パスワードを忘れた? アカウント作成
12556372 story
セキュリティ

パスワード管理ツール「1Password」に脆弱性? 20

ストーリー by hylom
仕様だけど修正予定 部門より
あるAnonymous Coward 曰く、

著名パスワード管理ツール「1Password」に脆弱性があるのではないかという話が出ている(GIGAZINE)。

状況についてはやや分かりにくいが、1Passwordで管理しているサイト情報が平文でファイル内に保存されており、ユーザーが1Passwordでどのサービスのパスワードを管理しているかが見えてします状況になっているそうだ。また、限定された状況下では1Passwordで管理しているサービスのパスワードを変更できてしまう可能性もあるという。

サイト情報を平文で保存するのは1Passwordの仕様とのことで、この問題はすぐには修正されないようだ。

なお、これに対し1Passwordを開発するAgileBitsはブログでこの問題について説明した。これによると互換性のためにサイト情報を平文で保存しているとのことで、サイト情報を暗号化して保存するフォーマットはすでに開発済みで将来的にはそちらのフォーマットへの自動移行が計画されているという(携帯総合研究所)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年10月21日 15時51分 (#2904026)

    「脆弱性」なんて曖昧な表現使うからか。
    超危険な問題もたいしたことないような問題も同じ「脆弱性」でくくるからいかんのか。
    今回みたいな「脆くて弱い」「仕様」も脆弱性なのか。
    もう少し危険度とかに応じた適切な表現はないものか。

    • このコメントは興味深い。一般に語彙の豊富さは文化の深度と相関関係にある。
      #2904026は「脆弱性」の細かい違いを別単語に分類する必要を感じているわけだ。
      これは「脆弱性」を扱う文化が深度を増してきたと捉えることができるのではないだろうか。

      親コメント
      • by Anonymous Coward

        それだと相関関係だけでなく、因果関係を認めることになるよ。

        • by Anonymous Coward

          因果関係までは無理じゃないかと私は思うのですが、好学の為
          どのような因果関係が認められるか書いてみてもらえませんか?

          • by Anonymous Coward

            ×好学

            • by Anonymous Coward

              こういった場面で使う「こうがく」には向学後学好学どれもあって、微妙に意味が違います。
              学ぶという行為に対する文化の一例ですね。

              • by Anonymous Coward

                「好学」は文字通り学ぶことを好むという意味で
                「こうがく」の為に~して欲しい というような用途では使われないと思いますが

          • by Anonymous Coward

            #2904115 ではないですが、
            指摘されているのは因果関係と相関関係の違いなので聞き返すなら、
            語彙を増やせば文化が深まる事をあなたが示す必要があるような。

            相関関係なのであれば、語彙を減らせば文化は浅く?なり、語彙を増やせば文化は深くなるってことですよね?

            元の指摘は「因果関係が認められる」ことを主張しているのではなくて、あなたが言うように「もしも文化が深度を増してきたら、新しい語彙が必要になる」のだったとしても語彙の増減の方も文化の深度に影響を与えるとは思えないからそれは相関関係でなく因果関係ではないかと主張しているだけかと。

    • 一応 Common Criteria というセキュリティの国際規格があります。
      資料がIPAから公開されています。 http://www.ipa.go.jp/security/jisec/cc/ [ipa.go.jp]
      真面目に分類しようとすると「セキュリティとは何ぞや」という話からしなければならず、
      とてもめんどくさいことになります。

      他には microsoft の「悪用可能性指標」「セキュリティ情報の深刻度評価システム」あたりがあります。
      https://technet.microsoft.com/ja-jp/security/cc998259.aspx [microsoft.com]
      https://technet.microsoft.com/ja-jp/security/gg309177.aspx [microsoft.com]
      ヤバさはわかりやすいですが、具体的に何がどうなるのかわかりにくくなります。

      親コメント
    • by Anonymous Coward

      平文は単に晒してるだけですしねぇ。。
      暴露かなぁ。。

  • by Anonymous Coward on 2015年10月21日 16時33分 (#2904064)

    見えてします状況になっているそうだ

    はいろむさんは、すらどの脆弱性です。
    この問題も数年放置されていて、すぐには修正されないようです

    • by Anonymous Coward

      仕様です

      • by Anonymous Coward
        いかもアップデートして強化されているよね
  • by Anonymous Coward on 2015年10月21日 15時52分 (#2904027)

    メタデータとはいえ暗号化していないのは片手落ちだよなぁ
    パフォーマンスを理由にしているけど
    利用者はたとえパフォーマンスが劣っていようがデータが暗号化されていることを望むだろうし

    • by Anonymous Coward on 2015年10月21日 16時05分 (#2904037)

      いや、一般ユーザーは暗号化よりパフォーマンス優先かと。
      セキュリティを気にする人はすべて暗号化して欲しいだろうけど、それはユーザーの中でもマイノリティ。残念ながら。
      世の中の多くの人はセキュリティを気にしてない。気にしたいけど何をすればいいのかわからない、というのが現実。

      2008年に作ったマルチプラットフォーム対応するためのフォーマットということで、特にiPhoneだとまだ3Gとか3GSあたりのかなり処理能力の低いデバイスだったから、この決断もしょうがないかなとは思う。
      最近は十分な処理能力はあるし、というかもう少し早く強制実装しても良かったんじゃないかな、とは思う。
      新しいフォーマット作ったあたりで。

      親コメント
    • by nemui4 (20313) on 2015年10月21日 16時17分 (#2904047) 日記

      >利用者はたとえパフォーマンスが劣っていようがデータが暗号化されていることを望むだろうし

      パスワード認証系で、パスワードに複雑さを求めたり不定期に変更させたり複数認証させたりするのって全部「パフォーマンス」は悪化するけどそれは安全を優先するためですしね。

      管理を楽にしたいからこのシステムを利用するんでしょうけど、安全性を犠牲にしてしまうってのはなんだか逆行してるように見えますね。

      親コメント
  • by Anonymous Coward on 2015年10月21日 15時59分 (#2904032)

    まぁ、それ以前に同じニックネーム使ってたらどこのサイトのユーザーとかすぐわかるよね。

  • by Anonymous Coward on 2015年11月02日 12時32分 (#2910483)

    だだ漏れなのに脆弱性もクソもないよね

typodupeerror

人生unstable -- あるハッカー

読み込み中...