読者です 読者をやめる 読者になる 読者になる

1Passwordがお漏らし……というわけではなく古い1Passwordユーザーは気をつけようというお話

myers.io

朝から目の覚めるようなニュースが飛び込んできた。タイトルを見ると1Passowrdがお漏らししたのか!?と思ってしまう。

1Password Leaks Your Data

まじでか!

2015/10/19 09:23
b.hatena.ne.jp

おもわず脊髄反射でブクマしてしまった。

結論、そんなことはなく旧形式のAgile Keychainを利用していると問題があるよ、ということである。

2013年以前からの1Passwordユーザーは気をつけよう

mobilelaby.com

詳細は上記エントリが詳しい。

ざっくりまとめると、

  • 1Password標準のパスワード補完形式は2種類あった。
  • 2013年以前はAgile Keychainで、2013年移行はOPVault
  • こんかい問題が指定記されているのはAgile Keychain
  • Agile Keychainはパスワード以外を平文で保存している
  • 上記のAgile Keychain形式の保管庫をDropboxなどにおいて公開状態になっているとログイン情報の一部が漏洩する

ということ。

限定的な状態ですが、もし該当するひとは上記エントリを参考にAgile KeychainからOPVaultに変更しておくことをおすすめします。

そもそもAgile Keychainとは

そもそもAgile KeychainとOPVaultってなんだと気になったので調べてみました。

公式のサポートページにはキチンと情報がのっていました。

これによると、当初の1PasswordはMacのOS X Keychainを使っていて、それなりに満足していた。しかし、製品が大きくなるに連れてマルチプラットフォームなどの問題を見据えてAgile Keychainを作ることにしたようです。これが2008年。

Agile Keychainは複数の非表示ファイルによって成りたっていて、非表示のアイテムはJSONで保存されているよう。

{
 "title" : "Example Login",
 "locationKey" : "example.com",
 "encrypted" : "...",
 "typeName" : "webforms.WebForm",
 "securityLevel" : "SL5",
 "openContents" : {
   "createdAt" : 1216012929,
   "updatedAt" : 1216012929,
   "usernameHash" : "...",
 },
 "location" : "https://example.com/account/login",
 "uuid" : "0A522DFCAE6442D991145BC76E55D343",
 "folderUuid" : "A90D66D1A4E34481BDF03DDEA9F511AC"
}

こんな感じで保存しているよって。非表示ではあるがパスワード以外は平文で保存されていますね。

OPVaultとは

OPVaultは2012年12月によりセキュアにするために登場しました。

OPVaultはファイルの分割方式を変更したり、暗号方式を変更するなかで、すべての暗号化も採用しています。

"468B1E24F93B413DAD57ABE6F1C01DF6": {
    "category": "001",
    "created": 1325483950,
    "d": "b3BkYXRhMDFcAQ ...",
    "folder": "C8CE328220DF4157961787FBA30DAB96",
    "hmac": "30d0rq4tFQvU++mIOElzzI1zilZS0M4Ya10TXmsFz2c=",
    "k": "KGRbxc/qWol4sbs7bwwctO ...",
    "o": "b3BkYXRhMDGCAAAAAAAAAB0ZLRV9xZidd ...",
    "tx": 1347560906,
    "updated": 1325483950,
    "uuid": "468B1E24F93B413DAD57ABE6F1C01DF6"
  }

分割されたファイルの中のアイテム例をみても違いがわかります。

Agile KeychainがダメなわけではなくOPVaultがよりセキュア

こうやって落ち着いてみてみると、「1Password危ない」というわけではなさそうです。ただ、Agile Keychain形式の保管庫をDropboxで公開とか…… まあやらないとおもうけどやっている場合は気をつけましょうね。ということですね。

ちなみに、上記Agile Keychainのページにはがダメなわけじゃないよって説明があります。

Agile Keychain remains safe in the same way that an iPhone 5 remains a great device even after Apple released a newer model. We have always worked to design systems that defend against future threats, and so the security enhancements in OPVault are looking toward the future. It’s not that Agile Keychain is no longer secure, it’s just that OPVault is secure-er.

はい、Agile Keychainがダメなわけじゃなくて、よりOPVaultがセキュアだよって話ですね。

1PasswordのTwitterからもメンションもらっていた。

結論は、脊髄反射ダメ、絶対…… すいませんでした。