Менеджер паролей 1password привлёк $620 млн

Менеджер паролей 1Password сообщил о новом раунде привлечения инвестиций

  • в нём участвовали ICONIQ Growth, Accel, Tiger Global, Lightspeed Venture Partners и Backbone Angels
  • оценка всей компании достигла $6,8 млрд
  • 1password конкурирует с бесплатным для частников Bitwarden и решениями на базе опенсорсного KeePass

Инфляция в США достигла рекордных значений за последние 40 лет — 7% на потребительские товары.

Bringing human-centric security to everyone | 1Password

Лучшие комментарии

  • Контекст комментария

    kemko

    Нет, обвинений сабжа в торговле данными пока в публичный интернет не поступало. Как и небыло пока ни одной новости о взломе, в отличии от одного популярного конкурента.
    Мы либо верим, что 1Password работает по модели, описанной выше, либо заявляем что он врёт и часть данных отправляет себе на серверы не зашифрованными. А согласно PDF всё-таки всё шифруется перед передачей и тогда — имя, фамилия, email, разрешённый PCI DSS ко хранению кусок данных банковской карточки, вот и всё, чем можно торговать.

Добавить 15 комментариев

  • Ответить

    Во-первых, оценка выглядит просто безумной: это очень узконишевая утилита, которую сейчас у себя пилят все, и производители антивирусов, и браузеров, и операционных систем.

    Во-вторых, можно посочувствовать юзерам 1password — там и так после перехода на SaaS все с ума посходили с ценообразованием, а сейчас ещё и инвестиции надо будет отбивать. Время думать о замене, полагаю

    Хотя у корпоратов, конечно, свои погремушки.

  • Ответить

    Для простого персонального менеджера паролей — безумная. Для менеджера паролей с семейными аккаунтами, корпоративными, заигрывающего с нишей управления секретами приложений (привет hashicorp vault) — наверное нет.

  • Ответить

    Трабла в том, что это всё, конечно же, надо делать в достойном продукте, но это все

    а) несколько не рокет сайнс
    б) соскочить с этого сильно проще чем с Android или iOS

    Грубо говоря, 1password может в итоге оказаться Hipchat, который был сожран Slack и Slack этого даже не заметил

  • Ответить

    1Password несколько раз проходил независимый аудит, публикует описание работы всего чего только может и понять, есть ли у них возможность чем-то торговать, при условии что они придерживаются описанной архитектуры, вы можете и самостоятельно, если понимаете о чём они.
    https://support.1password.com/security-assessments/ — вот ещё ссылку забыл.
    https://1passwordstatic.com/files/security/1password-white-paper.pdf — и ещё одну.
    Как отвечать на аргументы "а может быть они скрытно работают не так, как заявляют", не будучи инсайдером, я не очень понимаю.

  • Ответить
    Игорь Ашманов Сам себе компания

    Ну можно никак не отвечать.
    Но ведь могут быть сообщения от инсайдеров, которые уже известны?

    Например, известно, а также и просто очевидно и ухослышно, что в мобильных провайдерах, "экосистемах", а также VPN-сервисах персональные данные сливают, воруют и продают так, что шуба заворачивается.
    Иначе бы нам всем не позвонили от СБ банка и следователя прокуратуры по десять раз.

  • Ответить
    Игорь Ашманов Сам себе компания

    Скажем, продажа персональных данных мобильными провайдерами даже не очень и скрывается. Их идиоты продавцы веером рассылают предложения — не от себя, от компании!
    Заметим, что все они — публичные компании, «проходили независимый аудит», и всё такое.
    Не удивлюсь, если они это включают в инвестиционные меморандумы — не, ну а чо, неголосовые же услуги.

  • Ответить

    Нет, обвинений сабжа в торговле данными пока в публичный интернет не поступало. Как и небыло пока ни одной новости о взломе, в отличии от одного популярного конкурента.
    Мы либо верим, что 1Password работает по модели, описанной выше, либо заявляем что он врёт и часть данных отправляет себе на серверы не зашифрованными. А согласно PDF всё-таки всё шифруется перед передачей и тогда — имя, фамилия, email, разрешённый PCI DSS ко хранению кусок данных банковской карточки, вот и всё, чем можно торговать.

  • Ответить

    Игорь, я думаю, что вероятность того, что средний юзер столкнётся с компрометацией своих паролей в 1password благодаря сливу инсайдера во много раз меньше того, что он тупо будет пользоваться одним и тем же паролем и сам его сольёт на каком-нибудь дырявом форуме с базой открытых паролей.

    А так-то по большому счёту можно опасаться и того, что Microsoft сливает чувакам в погонах всё, что пишет средний гражданин. Объём телеметрии сливаемой в штаб-квартиру вполне себе позволяет прятать несколько килобайт текста в месяц

  • Ответить

    VPN-сервисы построены на архитектуре и решениях, не подразумевающих какую-то дополнительную маскировку данных от vpn-сервера и рассчитывать можно только на их совесть. Согласен, да-да-да.
    1Password построен НЕ поверх OpenVPN/ipsec+ike v2/Wireguard/Cisco VPN, я в этом уверен. Тогда к чему всё это?
    А вдруг 1Password заявляет что шлёт на сервер данные зашифрованными, а на самом деле шлёт не зашифрованными?
    А вдруг 1Password заявляет одни алгоритмы шифрования а использует другие, более слабые?
    А вдруг в архитектуре сознательно оставлены бэкдоры?

    На то есть возможность посмотреть хоть и обфусцированный, но код браузерного расширения, которое умеет работать с серверами 1Password без прослойки в виде скомпилированного десктопного клиента, а в плане бэкдоров — довериться результатам нескольких независимых аудитов от разных фирм.

    А вдруг коррумпированный инсайдер, когда ему понадобится, выпустит релиз с кодом, где специально отменено/ослаблено/итд шифрование?

    Надеюсь, практики типа codereview, ответственность за релиз разных команд одновременно и всё такое помогут предотвратить такое развитие событий. Да и вашим собственным сервисам, в таком случае, доверять-то мне тоже нельзя. И вообще ничьим кроме собственноручно написанных, желательно ещё скомпилированных собственноручно написанным комплиятором, на собственноручно спаянном железе.

    А вдруг помимо фио-карты-почты кто-то просто продаст заодно и зашифрованные данные пользователя?

    Самое адекватное из "а вдруг". Я специализируюсь несколько на другом, поэтому надёжность решения сам оценить не могу, но на страже данных стоят AES-256-GCM, PBKDF2-HMAC-SHA256 with 100,000 iterations), и где-то там в процессе участвует ассиметричное шифрование с RSA-OAEP with 2048-bit moduli and a public exponent of 65537. И всё это на клиентах, в на серверы уезжает только результат применения всего этого на данных пользователя и не уезжают никакие данные для расшифровки.

  • Ответить

    Замечание в сторону:

    На страже данных не может стоять технология. Всегда стоят люди.

    Потому что нельзя выставить на защиту технологию, если на той стороне — мотивированные и умелые люди. Робот против человека не канает.

    Если вы поставите в квартиру дорогую железную дверь с хорошими замками — опытные люди вскроют за 2-3 минуты, максимум за 5.

    Если вы поставите в квартиру очень дорогую дверь с суперзащитой — вскроют за 15-20 минут, для этого ворам придётся подождать праздников, чтоб народу поменьше было в подъезде. Но и мотивация будет повыше — потому что супер-дверь сама по себе реклама ценностей в квартире.

    Если вы поставите какую-то дверь и подключите ещё и людей, то есть вневедомственную охрану с подлётным временем патруля в 5-10 минут, то вот тогда, возможно, кража не состоится или прервётся на интересном месте.

    Я все эти стадии краж со своей квартирой проходил, кстати говоря, знаю на опыте.

    И это ещё речь про внешних взломщиков, а мы-то про то, что в квартире есть предатель. Или нет.

    Так вот "защитой данных" всегда служит не алгоритм шифрования, а сисадмин и немного разработчик.
    И если сисадмин приобрёл пагубную привычку заходить в Даркнете на форумы, где криминал ищет инсайдеров, чтобы купить у них данные — то никакой AES ни от чего не защитит.
    И это будет не «вдруг», это не случайный процесс.

    Ну и общепринятая безнаказанность (а она сейчас практически 100%) — тоже админу поможет принять решение.

    Рассказы про могучие алгоритмы шифрования (цельнотянутые с Запада, кстати говоря, да даже и проприетарные) оставьте Паше Дурову, это маркетинг в его стиле.

    Я-то спрашивал не про буклеты сервиса с кучей страшных умных слов, а про то, известны ли реальные утечки и торгуют ли классные ребята, поднявшие нерезонные деньги, данными. Просто потому, что раз деньги нерезонные, возникаект вопрос про скрытую экономику.

    В многих других случаях она — есть, например, у мобильных операторов, которые так-то могут рассказать не меньше баек про AES, SHA и ГОСТ.

    P.S. Как говорил президент Ростелека Осеевский в ноябре в публичном споре про биометрию, "наша система ЕБС полностью соответствует всем требованиям регуляторов!".
    Ага, а прошлые системы, из которых украли десятки миллионов записей про всех граждан РФ (а в США — украли примерно на порядок больше) — они как, "соответствовали требованиям регуляторов"? Я уверен, что да.
    Вот эти рекламные байки про AES-256 — из того же ряда.

  • Ответить

    Не, конечно, ослабить всё можно, обеспечить несанкционированный доступ и всё такое.
    Но, вообще-то, связка логин-пароль, поэтому, и не считается хоть сколько-то серьёзным способом защиты доступа
    Вот у меня самое ценное это, пожалуй, почта.
    Компрометация логина и пароля с точки зрения доступа к ней — не даст ничего, у взломщиков не будет второго фактора для входа.
    Кроме того 1password после этого можно будет закрывать.

    То есть, задача поставленная АНБ не выполнена, а проекта владельцы лишатся.

    Вот это, скорее гарантирует некую приличность сервиса, чем что-либо иное.

    Но если опасения сохраняются — есть множество решений на базе KeePass, вполне себе исследованных, можно пользоваться ими и не пользоваться проприетарным сервисом: он, конечно же, имеет неустранимый недостаток возможности взлома сисадмином.

    Вряд ли какая система такой возможности не имеет.