多くのセキュリティ研究者がTwitterで、AgileBitsがパスワード管理サービス「1Password」をローカルストレージからクラウドベースのバージョンに移行することに憤りを表明している。
マザーボード:
1Password が他のサービスと異なり、ハッカーやセキュリティコミュニティの一部の人々にとってより魅力的なのは、ユーザーがすべてのパスワードをローカル「ボルト」と呼ばれる、パスワードで保護されたデータベースに保管できる点です。このデータベースはユーザーのコンピューターやスマートフォン内にのみ存在します。パスワードがコンピューターから外部に漏れることはないため、ユーザーは自分のパスワードを完全に管理できます。ハッカーは、サービス自体がハッキングされた場合に1Passwordからパスワードを入手するのではなく、特定のユーザーを狙う必要があるからです。
しかし、このサービスでは、ユーザーが1回限りのライセンスとそれに付随するローカルパスワードボールトに対して料金を支払う方式から、月額サブスクリプションが必要なクラウドベースのシステムに移行しつつあります。
残念ながら、@1Passwordはユーザーを裏切り、サブスクリプション制に移行しました。これは非常に残念なことです。私たちは彼らを推奨できません。
— 暗号&プライバシービレッジ(@CryptoVillage)2017年7月10日
1Password は長い間、多くのセキュリティ研究者が好んで選ぶパスワード アプリでした。セキュリティ研究者は、ローカル認証情報ストレージ機能を持つこのサービスを推奨しており、多くの研究者はクラウドベースの代替手段よりもこの機能のほうが安全だと考えています。
ローカルストレージでは、保存されたログイン情報やパスワード情報を取得するには、特定のデバイスに侵入する必要があります。研究者たちは、現在このサービスで提供されているようなクラウドストレージの代替手段は、ユーザーの個人情報がサービス自体への攻撃に対して脆弱であると主張しています。
1PasswordのエンジニアはTwitterチャットで、月額2.99ドル(最大5人までのアカウントの場合は4.99ドル)のクラウドベースのオプションについて、「1Password.comの方が使いやすさとセキュリティの面で優れていることは間違いない」と説明した。
「お客様に最高のサービスをご提供したいと思っています。中にはそれに同意できない方もいらっしゃるでしょう(それはそれで構いません!)。その場合は、ご希望の設定方法に合わせてサポートさせていただきます。しかし、99.9%のお客様にとって、1Password.com は間違いなく最適な選択肢です」と、1Password のエンジニア、コナー・ヒックス氏は語った。
1Passwordは全ユーザーをクラウドベースのサブスクリプションモデルへ移行させたいと考えているものの、既存ユーザーにもすぐに移行を強制する予定はない。ヒックス氏は、少なくとも現時点では「ローカル/Dropbox/iCloudの保管庫のサポートをソフトウェアから削除する」予定はないと述べた。
