1Password es una de las herramientas más utilizadas para guardar las cada vez más contraseñas que necesitamos para utilizar servicios y aplicaciones en la nube, pero aunque en su desarrolladora AgileBits se esfuercen en hacer de 1Password un sitio seguro siempre hay algún desliz.
Resulta que Dale Myers, un desarrollador que trabaja en Microsoft, ha revelado en su blog personal que 1Password almacena datos sin cifrar en su servicio 1PasswordAnywhere (que nos permite acceder a nuestras contraseñas guardadas sin tener que instalar el cliente). Lo hace concretamente en un fichero llamado 1Password.html, accesible desde navegadores y que nos muestra una lista no editable de sitios por los que hemos navegado tras escribir nuestra contraseña maestra.
De acuerdo, hay que escribir esa contraseña de 1Password para acceder al archivo, y encontrar ese fichero HTML no es algo que mucha gente haga de un descuido. Pero tenemos el error de que los datos que se almacenan en ese fichero no se han cifrado, y por lo tanto son legibles por cualquiera que consiga nuestra contraseña maestra. Es más, si ese fichero se sube a la red puede ser indexado por Google. Y ya sabemos lo que pasa cuando Google indexa ficheros personales.
De todas formas, hay una parte buena de la noticia: AgileBits ya está trabajando para cambiar de formato sus datos (concretamente al formato OPVault) para que errores como estos no vuelvan a ocurrir. Empezarán con sus clientes para Windows, para seguir luego con sus aplicaciones de Mac e iOS y terminar con Android. Si usas 1Password no tendrás que hacer nada, ya que la migración será completamente automática.
En Applesfera | 1Password 6, más motivos para apostar por ella como gestor de tus contraseña
Ver 20 comentarios
20 comentarios
juandsg
¡¡Por favor que falta de rigor!! No se grata de ningún fallo de seguridad ni nada parecido. Simplemente en el antiguo formato no se encriptaban las URLs o Títulos. Las contraseñas por supuesto que sí, se encriptan.
Leed un poco antes de confundir al personal.
https://blog.agilebits.com/2015/10/19/when-a-leak-isnt-a-leak/
moriarthy01
Ay 1Password, yo confiaba en ti y me has traicionado. PD: Es broma, todo el mundo comete errores :-)
J.David
¿Como puede ser esto un desliz? ¿Como no te puedes dar cuenta que tu web guarda informacion privada sin encriptar? Que encima es una app donde a lo mejor hay gente que guarda su informacion de PayPal...
jorge c
El autor se debería de leer esto y reescribir el artículo. Simplemente no-es-tan-grave:
https://blog.agilebits.com/2015/10/19/when-a-leak-isnt-a-leak
melibeotwin
Yo usuario de 1Password desde hace varios años y esta noticia no me la esperaba.
luispadilla
"De todas formas, hay una parte buena de la noticia: AgileBits ya está trabajando para cambiar de formato sus datos (concretamente al formato OPVault) para que errores como estos no vuelvan a ocurrir. Empezarán con sus clientes para Windows, para seguir luego con sus aplicaciones de Mac e iOS y terminar con Android"
Desde 2012 1Password utiliza OPVault, no es nada que estén realizando ahora. De hecho, todos aquellos que usen 1Password en iOS y en OS X con la opción de sincronización mediante iCloud usan OPVault y no tienen que preocuparse de nada.
Otro detalle muy importante que ha olvidado el redactor del artículo es que los datos no cifrados son únicamente la dirección web y el título de la web que hayamos almacenado en 1Password, nunca tus datos de acceso, que sí que están cifrados.
jush 🍑
Por si no os ha quedado claro:
No muestra las contraseñas, ésas están encriptadas con la contraseña maestra. Lo que está sin encriptar son las entradas del llavero (por ejemplo, los sitios web). Está hecho así (mal) por cuestiones de rendimiento (reitero lo de mal).
Si todo estuviese encriptado, para ver un sitio y una contraseña debe desenciptar toda la base de datos, en lugar de sólo la contraseña que le pides.
gri3g0
No sé, yo no veo que sea un "pequeño desliz" guardar todas las contraseñas en un fichero html.
Me gusta mucho el equipo de AgileBits porque se ve que se lo curran, no hay más que ver las continuas actualizaciones de las apps, pero esto para mi es un fallo bastante gordo.
lapasionaria
Esto me recuerda (aunque no es lo mismo) al Sonyleaks, cuando salieron a la luz todos los datos de la base de datos de los clientes de la Playstation Network, y estaban todos los datos así, a pelo y sin encriptar, tarjetas, contraseñas y todo. Parece mentira que con los medios que tienen no sean capaces de hacer bien algo que sabe hasta una persona de un grado de FP. Se les tendría que caer la cara de vergüenza.
marc.huguet
Si miráis exactamente no es lo que comentáis. En el bloc se explica que des del 2012 todo los usuarios utilizan por defecto el nuevo formato OPVault. Por lo tanto solo estarían afectados los usuarios anteriores a aquel momento y no se hayan pasado al nuevo formato. https://blog.agilebits.com/2015/10/19/when-a-leak-isnt-a-leak/