Linux-Team - Information Technology Forum - Ελληνικό Τεχνολογικό Φόρουμ


Μη Συνδεδεμενος Παρακαλώ συνδεθείτε ή εγγραφείτε

 Η 1Password αλλάζει τον τύπο δεδομένων για περισσότερη ασφάλεια

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Πήγαινε κάτω  Μήνυμα [Σελίδα 1 από 1]

Δημοσίευση #1
 BlackHat

BlackHat
Support Admin
Support Admin
Η 1Password αλλάζει τον τύπο δεδομένων για περισσότερη ασφάλεια D908b8786a1b8d671193e4fc52a4c8b5

Η 1Password αποφάσισε να αλλάξει τύπο αρχείου έπειτα από σχετική δημοσίευση του Dale Myers, software engineer της Microsoft, ο οποίος ανέφερε τα πιθανά κενά ασφαλείας του τωρινού τύπου.
Συγκεκριμένα, ο Myers εξέτασε το δικό του αρχείο .agilekeychain της λειτουργίας 1PasswordAnywhere και συνειδητοποίησε ότι τα μεταδεδομένα δεν είναι κρυπτογραφημένα. Αυτό συνεπάγεται ότι οι ιστοσελίδες στις οποίες έχει πρόσβαση ο χρήστης με την εν λόγω λειτουργία καθώς και η τοποθεσία πρόσβασης αποθηκεύονται σε ένα απλό κείμενο. Όσον αφορά το 1PasswordAnywhere, πρόκειται για μια λειτουργία η οποία δίνει πρόσβαση στους αποθηκευμένους κωδικούς του χρήστη, χωρίς να απαιτεί εγκατάσταση της εφαρμογής.

Ο Myers εξήγησε ότι εάν κάποιος αποκτούσε πρόσβαση στο αρχείο αυτό, θα γνώριζε σε ποιες ιστοσελίδες έχει πραγματοποιήσει είσοδο ο χρήστης, θα έβρισκε τους τραπεζικούς του λογαριασμούς καθώς και ποιο license της εφαρμογής έχει αγοράσει. Μάλιστα, θα μπορούσε ακόμη και να κάνει επαναφορά των κωδικών του χρήστη. Επιπλέον, η Google καταχωρεί τα keychains των χρηστών για διευκόλυνση της πρόσβασης. Με βάση λοιπόν μονάχα αυτά τα keychains, ο Myers κατάφερε να εντοπίσει τη δουλειά και την οικογενειακή κατάσταση ενός χρήστη.

Η λειτουργία password anywhere αποθηκεύει δεδομένα αυτόματα χρησιμοποιώντας τον παλιότερο τύπο Agile Keychain της εταιρίας. Ως απάντηση σε αυτό, η ίδια η εταιρία δήλωσε ότι ο τύπος αυτός ξεκίνησε να χρησιμοποιείται το 2008 με την εκκίνηση του προγράμματος, σε μια εποχή που οι συσκευές λειτουργούσαν με πολύ πιο απλό τρόπο. Για λόγους επιδόσεων λοιπόν, αποφάσισαν να μην κρυπτογραφήσουν τα μεταδεδομένα.

Ωστόσο, η εταιρία έχει κυκλοφορήσει τον καινούριο και πιο ασφαλή τύπο OPVault ο οποίος θα γίνει ο βασικός. Επομένως, οι χρήστες έχουν δύο επιλογές: Είτε να εξακολουθήσουν να χρησιμοποιούν τη λειτουργία 1PasswordAnywhere, η οποία θα υιοθετήσει τον καινούριο τύπο στο προσεχές διάστημα, είτε, εάν επιθυμούν περισσότερη ασφάλεια, να πραγματοποιήσουν χειροκίνητο log-in migration.

[Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.]

Source: [Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.]

Επισκόπηση προηγούμενης Θ.Ενότητας Επισκόπηση επόμενης Θ.Ενότητας Επιστροφή στην κορυφή  Μήνυμα [Σελίδα 1 από 1]


Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης

Ωχ! Φαίνεται ότι κάτι πήγε στραβά ...

[#10425]

Ο διαχειριστής έχει μπλοκάρει την προβολή των θεμάτων στους επισκέπτες, μόνο τα μέλη μπορούν να δουν αυτό το πεδίο.


Χρήσιμοι Σύνδεσμοι: