Populiari slaptažodžių valdymo paslauga „LastPass“ buvo atskleista gruodžio 23 d pareiškimas kad praėjusį rugpjūtį tai buvo didžiulis įsilaužimas. Dėl to piktadariai sugebėjo patekti į kelis užšifruotus slaptažodžius, kuriuos galimai buvo nulaužta naudojant „bruliosios jėgos spėliojimą“, suteikiant jiems prieigą prie jautrių vartotojų duomenų.
Iš pradžių paaiškėjus incidentui, „LastPass“ atstovas bandė sušvelninti šį klausimą ir pareiškė, kad užpuolikas gali gauti tik išorinę techninę informaciją, o ne privačių klientų duomenis. Tačiau po ilgo šio klausimo tyrimo buvo nustatyta, kad įsilaužėlis pasinaudojo šia informacija siekdamas pasiekti darbuotojo įrenginį, kuris vėliau suteikė asmeniui (-iams) prieigą prie daugybės klientų duomenų, saugomų debesies saugyklos sistemoje.
Dėl šios priežasties užpuolikui buvo atskleisti nešifruoti kliento metaduomenys, įskaitant darbdavių vardus, galutinių vartotojų vardus, atsiskaitymo adresus, el. pašto adresus, telefono numerius ir klientų, kurie prisijungė prie LastPass, IP adresus. Taip pat buvo pavogtos kai kurių klientų užšifruotos saugyklos su svetainių slaptažodžiais.
Įveskite Web3
Slaptažodžių tvarkytuvų, tokių kaip LastPass, išnaudojimas sukėlė ilgalaikį Web3 kūrėjų teiginį, kad tradicinės vartotojo vardo ir slaptažodžio prisijungimo sistemos nėra visiškai saugios ir todėl turėtų būti pakeistos blokų grandinėmis pagrįstomis duomenų privatumo sistemomis.
Išsamiau, Web3 saugos sistemų šalininkai ne kartą pažymėjo, kad tradicinės slaptažodžiu pagrįstos prisijungimo sistemos yra pažeidžiamos, nes jos priklauso nuo maišos slaptažodžių, saugomų debesies serveriuose. Jei šios maišos pažeidžiamos, jas galima iššifruoti, o vienas pavogtas slaptažodis gali pakenkti visoms paskyroms, kurios naudoja tą patį slaptažodį.
Šiuo atžvilgiu Web3 programos kaip „ShareRing“ pasiūlyti alternatyvų sprendimą, leidžiantį vartotojams pasiekti decentralizuotą platformą, kuri keičia tai, kaip asmenų duomenys, pvz., slaptažodžiai, yra dalijami įvairiose internetinėse programose. Šis pasiūlymas leidžia vartotojams sugalvoti savo asmeninę decentralizuotą tapatybę (DID), suteikdama jiems visišką savo duomenų kontrolę.
Išsamiau galima pasakyti, kad nauja „ShareRing“ funkcija populiariame „ShareRing Vault“ modulyje leidžia žmonėms be jokios rizikos saugoti naudotojų vardus ir slaptažodžius. Tiesą sakant, visi šioje „Slaptažodžių tvarkytuvėje“ saugomi duomenys yra tiesiogiai užšifruoti vartotojo „ShareRing Vault“ privačiu raktu, o ne saugomi debesyje. Todėl jį gali pasiekti tik ShareRing ID turėtojas. „ShareRing“ generalinis direktorius Timas Bosas išdėstė savo mintis apie LastPass įsilaužimą išreiškė nuomonę:
„Bendrovė bandė įtikinti klientus, kad jų prisijungimo informacija yra saugi. Saugumo ekspertai nesutinka. Saugumo tyrinėtojo Wladimiro Palanto straipsnyje bendrovė kritikuojama dėl skaidrumo stokos. Jis pabrėžia, kad bendrovė ilgą laiką ignoravo raginimus šifruoti duomenis, pvz., URL, o tai reiškia, kad dabar sunku pasitikėti įmone. Yra daug saugos problemų, susijusių su debesimis pagrįstomis slaptažodžių tvarkytuvėmis, tokiomis kaip LastPass. Viena iš svarbiausių problemų yra tai, kur saugomi vartotojų šifravimo raktai ir kaip įmonė apsaugo šią aplinką.
Žvilgsnis į ateitį
Nors lengva kritikuoti tokius projektus kaip LastPass, faktas išlieka tas, kad slaptažodžių tvarkyklės šiandien tapo itin svarbios. Taip yra todėl, kad jie leidžia vartotojams atsiminti itin stiprius ir unikalius slaptažodžius kiekvienai jų galimo prisijungimo detalei.
Tačiau didėjant slaptažodžių vagystės ir kitų panašių duomenų pažeidimų problemoms, svarbu panaudoti naujesnius Web3 sprendimus, kurie dėl nevietinio dizaino / veikimo sistemų gali užtikrinti vartotojų informaciją visiškai saugią. Iki šiol „ShareRing“ slaptažodžių tvarkyklė veikia žiniatinklio 2 ir žiniatinklio 3 programose, kartu išnaudodama decentralizuotą saugyklą, kad naudotojų informacija būtų 100 % saugi.
Todėl artėjant į ateitį, kurią lemia Web3 technologijos, labai svarbu, kad žmonės visame pasaulyje toliau mokytųsi apie savo neskelbtinų duomenų saugojimo centralizuotuose serveriuose neigiamas puses, kad galėtų išnaudoti blokų grandinės ekosistemos potencialą. nuoširdžiai.
Šaltinis: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/