個人情報を盗み取られる「1Password」の平文メタデータを安全な「OPVault」に変更する方法

 
1Password-Logo

パスワード管理ツールとして絶大な支持を誇る「1Password」がメタデータ管理用に利用しているAgile Keychainに個人情報を盗み取られる脆弱性があることが明らかとなりセキュリティ界隈で話題となっている。

そこで今回は脆弱性が指摘されている旧形式のAgile Keychainから新形式のOPVaultに変更する方法を紹介!!

「Agile Keychain」は平文でメタデータを記録

1Passwordではウェブ上の様々なログイン情報の他、口座情報やキャッシュカード等、まさに個人情報の宝庫と言っていいほどの情報がつめ込まれていることも多い。

同アプリでは「Agile Keychain」と「OPVault」の2種類の保管庫形式が用意されており、今回脆弱性が指摘されたものは旧形式にあたる「Agile Keychain」のみ。脆弱性を発見したMicrosoftのソフトウェアエンジニアのデール・マイヤーズによると、メタデータにさえアクセスできてしまえば保存しているデータが丸裸になってしまうとのこと。

So what’s the problem? Well, it turns out that your metadata isn’t encrypted. I discovered this after having a sync issue with Dropbox (I use Dropbox to host my keychain). The file that had issues was 1Password.agilekeychain/data/default/contents.js. Being a curious kind of guy I opened the file to see what was in there. The answer is the name and address of every item that I have in 1Password. Every single one. In plain text.

「Agile Keychain」と「OPVault」どちらを使用しているか確認

自分が利用している1Passwordが「Agile Keychain」と「OPVault」どちらを使用しているか確認するには「1Password」を起動した上で、左上の「1Password 5」>「環境設定」を開く
1Password-05

「同期」を開き拡張子が「.agilekeychain」か「.opvault」を確認し「.opvault」の場合は以下紹介する変更方法を行う必要はない
1Password-04

「Agile Keychain」から「OPVault」に変更する方法

上記の方法で保管庫形式が「Agile Keychain」であった場合、「OPVault」に変更する必要があるため一旦「1Password」を終了させ以下コマンドをターミナルで実行する

この際、Mac App Storeからインストールした場合とAgileBitsのサイトからインストールした場合とでコマンドが異なってくるので確認した上で行ってほしい。

Mac App Store

 defaults write 2BUA8C4S2C.com.agilebits.onepassword-osx-helper useOPVaultFormatByDefault true

AgileBits

 defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true

各々のインストール状況に合わせ上記コマンドをコピペしエンターキーを押すことによって概ねの作業は完了だ

1Password-02

先ほど同様「1Password」を起動した上で、左上の「1Password 5」>「環境設定」を開く

1Password-05

同期タブを選択し同期先を「なし」にし「同期を無効にする」を選択

1password-06

再度、同期タブを選択して「Dropbox」を選択し「新規作成」をクリック

1password-07

以上で「Agile Keychain」から「OPVault」への保管庫形式の変更は完了だ

この記事が気に入ったら
いいね!しよう

 

関連記事

コメント0
TAG :

Comment

*

CAPTCHA