1Password es una de las herramientas más utilizadas para guardar las cada vez más contraseñas que necesitamos para utilizar servicios y aplicaciones en la nube, pero aunque en su desarrolladora AgileBits se esfuercen en hacer de 1Password un sitio seguro siempre hay algún desliz.
Resulta que Dale Myers, un desarrollador que trabaja en Microsoft, ha revelado en su blog personal que 1Password almacena datos sin cifrar en su servicio 1PasswordAnywhere (que nos permite acceder a nuestras contraseñas guardadas sin tener que instalar el cliente). Lo hace concretamente en un fichero llamado 1Password.html, accesible desde navegadores y que nos muestra una lista no editable de sitios por los que hemos navegado tras escribir nuestra contraseña maestra.
El fichero HTML que almacena los datos sin cifrar puede ser incluso indexado por Google si se sube a la red
De acuerdo, hay que escribir esa contraseña de 1Password para acceder al archivo, y encontrar ese fichero HTML no es algo que mucha gente haga de un descuido. Pero tenemos el error de que los datos que se almacenan en ese fichero no se han cifrado, y por lo tanto son legibles por cualquiera que consiga nuestra contraseña maestra. Es más, si ese fichero se sube a la red puede ser indexado por Google. Y ya sabemos lo que pasa cuando Google indexa archivos personales.
De todas formas, hay una parte buena de la noticia: AgileBits ya está trabajando para cambiar de formato sus datos (concretamente al formato OPVault) para que errores como estos no vuelvan a ocurrir. Empezarán con sus clientes para Windows, para seguir luego con sus aplicaciones de Mac e iOS y terminar con Android. Si usas 1Password no tendrás que hacer nada, ya que la migración será completamente automática.