Популярный менеджер паролей 1Password хранит данные в открытом виде

Популярный менеджер паролей 1Password хранит данные в открытом виде

Метаданные пользователей не шифруются и хранятся в открытом текстовом формате.

Как выяснил инженер компании Microsoft Дэйл Майерс (Dale Myers), популярный менеджер паролей 1Password хранит данные пользователей в открытом виде, не подвергая их шифрованию. Проблема связана с функцией синхронизации 1PasswordAnywhere, позволяющей пользоваться сервисом на любом устройстве. 1PasswordAnywhere использует для хранения данных формат AgileKeychain, представляющий собой архив из незашифрованных JavaScript-файлов.

Формат .agilekeychain представляет собой директорию, в которой, в том числе, находится файл 1password.html. Открыв его в обычном web-браузере, пользователь должен будет ввести пароль, после чего keychain разблокируется, предоставив доступ к информации. Проблема состоит в отсутствии шифрования метаданных – все данные пользователя хранятся в открытом виде в файле 1Password.agilekeychain/data/default/contents.js.

Как выяснилось, разработчики специально спроектировали 1Password таким образом, чтобы метаданные хранились в незашифрованном виде. Благодаря этому удается якобы повысить производительность программы, уменьшив необходимое для шифрования данных время. Разработчики не видят в этом никакой проблемы и не собираются выпускать исправление для 1Password.

Единственным способом защитить данные пользователя является переход на формат OPVault. Разработчики 1Password сменили формат хранения данных еще в 2012 году, но в качестве формата по умолчанию программа до сих пор рекомендует использовать Agile Keychain.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!