1Password mit kritischer Lücke
Es gibt eine kritische Sicherheitslücke beim 1Password Manger in der Version 7 unter Verwendung von Agile Bits‘ Sync. Wenn man gemeinsame und private Tresore in 1Password vorhanden sind, kann über die Schaltfläche „Kennwort generieren“ in 1Password nicht ausgewählt werden, in welchem Tresor das Kennwort gespeichert werden soll, bis es zu einem Login wird, aber zu diesem Zeitpunkt ist es bereits gespeichert.
Wer einen macOS besitzt und 1Password in der Version 7 nutzt, kann folgendes probieren um dies zu reproduzieren:
Cmd+Alt+\ drücken und versuchen, mit der Tabulatortaste auf die Schaltfläche „Kennwort generieren“ oben rechts in dem sich öffnenden Fenster zu gehen. Das war in früheren 1Password-Versionen möglich, ist es jetzt aber nicht mehr.
Mit der Tabulatortaste zwischen der Liste der Vorschläge usw. im linken Fenster und dem rechten Fenster bewegen. Wenn sich im rechten Fenster etwas befindet, kann man mit dem Pfeil durch die Vorschläge blättern, aber es gibt keine Möglichkeit, die Schaltfläche Kennwort generieren zu erreichen, ohne die Hände von der Tastatur zu nehmen.
Wenn jetzt ein Kennwort generiert wird, wird es in meinem gemeinsamen Tresor gespeichert, so dass alle Welt es sehen kann, anstatt es in einem privaten Tresor zu speichern, den nur ich sehen kann. Es scheint nicht möglich zu sein, dem Programm mitzuteilen, wo es das Kennwort speichern soll, bis es zu einer Anmeldung wird, aber zu diesem Zeitpunkt hat 1Password das gerade erstellte Kennwort bereits weitergegeben.
Ein böses Szenario und die einzige Möglichkeit besteht aktuell darin das zuvor generierte Passwort aus den öffentlichen Ordner zu löschen und woanders zu Speichern.
Quelle: newscombinator
Comments ()