В светлината на вчерашната шокираща новина, че NSA умишлено е вмъкнала слабости в продуктите за компютърна сигурност, разработчикът на популярната приложението за парола и сигурност за Mac и iOS, 1Password, е написало доста показателна публикация в блога за тяхната уязвимост към този тип NSA намеса.
Ето какво казва AgileBits:
Умишлено отслабен ли е 1Password?
Не.
Били ли сме, AgileBits, някога питани/принуждавани/притискани/контактувани от някоя организация, която ни иска да отслабим 1Password?
Не.
Това е лесната част; всеки би могъл да каже това. Нека погледнем малко по -дълбоко.
AgileBits отделя доста време за обяснение защо горното е вярно. Това има смисъл, тъй като целият му бизнес модел се основава на факта, че неговото криптиране - и следователно данните на клиентите му - е безопасно, дори от NSA.
Публикацията в блога обяснява, че AgileBits има разработчици в Канада, САЩ, Великобритания и Холандия. Дори ако NSA беше обвързала AgileBits, канадска компания, с поръчка за затваряне, тя не би могла да обвърже граждани извън САЩ, които живеят извън страната. Всякакви поръчки от други страни също не биха обвързали граждани на САЩ, живеещи тук. Единственият начин да се запази мълчанието на компанията би било да се координират поне четири отделни агенции, подобни на NSA, във всичките четири държави. Възможно, но не и вероятно.
Второ, системата, в която работи 1Password, е изцяло в ръцете на клиента. „Извън кутията“, пише компанията, „1Password създава локален файл с данни (вашият„ трезор “) и синхронизирането е деактивирано. Никога нямаме възможност да видим вашата главна парола или дори вашите криптирани данни от 1Password. "
Компанията никога не вижда как използвате 1Password. Нито една от вашите данни за частно сърфиране или чувствителни финансови записи не преминават през системите 1Password. Те дори не знаят дали използвате софтуера или не, след като сте го купили. Те предлагат известна синхронизация на данни, но дори това се извършва локално, според уебсайта. „Когато 1Password 4 за Mac пристигне скоро“, пише в блога, „Wi-Fi синхронизирането (в момента се тества) ще ви позволи да синхронизирате локално, което означава, че вашите данни никога не трябва да напускате локалната си мрежа. " Това, разбира се, може да бъде проверено с програма като LittleSnitch или друг мрежов анализ инструмент.
И накрая, компанията казва, че техният формат на данни също е проверим. Те предоставиха подробности за криптирането, което 1Password използва, което позволява на всеки, загрижен за относителната му сила или умишлена слабост, да го тества сам.
Публикацията продължава да казва, че те най -вероятно биха последвали прецедента, създаден от Lavabit, компания, която стана публично достояние със собствените си предполагаеми поръчки за заблуда, като се затвори. AgileBits (не е свързано) казва: „... много реалната възможност да се изключим (което би било публично) по -скоро отколкото да саботира това, което правим и обичаме, трябва да действа като възпиращо средство за онези, които биха искали да ни принудят да въведем a задна врата."
Публикацията в блога най -накрая гласи, че доколкото е известно на AgileBits, са насочени само комуникационни инструменти, а не инструменти, които защитават потребителските пароли и данни локално, като 1Password.
Това са доста надежден набор от причини, поради които AgileBits може да се довери на криптирането на нашите данни. Освен това те не трябваше да пристъпват напред и да го извикват; макар че това може да е знак за заговор, пак не е вероятно. В крайна сметка всички ние се отказваме от част от сигурността си, като използваме цифрови инструменти, и потенциално повече, ако използваме продукти като тези.
Други компании, които произвеждат подобни продукти, не са правили изявления в тази насока, доколкото ни е известно, и една, LastPass, може би вече са били нарушени.
Публикацията в блога на AgileBits обобщава всичко, като казва:
Дори и да не намерите някоя от изброените по -горе отделни причини за убедителна, те си взаимодействат силно. В комбинация те правят много по -трудно да се получи слабост в 1Password, без да се поемат големи рискове да бъдат хванати и да се провалят. Всеки нападател, включително NSA, ще избегне високорискови и скъпи атаки, ако има по -безопасни и по -лесни алтернативи. Следователно съм убеден, че NSA би предпочел да заобиколи 1Password, отколкото през него.
Какво мислите, потребители на Mac?
![Влезте, за да спечелите стойка за рефлектор за велосипед AirTag [Раздаване на Cult of Mac]](/f/b8128e59449751157b41872cf18a6c9f.jpeg?width=81&height=81)
