Populárna služba správy hesiel LastPass bola odhalená 23. decembra vyhlásenie že to bolo na prijímacej strane veľkého hacku vlani v auguste. Výsledkom bolo, že nespratníci sa mohli dostať do niekoľkých zašifrovaných hesiel, ktoré by mohli byť potenciálne prelomené pomocou techniky nazývanej „hádanie hrubej sily“, ktorá im poskytla prístup k citlivým spotrebiteľským údajom.
Keď incident pôvodne vyšiel najavo, zástupca spoločnosti LastPass sa pokúsil túto záležitosť odstrániť a uviedol, že útočník mohol získať iba periférne technické informácie a nie akékoľvek súkromné údaje o zákazníkoch. Po zdĺhavom vyšetrovaní tejto záležitosti sa však zistilo, že hacker tieto informácie použil na získanie prístupu k zariadeniu zamestnanca, ktoré potom jednotlivcom poskytlo prístup k množstvu zákazníckych údajov uložených v systéme cloudového úložiska.
Z tohto dôvodu boli útočníkovi odhalené nezašifrované metadáta klienta, vrátane mien zamestnávateľov, mien koncových používateľov, fakturačných adries, e-mailových adries, telefónnych čísel a IP adries zákazníkov, ktorí pristupovali k LastPass. Niektorým zákazníkom boli ukradnuté aj šifrované trezory obsahujúce heslá webových stránok.
Zadajte Web3
Zneužívanie správcov hesiel, ako je LastPass, vyvolalo medzi vývojármi Web3 dlhodobé tvrdenie, že tradičné systémy prihlasovania používateľských mien a hesiel nie sú úplne bezpečné, a preto by ich mali nahradiť systémy na ochranu údajov založené na blockchaine.
Aby sme to vysvetlili, obhajcovia bezpečnostných systémov Web3 opakovane poznamenali, že tradičné prihlasovacie systémy založené na heslách sú zraniteľné, pretože sa spoliehajú na hashované prístupové kódy uložené na cloudových serveroch. Ak sú tieto hodnoty hash porušené, môžu byť dekódované a jediné ukradnuté heslo môže ohroziť všetky účty, ktoré používajú rovnaké heslo.
V tomto ohľade sa Web3 aplikáciám páči ShareRing ponúkajú alternatívne riešenie umožňujúce používateľom prístup k decentralizovanej platforme, ktorá mení spôsob zdieľania údajov jednotlivcov – napríklad hesiel – v rôznych online aplikáciách. Ponuka umožňuje používateľom prísť so svojimi osobnými decentralizovanými identitami (DID), čo im dáva úplnú kontrolu nad ich údajmi.
Na upresnenie, pripravovaná nová funkcia ShareRing v rámci obľúbeného modulu ShareRing Vault umožňuje ľuďom ukladať používateľské mená a heslá bez akéhokoľvek rizika. V skutočnosti sú všetky údaje uložené v tomto „Správcovi hesiel“ priamo zašifrované do súkromného kľúča ShareRing Vault používateľa namiesto toho, aby boli uložené v cloude. Vďaka tomu je prístupný iba držiteľovi ShareRing ID. Generálny riaditeľ ShareRing, Tim Bos, poskytuje svoje myšlienky o hacke LastPass domnieval:
„Spoločnosť sa snažila presvedčiť zákazníkov, že ich prihlasovacie údaje sú bezpečné. Bezpečnostní experti nesúhlasia. Článok bezpečnostného výskumníka Wladimira Palanta kritizuje spoločnosť za nedostatok transparentnosti. Poukazuje na to, že spoločnosť dlho ignorovala výzvy na šifrovanie údajov, ako sú adresy URL, čo znamená, že v súčasnosti je ťažké dôverovať firme. S cloudovými správcami hesiel, ako je LastPass, existuje množstvo bezpečnostných problémov. Jedným z najvýznamnejších problémov je, kde sú uložené šifrovacie kľúče používateľov a ako dobre firma zabezpečuje toto prostredie.“
Pohľad do budúcnosti
Aj keď je ľahké kritizovať projekty ako LastPass, faktom zostáva, že správcovia hesiel sa v dnešnej dobe stali mimoriadne dôležitými. Je to preto, že používateľom umožňujú zapamätať si extrémne silné a jedinečné heslá pre každý prihlasovací údaj, ktorý môžu mať.
Vzhľadom na narastajúce problémy s krádežou hesiel a inými podobnými porušeniami údajov je však dôležité využiť silu novších riešení Web3, ktoré sú schopné udržať informácie spotrebiteľov v absolútnom bezpečí vďaka svojim nemiestnym dizajnovým/prevádzkovým rámcom. Správca hesiel ShareRing doteraz funguje naprieč web2 a web3 aplikáciami, pričom využíva decentralizované úložisko, aby boli informácie používateľov 100% zabezpečené.
Preto, keď smerujeme do budúcnosti poháňanej technológiami Web3, je nanajvýš dôležité, aby sa jednotlivci na celom svete naďalej vzdelávali o nevýhodách ukladania svojich citlivých údajov na centralizovaných serveroch, čo im umožní využiť potenciál blockchainového ekosystému. skutočne.
Zdroj: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/