, руководство.
- 1Password для Android, руководство.
Комментарии (18)
kemko
20.10.2015 18:52Ну всё-таки не «меняет формат для повышения уровня безопасности», а «меняет формат по умолчанию для повышения уровня безопасности». Формат opvault они ввели ещё в 2012-м, но по умолчанию хранилища создавались в старом agilekeychain из-за его 1PasswordAnywhere, который в новом формате отсутствует (ну ещё из-за обратной совместимости, лени и всего прочего). Почему отсутствует, ведь в opvault данные хранятся в JSON — другой вопрос.
goooseman
20.10.2015 19:52+1Вот только 1Password for Android не поддерживает OPVault при синхронизации через Dropbox. Придется пока сидеть на старом формате.
kemko
20.10.2015 19:57+1Забавно. Он появился-то в нормальном виде не так давно, можно было сразу новый формат поддержать.
memtew
21.10.2015 10:58Из-за этого пока отказался от синхронизации через Dropbox и синхронизирую через Wi-Fi Sync.
kilg
21.10.2015 09:59-2Бесполезная вещь, пока не сделают версию для linux.
MasMaX
21.10.2015 10:46+3Странно, что заминусовали коммент. На самом деле я вот был бы рад увидеть 1password для линукса. Программа нравится именно за мультиплатформенность.
kemko
21.10.2015 12:03+1Под Wine работает вполне. Не работает только хоткей ctrl+\, нужно не забыть прописать автостарт для 1PasswordHelper и придётся отключить «Verify web browser code signature».
bejibx
21.10.2015 13:37+2Действительно странно, ведь пользователи ОС, отличных от Linux — инопланетяне-рептилоиды.
kilg
21.10.2015 15:45-1на работе — винда, поставил 1password — впечатлился. реально круто. очень!
на мобильник\планшет тоже есть версия. норм.
но дома линукс, менять его ради парольного менеджера не хочется. но осознал, что появилась незаполненная ниша, в результате — установил keepass.
сделают клиента под линукс — куплю и за 200 баксов. а так, посмотрел на триал и отложил.
кстати, ну и пусть минусуют. минус за слово линукс — это даже приятно.bejibx
21.10.2015 16:06+2Ну вот у меня и дома и на работе винда, для меня оно тоже бесполезно? Если вы своим комментарием имели ввиду «бесполезно для меня лично», то могу лишь сказать — держите нас в курсе. Минусы я полагаю не за слово linux, не обольщайтесь, а за категоричное высказывание про «бесполезность» софта.
kilg
22.10.2015 07:49-1да, дело в бескомпромисности.
сколько я знаю про 1p? лет 5.
сколько у них просят под линукс программу? лет 5.
и вроде они говорили даже в некоторых местах, что собираются делать. собираются делать тоже уже лет 5. сколько их помню.
поэтому пока мои интересы не учтут — они бесполезны.
а за категоричность минусовать — это вообще глупость, свойственная людям с однобоким мышлением.kemko
22.10.2015 11:10В тех местах, которые я видел они говорили, что учтут просьбу о linux-версии, но именно «она есть у нас в планах» я не видел. Вообще, я уже год, как запускаю Windows-версию под wine и никаких неудобств не чувствую. Ну да, нет поддержки хоткея, но нажать на иконку в браузере действие не сильно более длительное.
kilg
22.10.2015 14:21пока просьбу не учитывают, да и не учтут, я так думаю.
wine — конечно выход, стоит попробовать.
MasMaX
22.10.2015 16:25У меня на работе Ubuntu, дома — macOS и win. Вот везде хотелось бы иметь доступ к своим паролям…
evg_krsk
Переплюнули NQ Vault. Браво.
Narada
Вы перегибаете палку. Открытым текстом доступны поля:
Это, безусловно, утечка. Но даже близко не стоит с NQ Vault.