Popularna usługa zarządzania hasłami LastPass została ujawniona 23 grudnia oświadczenie że był celem poważnego włamania w sierpniu zeszłego roku. W rezultacie złoczyńcy byli w stanie przedostać się do kilku zaszyfrowanych haseł, które potencjalnie można było złamać za pomocą techniki zwanej „zgadywaniem na siłę”, co dało im dostęp do poufnych danych konsumentów.
Kiedy incydent wyszedł na jaw, przedstawiciel LastPass próbował zbagatelizować sprawę, twierdząc, że atakujący mógł uzyskać tylko peryferyjne informacje techniczne, a nie prywatne dane klientów. Jednak po długim dochodzeniu w tej sprawie odkryto, że haker wykorzystał te informacje, aby uzyskać dostęp do urządzenia pracownika, które następnie zapewniło tej osobie dostęp do mnóstwa danych klientów przechowywanych w systemie przechowywania w chmurze.
Z tego powodu atakującemu zostały ujawnione niezaszyfrowane metadane klienta, w tym nazwy pracodawców, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP klientów, którzy uzyskali dostęp do LastPass. Skradziono również zaszyfrowane skarbce niektórych klientów zawierające hasła do witryn.
Wejdź do sieci3
Eksploatacja menedżerów haseł, takich jak LastPass, wywołała długotrwałe twierdzenie wśród programistów Web3, że tradycyjne systemy logowania za pomocą nazwy użytkownika i hasła nie są całkowicie bezpieczne i dlatego powinny zostać zastąpione systemami ochrony danych opartymi na blockchain.
Mówiąc bardziej szczegółowo, zwolennicy systemów bezpieczeństwa Web3 wielokrotnie zwracali uwagę, że tradycyjne systemy logowania oparte na hasłach są podatne na ataki, ponieważ opierają się na zaszyfrowanych hasłach przechowywanych na serwerach w chmurze. Jeśli te skróty zostaną naruszone, można je odszyfrować, a jedno skradzione hasło może zagrozić wszystkim kontom, które używają tego samego hasła.
Pod tym względem aplikacje Web3, takie jak ShareRing zaoferować alternatywne rozwiązanie umożliwiające użytkownikom dostęp do zdecentralizowanej platformy, która zmienia sposób, w jaki dane osób — takie jak hasła — są udostępniane w różnych aplikacjach internetowych. Oferta pozwala użytkownikom wymyślać swoje osobiste zdecentralizowane tożsamości (DID), dając im pełną kontrolę nad swoimi danymi.
Aby rozwinąć, nadchodząca nowa funkcja ShareRing w popularnym module ShareRing Vault umożliwia ludziom przechowywanie nazw użytkowników i haseł bez żadnego ryzyka. W rzeczywistości wszystkie dane przechowywane w tym „Menedżerze haseł” są bezpośrednio szyfrowane do prywatnego klucza ShareRing Vault użytkownika, zamiast być przechowywane w chmurze. W rezultacie jest dostępny tylko dla posiadacza ShareRing ID. Przedstawiając swoje przemyślenia na temat hackowania LastPass, dyrektor generalny ShareRing, Tim Bos opiniował:
„Firma próbowała przekonać klientów, że ich dane logowania są bezpieczne. Eksperci ds. bezpieczeństwa nie są zgodni. Artykuł badacza bezpieczeństwa Wladimira Palanta krytykuje firmę za brak przejrzystości. Zwraca uwagę, że firma od dawna ignorowała wezwania do szyfrowania danych, takich jak adresy URL, co oznacza, że obecnie trudno jest zaufać firmie w przyszłości. Istnieje wiele problemów związanych z bezpieczeństwem w przypadku menedżerów haseł opartych na chmurze, takich jak LastPass. Jedną z najważniejszych kwestii jest to, gdzie przechowywane są klucze szyfrujące użytkowników i jak dobrze firma zabezpiecza to środowisko”.
Patrząc w przyszłość
Chociaż łatwo jest krytykować projekty takie jak LastPass, faktem jest, że menedżerowie haseł stali się niezwykle ważni w dzisiejszych czasach. Dzieje się tak, ponieważ pozwalają użytkownikom zapamiętać niezwykle silne i unikalne hasła dla każdego szczegółu logowania, jaki mogą mieć.
Jednak w obliczu narastających problemów związanych z kradzieżą haseł i innymi podobnymi naruszeniami danych ważne jest, aby wykorzystać moc nowszych rozwiązań Web3, które są w stanie zapewnić całkowite bezpieczeństwo informacji konsumenckich dzięki ich nielokalnemu projektowi/ramom operacyjnym. Do tego momentu menedżer haseł ShareRing działa w aplikacjach web2 i web3, wykorzystując zdecentralizowaną pamięć masową, aby zapewnić 100% bezpieczeństwo informacji użytkowników.
Dlatego, gdy zmierzamy w przyszłość napędzaną technologiami Web3, niezwykle ważne jest, aby osoby na całym świecie nadal uczyły się o wadach przechowywania ich poufnych danych na scentralizowanych serwerach, umożliwiając im w ten sposób wykorzystanie potencjału ekosystemu blockchain naprawdę.
Źródło: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/