Dale Myers氏は数日前、1Passwordで発見した問題についてブログ記事を投稿しました。AgileBitsのVault(保管庫)内のパスワードは安全に保護されているものの、メタデータは平文で保存されていました。これは意図的なものであり、1Passwordアプリを使わずにWebベースでVaultにアクセスして情報を取得できる状態でした。
マイヤーズ氏の発言は間違っていなかったし、状況を過度に煽り立ててもいなかった。彼は解決策も提案しており、AgileBitsは彼の投稿に対するブログ記事でその解決策を推奨した。そして彼は現在もその製品を使い続けている。
明らかなことですが、マイヤーズ氏もAgileBits氏も、ある重要な要素について明確に言及していませんでした。それは、スニファーがあなたのvaultにアクセスする必要があるということです。もしあなたが自分だけが使うために開設したウェブサイトに投稿したのであれば、誰かがそれを見つけるか、ホスティング会社のセキュリティ侵害によって侵入経路が生まれる可能性があります。
しかし、Dropbox を使って同期すれば、簡単にデータが盗まれる可能性はほとんどありません。私は 1Password の保管庫を Dropbox を使って 2 台の Mac と 2 台の iOS デバイスに同期させています。Dropbox では 2 段階認証を有効にしており、これらのコンピューターとモバイルでは FileVault、Touch ID、そしてパスコードを使用しています。誰かが私のファイルを入手するには、Dropbox の認証情報と 2 段階認証にアクセスするか、ロック解除された状態のデバイスにアクセスする必要があります。(Dropbox がハッキングされ、認証情報や物理的なアクセスなしにファイルを入手される可能性もありますが、それは 1Password の保管庫を狙った攻撃ではなく、あらゆる種類の膨大な情報が漏洩することになります。)
たとえ誰かがあなたの金庫全体を盗み出したとしても、その情報はあなたのアカウントに侵入するためではなく、あなたについて知るためにのみ役立ちます。パスワード自体は非常に強固な方法で保護されており、解読には膨大な計算量と相当な時間がかかります。
しかし、メタデータの紛失さえも一部の人々を不安にさせ、それは当然のことです。悪意のある人物の手に渡れば、あなたの行動やアカウントの所在に関する情報が、なりすましや嫌がらせに利用される可能性があります。
OPへ進む
マイヤーズ氏が反対したフォーマット「Agile Keychain」は、2008年にAgileBits社によって開発されました。iPhone 3Gが当時流行していたモバイルデバイスの処理能力に過負荷をかけることなく、個々のパスワードエントリを細かく更新できるようにするためでした。同社は後に、ほぼすべての情報を暗号化できるOPVaultという新しいフォーマットを開発しました。マイヤーズ氏は、Agile Keychainが依然として広く使用されていることを指摘し、適切な指摘をしました。(OPVaultはフォルダ名やカテゴリ名、そしてタイムスタンプデータを暗号化しませんが、URLやユーザー名に比べるとクラッカーにとってあまり役に立ちません。)
AgileBitsのブログ記事で指摘されているように、ソフトウェアリリースとデバイスが混在していたため、旧バージョンから新バージョンへの移行は行われなかった。それほど昔ではない1Passwordのバージョン(Mac版は1Password 3以前、iOS版は1Password 4以前)はOPVaultを読み取ることができず、セキュリティ上の理由から互換性を損なうことは避けた。
(ちなみに、OPVault は常に iCloud で使用されます。iCloud を使用する場合は、Apple が今後数か月以内に改訂されたシステムをより広範囲に展開するため、今すぐ 2 段階認証と 2 要素認証を有効にすることをお勧めします。)
顧客がどう思ったかは想像に難くありません。「iPhoneをアップグレードしたら、今度はOS Xのバージョンがパスワードを読み取るためにアップグレードが必要だと表示されました!一体何を考えているんですか?」と。ところが、彼らは過去を振り返る方向に舵を切りました。AgileBitsは、今後のリリースでサポートするすべてのプラットフォームにおいて、新しいフォーマットへの移行を加速させると発表しています。
ただし、保管庫内のメタデータが自分以外の誰かにアクセス可能になることを懸念している場合は、会社のウェブサイトで詳しく説明されているいくつかの手順を実行するだけで、今すぐ切り替えることができます。すべてのデバイスに1Passwordの互換性のあるバージョンがインストールされていることを確認してください。
1Password は、新しく変換された Vault 形式が再リンクされ、再同期されたことを表示します。
確認してみたら、見事にうまくいきました。OS Xで変更を加え、iOS版1Passwordを起動して同期設定を開き、アプリを新しいファイルに設定しました。エントリは形式が違うだけで全く同じだったので、同期処理で最新の状態が表示されるまで数秒しかかかりませんでした。
機能が向上し、セキュリティが強化されるにつれて、企業が過去に効率化のために行った、もはや必要のない決定を記憶し、顧客に開示することがますます重要になります。AgileBitsは顧客を新しいフォーマットに無理やり引きずり込むようなことはしませんでした。これはAppleのやり方です!Appleは、後戻りできない形で前進する必要性について、何の感情も持ち合わせていません。しかし、外部からの刺激を受けてAppleが現状を見直した今、私たちは攻撃プロファイルを低下させるでしょう。
更新: この記事は、Dropbox の侵害により 1Password データも取得される可能性があること、および OPVault ではフォルダ名やカテゴリ名、タイムスタンプが暗号化されないことを反映するように更新されました。
