Perkhidmatan pengurusan kata laluan popular LastPass didedahkan pada 23 Disember kenyataan bahawa ia telah menerima penggodaman besar Ogos lalu. Akibatnya, pesalah dapat masuk ke dalam beberapa kata laluan yang disulitkan, yang berpotensi dipecahkan melalui teknik yang dipanggil 'tekaan kekerasan', memberikan mereka akses kepada data pengguna yang sensitif.
Apabila insiden itu mula terbongkar, wakil LastPass cuba menepis perkara itu, menyatakan bahawa penyerang hanya boleh mendapatkan maklumat teknikal persisian dan bukan sebarang data pelanggan peribadi. Walau bagaimanapun, selepas penyiasatan yang panjang mengenai perkara itu, didapati bahawa penggodam telah menggunakan maklumat tersebut untuk mendapatkan akses kepada peranti pekerja, yang kemudiannya memberikan individu itu akses kepada sejumlah besar data pelanggan yang disimpan dalam sistem storan awan.
Disebabkan ini, metadata pelanggan yang tidak disulitkan telah didedahkan kepada penyerang, termasuk nama majikan, nama pengguna akhir, alamat pengebilan, alamat e-mel, nombor telefon dan alamat IP pelanggan yang telah mengakses LastPass. Beberapa peti besi disulitkan pelanggan yang mengandungi kata laluan tapak web turut dicuri.
Masukkan Web3
Eksploitasi pengurus kata laluan seperti LastPass telah mencetuskan tuntutan lama di kalangan pembangun Web3 bahawa sistem log masuk nama pengguna dan kata laluan tradisional tidak sepenuhnya selamat dan, oleh itu, harus digantikan oleh sistem privasi data berasaskan blokchain.
Untuk menghuraikan, penyokong sistem keselamatan Web3 telah berulang kali menyatakan bahawa sistem log masuk berasaskan kata laluan tradisional terdedah kerana ia bergantung pada kod laluan cincang yang disimpan pada pelayan awan. Jika cincang ini dilanggar, ia boleh dinyahkod dan satu kata laluan yang dicuri boleh menjejaskan semua akaun yang menggunakan kata laluan yang sama.
Dalam hal ini, aplikasi Web3 seperti ShareRing menawarkan penyelesaian alternatif yang membolehkan pengguna mengakses platform terdesentralisasi yang mengubah cara data individu — seperti kata laluan — dikongsi merentas pelbagai aplikasi dalam talian. Tawaran itu membolehkan pengguna menghasilkan identiti terpencar peribadi (DID) mereka, memberikan mereka kawalan sepenuhnya ke atas data mereka.
Untuk menghuraikan, ciri baharu ShareRing yang akan datang dalam modul ShareRing Vault yang popular membolehkan orang ramai menyimpan nama pengguna dan kata laluan tanpa sebarang risiko. Malah, semua data yang disimpan dalam 'Pengurus Kata Laluan' ini disulitkan terus ke kunci peribadi ShareRing Vault pengguna dan bukannya disimpan pada awan. Akibatnya, ia hanya boleh diakses oleh pemegang ID ShareRing. Memberi pandangannya tentang penggodaman LastPass, Ketua Pegawai Eksekutif ShareRing Tim Bos berpendapat:
“Syarikat telah cuba meyakinkan pelanggan bahawa maklumat log masuk mereka selamat. Pakar keselamatan tidak bersetuju. Artikel oleh penyelidik keselamatan Wladimir Palant mengkritik syarikat itu kerana kekurangan ketelusan. Dia menunjukkan bahawa syarikat itu telah lama mengabaikan panggilan untuk menyulitkan data seperti URL, bermakna kini sukar untuk mempercayai firma itu pada masa hadapan. Terdapat banyak isu keselamatan dengan pengurus kata laluan berasaskan awan seperti LastPass. Salah satu isu yang paling penting ialah tempat kunci penyulitan pengguna disimpan dan sejauh mana firma itu melindungi persekitaran ini.”
Masa Hadapan
Walaupun mudah untuk mengkritik projek seperti LastPass, hakikatnya tetap bahawa pengurus kata laluan telah menjadi sangat penting pada zaman dan zaman hari ini. Ini kerana mereka membenarkan pengguna mengingati kata laluan yang sangat kuat dan unik untuk setiap butiran log masuk yang mungkin mereka miliki.
Walau bagaimanapun, dengan isu kecurian kata laluan dan pelanggaran data lain yang serupa semakin meningkat, adalah penting untuk memanfaatkan kuasa penyelesaian Web3 yang lebih baharu yang mampu memastikan maklumat pengguna benar-benar selamat berkat reka bentuk/rangka kerja operasi bukan tempatan mereka. Setakat ini, pengurus kata laluan ShareRing berfungsi merentas aplikasi web2 dan web3 sambil memanfaatkan storan terdesentralisasi untuk memastikan maklumat penggunanya 100% selamat.
Oleh itu, semasa kita menuju ke masa hadapan yang didorong oleh teknologi Web3, adalah amat penting bahawa individu di seluruh dunia terus mendidik diri mereka sendiri tentang keburukan menyimpan data sensitif mereka pada pelayan terpusat, sekali gus membolehkan mereka memanfaatkan potensi ekosistem rantaian blok. sungguh.
Sumber: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/