Uwaga na 1PasswordAnywhere, usługa nie chroni niektórych z naszych danych

Uwaga na 1PasswordAnywhere, usługa nie chroni niektórych z naszych danych19.10.2015 15:45
Redakcja

Oprogramowanie do bezpiecznego przechowywania haseł wydaje się obecnie narzędziem niezbędnym. Otacza nas zbyt wiele serwisów, zapamiętanie wszystkich danych staje się niemożliwe. Czasami mogą nas one jednak narazić na wyciek informacji. Jeden ze specjalistów poinformował o istotnej luce w menadżerze 1Password, przez którą atakujący może przechwycić dane na nasz temat.

Na całe szczęście luka nie dotyczy zgromadzonych w sejfie haseł, te są bezpieczne, dopóki oczywiście na komputerze nie znajduje się szkodliwe oprogramowanie. W ramach usługi znajdziemy mechanizm 1PasswordAnywhere, który umożliwia nam dostęp do własnego sejfu z dowolnego miejsca z Internetu. Wystarczy przeglądarka internetowa, uruchomienie odpowiedniego pliku i zalogowanie się w celu odszyfrowania danych. Całość znajduje się w naszych rękach, pliki możemy umieścić w chmurze internetowej pokroju Dropboksa lub na np. serwerze własnej strony internetowej.

W tym drugim przypadku pojawia się jednak pewien istotny problem. Dostęp do haseł jest chroniony przez szyfrowanie, nawet przejęcie plików nie jest więc straszne. Niestety stosowany przez sejf format Agile Keychain ma pewną słabość. Metadane są zapisane w osobnym pliku i przechowywane w postaci jawnego tekstu. Znajdziemy tam natomiast informacje o adresach stron internetowych, nazwach usług, banków, w których posiadamy karty kredytowe. Jeżeli więc zapiszemy w sejfie dane do konta jakiejś strony, którą nie będziemy się chcieli chwalić (choćby serwisy z pornografią), atakujący nie uzyska hasła, ale dowie się, że posiadamy na niej konto.

Dale Mayers, pracownik Microsoftu, który odkrył ten problem, postanowił sprawdzić tę kwestię dokładniej. Jak się okazało, wiele osób umieszcza 1Password na serwerach, aby mieć publiczny dostęp do swojego konta. Google natomiast naturalnie indeksuje strony, przez co ułatwia odnalezienie wrażliwych danych. Sprawa jest poważna, bo niektóre z linków zapisanych w sejfie mogą przekazywać istotne dla użytkownika dane np. informacje o sesji lub kody weryfikacyjne wymagane do resetowania hasła. Przy rozbudowanym sejfie metadane pozwalają na uzyskanie wielu informacji o użytkowniku, a jeżeli ten stosuje główne hasło zbudowane z np. jakichś personalnych danych, ułatwia to atak na sam sejf.

Dlaczego twórcy 1Password nie szyfrują metadanych? Początkowo problemem była wydajność tego rozwiązania, autorzy nie chcieli natomiast irytować użytkowników zbyt długim oczekiwaniem na dostęp do danych. Teraz możliwe jest wykorzystywanie nowego formatu OPVault, który nie ujawnia naszych danych. Usługa nie sugeruje jednak jego użycia i domyślnie korzysta z Agile Keychain. Użytkownicy nie są także informowani o potencjalnym ryzyku wynikającym ze stosowania tego rozwiązania. Powód jest stosunkowo prosty: nowy format uniemożliwia korzystanie z opcji 1PasswordAnywhere, co znacznie uderza w funkcjonalność menadżera.

Oczywiście 1Password nie jest jedynym popularnym rozwiązaniem dostępnym na rynku. Ogromną liczbę użytkowników zdobył LastPass, ale obecnie menadżer styka się z problemem ich odpływu – wszystko za sprawą tego, iż firma została przejęta przez LogMeIn, które słynie raczej z zamykania darmowych projektów. Wiele osób podejrzewa więc, że z czasem LastPass stanie się jedynie płatny, a w jeszcze gorszym przypadku jego rozwojem będą zajmować się osoby, które nie powinny pracować nad kwestią bezpieczeństwa danych innych ludzi. Dodajmy do tego problemy wynikające z przechowywania danych na serwerach producenta: są szyfrowane, ale wielu osób może to nie przekonać.

Co więc zrobić? Na szczęście istnieją jeszcze alternatywy, które takich problemów nie mają, choć mogą być nieco mniej wygodne. Użytkowników zainteresowanych przechowywaniem własnych haseł w bezpiecznym sejfie i jego synchronizowaniu na wielu urządzeniach zachęcamy do wypróbowania aplikacji KeePass. To otwartoźródłowe narzędzie przeznaczone do tworzenia zaszyfrowanej bazy wszystkich poufnych informacji.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na