1Password vagy nem, ez itt a kérdés

A világ egyik legnagyobb játékszoftvert gyártó fejlesztő cége, a Blizzard írja:

This week, our security team found an unauthorized and illegal access into our internal network (…)

At this time, we’ve found no evidence that financial information such as credit cards, billing addresses, or real names were compromised. (…)

We also know that cryptographically scrambled versions of Battle.net passwords (not actual passwords) for players on North American servers were taken.

Az Észak-Amerikaiakat érinti egyébként a probléma. Nem nagy ügy, vagy mégis? Ezt most csak azért raktam ide, hogy mutassam, minden hétre van valami nagyobb méretű biztonsággal kapcsolatos hír, és ez a jövőben még inkább így lesz.

Lapozzunk most a 1Passwordre. Aki nem ismerné: a 1Password egy ultrakényelmes jelszót tároló megoldás, amivel egyetlen jelszót, a mester jelszót kell csak megjegyeznünk, minden mást ő kezel (meg se kell jegyeznünk), valamint szinkronizál az eszközeink között. Csuda kényelmes, sokan is használják.

A kényelem oltárán viszont előszeretettel vagyunk hajlandóak olyan döntéseket hozni, ami egyébként meg se fordulna a fejünkben. Elvégre itt is ez történik. Tudom, hogy itt sem maguk a jelszavak vándorolnak, meg így meg úgy vannak titkosítva, meg akármi, engem mégis elborzaszt, hogy miért bízzam a jelszavaimat valami köd szolgáltatásra (a ködbe szinkronizálás egyébként opcionális náluk).

Nem sorolom magam az ultraparanoid emberek közé, akik még bankban sem tartanak pénzt (mert minden, ami nálam van, az van nálam), de a jelszavaimat valamiért jobb szeretem úgy, hogy még egy nyomorult szoftver se lássa, akkor se, ha nem lát ki az internetre.

Engem a Mat Honan eset arról győzött meg, hogy manapság már nem úgy törik fel a rendszert, hogy kitalálják a jelszót, hanem más módszerekkel. Értem ez alatt azt is, hogy betörnek valami adatközpontba, aztán onnan próbálnak eljutni valahová. Nekem a 1Password is ez a kategória, szerintem csak idő kérdése, és a Blizzardhoz hasonló hírt fogunk olvasni valahol. Nem biztos, de számomra nem elképzelhetetlen. (A Valve-hoz is betörtek tavaly novemberben, rengeteg ilyen hírt olvasni.)

Márpedig én ebbe nem akarok belegondolni: az összes jelszavam, akármennyire biztonságos is, illetéktelenek kezébe került. Nyilván mindent megtesznek, hogy még biztonságosabb legyen a szolgáltatásuk (lásd itt), de engem ez sem nyugtatna meg abban az esetben, ha az 1Passwordot készítő Agilebits kiadna egy Blizzardhoz hasonló sajtóközleményt valamelyik nap. (Gondolatkísérlet: tételezzük fel, hogy kiadnak egy ilyen sajtóközleményt – megváltoztatod az összes jelszavad ennek hatására?)

Én magam is használok egyébként 1Password házibarkács megoldást: egy 256 bites AES kódolású diszk imázsban tárolom szenzitív dolgaimat. Ez nem csak kereshető jelszavakat jelent, de olyan dokumentumokat is, amiket nem akarok illetéktelen kezébe juttatni akkor sem, ha megszerzik a kontrollt a számítógépem felett.

Disclaimer: a poszt színtiszta dezinformáció, 1Password felhasználó vagyok