Populārs paroļu pārvaldības pakalpojums LastPass tika atklāts 23. decembrī paziņojums ka tas tika uztverts kā liela uzlaušana pagājušā gada augustā. Rezultātā ļaundari varēja iekļūt vairākās šifrētās parolēs, kuras, iespējams, varēja uzlauzt, izmantojot paņēmienu, ko sauc par “brute force guessing”, nodrošinot viņiem piekļuvi sensitīviem patērētāju datiem.
Kad incidents sākotnēji nāca gaismā, LastPass pārstāvis mēģināja novērst šo lietu, norādot, ka uzbrucējs var iegūt tikai perifēro tehnisko informāciju, nevis nekādus privātus klientu datus. Tomēr pēc ilgstošas lietas izmeklēšanas tika atklāts, ka hakeris bija izmantojis informāciju, lai piekļūtu darbinieka ierīcei, kas pēc tam nodrošināja personai(-ām) piekļuvi daudziem klientu datiem, kas glabājas mākoņa krātuves sistēmā.
Sakarā ar to uzbrucējam tika atklāti nešifrēti klientu metadati, tostarp darba devēju vārdi, galalietotāju vārdi, norēķinu adreses, e-pasta adreses, tālruņu numuri un to klientu IP adreses, kuri bija piekļuvuši LastPass. Tika nozagtas arī dažu klientu šifrētās glabātuves, kurās bija vietņu paroles.
Ievadiet Web3
Paroļu pārvaldnieku, piemēram, LastPass, izmantošana Web3 izstrādātāju vidū ir izraisījusi ilgstošu apgalvojumu, ka tradicionālās lietotājvārdu un paroļu pieteikšanās sistēmas nav pilnībā drošas un tāpēc tās ir jāaizstāj ar datu privātuma sistēmām, kuru pamatā ir blokķēde.
Lai precizētu, Web3 drošības sistēmu aizstāvji ir vairākkārt atzīmējuši, ka tradicionālās uz paroli balstītās pieteikšanās sistēmas ir neaizsargātas, jo tās paļaujas uz jauktiem piekļuves kodiem, kas tiek glabāti mākoņserveros. Ja šīs jaucējkodas tiek pārkāptas, tās var atšifrēt, un viena nozagta parole var apdraudēt visus kontus, kuros tiek izmantota viena un tā pati parole.
Šajā sakarā Web3 lietojumprogrammas, piemēram, Kopīgot gredzenu piedāvā alternatīvu risinājumu, kas ļauj lietotājiem piekļūt decentralizētai platformai, kas maina veidu, kā indivīdu dati, piemēram, paroles, tiek kopīgoti dažādās tiešsaistes lietojumprogrammās. Piedāvājums ļauj lietotājiem nākt klajā ar savu personīgo decentralizēto identitāti (DID), sniedzot viņiem pilnīgu kontroli pār saviem datiem.
Sīkāk, ShareRing gaidāmā jaunā funkcija populārajā ShareRing Vault modulī ļauj cilvēkiem bez riska saglabāt lietotājvārdus un paroles. Faktiski visi šajā “Paroļu pārvaldniekā” saglabātie dati tiek tieši šifrēti ar lietotāja ShareRing Vault privāto atslēgu, nevis tiek glabāti mākonī. Rezultātā tas ir pieejams tikai ShareRing ID turētājam. Sniedzot savas domas par LastPass uzlaušanu, ShareRing izpilddirektors Tims Boss atzina:
“Uzņēmums ir mēģinājis pārliecināt klientus, ka viņu pieteikšanās informācija ir droša. Drošības eksperti nepiekrīt. Drošības pētnieka Vladimira Palnta rakstā uzņēmums kritizēts par pārredzamības trūkumu. Viņš norāda, ka uzņēmums ilgstoši ir ignorējis aicinājumus šifrēt datus, piemēram, URL, kas nozīmē, ka tagad ir grūti uzticēties uzņēmumam. Pastāv daudzas drošības problēmas ar mākoņdatošanas paroļu pārvaldniekiem, piemēram, LastPass. Viens no būtiskākajiem jautājumiem ir tas, kur tiek glabātas lietotāju šifrēšanas atslēgas un cik labi uzņēmums aizsargā šo vidi.
Raugoties nākotnē
Lai gan ir viegli kritizēt tādus projektus kā LastPass, fakts joprojām ir tāds, ka paroļu pārvaldnieki mūsdienās ir kļuvuši ārkārtīgi svarīgi. Tas ir tāpēc, ka tie ļauj lietotājiem atcerēties ārkārtīgi spēcīgas un unikālas paroles katrai pieteikšanās informācijai, kas viņiem var būt.
Tomēr, tā kā paroles zādzības un citi līdzīgi datu pārkāpumi pieaug, ir svarīgi izmantot jaunāko Web3 risinājumu iespējas, kas var nodrošināt patērētāju informācijas pilnīgu drošību, pateicoties to nelokālajam dizainam/darbības ietvariem. Līdz šim ShareRing paroļu pārvaldnieks darbojas Web2 un Web3 lietojumprogrammās, vienlaikus izmantojot decentralizētu krātuvi, lai lietotāju informācija būtu 100% drošībā.
Tāpēc, virzoties uz nākotni, ko virza Web3 tehnoloģijas, ir ārkārtīgi svarīgi, lai cilvēki visā pasaulē turpinātu izglītoties par negatīvajām pusēm, kas saistītas ar savu sensitīvo datu glabāšanu centralizētos serveros, tādējādi ļaujot viņiem izmantot blokķēdes ekosistēmas potenciālu. patiesi.
Avots: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/