Популярний сервіс керування паролями LastPass був представлений 23 грудня заяву що в серпні минулого року його було зламано. У результаті зловмисники змогли проникнути до кількох зашифрованих паролів, які потенційно могли бути зламані за допомогою техніки під назвою «вгадування грубою силою», надаючи їм доступ до конфіденційних даних споживачів.
Коли про інцидент стало відомо, представник LastPass спробував відмахнутися від цього питання, заявивши, що зловмисник міг отримати лише периферійну технічну інформацію, а не будь-які особисті дані клієнтів. Однак після тривалого розслідування цього питання було виявлено, що хакер використав цю інформацію, щоб отримати доступ до пристрою співробітника, який потім надав особі (особам) доступ до безлічі даних клієнтів, що зберігаються в системі хмарного зберігання.
Завдяки цьому зловмиснику було відкрито незашифровані метадані клієнта, включаючи імена роботодавців, імена кінцевих користувачів, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси клієнтів, які отримали доступ до LastPass. Також було викрадено зашифровані сховища деяких клієнтів, що містять паролі веб-сайтів.
Введіть Web3
Експлуатація менеджерів паролів, таких як LastPass, викликала давню думку серед розробників Web3 про те, що традиційні системи входу за іменем користувача та паролем не є цілком безпечними, і тому їх слід замінити системами конфіденційності даних на основі блокчейну.
Щоб уточнити, прихильники систем безпеки Web3 неодноразово зазначали, що традиційні системи входу на основі паролів є вразливими, оскільки вони покладаються на хешовані паролі, що зберігаються на хмарних серверах. Якщо ці хеші зламано, їх можна розшифрувати, і один викрадений пароль може скомпрометувати всі облікові записи, які використовують той самий пароль.
У цьому плані програми Web3 подобаються Поділіться кільцем пропонують альтернативне рішення, що дозволяє користувачам отримувати доступ до децентралізованої платформи, яка змінює спосіб обміну даними окремих осіб, наприклад паролями, між різними онлайн-додатками. Ця пропозиція дозволяє користувачам придумати свої особисті децентралізовані ідентифікатори (DID), надаючи їм повний контроль над своїми даними.
Щоб уточнити, майбутня нова функція ShareRing у його популярному модулі ShareRing Vault дозволяє людям зберігати імена користувачів і паролі без жодного ризику. Насправді всі дані, що зберігаються в цьому «Менеджері паролів», безпосередньо шифруються в закритому ключі користувача ShareRing Vault, а не зберігаються в хмарі. Як наслідок, доступ до нього має лише власник ShareRing ID. Висловлюючи свої думки щодо злому LastPass, генеральний директор ShareRing Тім Бос вважають:
«Компанія намагалася переконати клієнтів, що їхні дані для входу безпечні. Експерти з безпеки не погоджуються. Стаття дослідника безпеки Володимира Паланта критикує компанію за недостатню прозорість. Він зазначає, що компанія довгий час ігнорувала заклики до шифрування даних, таких як URL-адреси, а це означає, що зараз важко довіряти фірмі в майбутньому. Існує багато проблем безпеки з хмарними менеджерами паролів, такими як LastPass. Однією з найважливіших проблем є те, де зберігаються ключі шифрування користувачів і наскільки добре фірма захищає це середовище».
Погляд у майбутнє
Хоча легко критикувати такі проекти, як LastPass, факт залишається фактом: менеджери паролів стали надзвичайно важливими в наш час. Це пояснюється тим, що вони дозволяють користувачам запам’ятовувати надзвичайно надійні та унікальні паролі для кожної інформації для входу, яку вони можуть мати.
Однак, оскільки проблеми з крадіжкою паролів та іншими подібними порушеннями даних зростають, важливо використовувати потужність новіших рішень Web3, які здатні зберігати інформацію споживача в повній безпеці завдяки своїм нелокальним структурам дизайну/операції. До цього моменту менеджер паролів ShareRing працює в програмах web2 і web3, одночасно використовуючи децентралізоване сховище, щоб забезпечити 100% безпеку інформації користувачів.
Тому, коли ми йдемо в майбутнє, яке ведеться за технологіями Web3, надзвичайно важливо, щоб люди в усьому світі продовжували навчатися про недоліки зберігання конфіденційних даних на централізованих серверах, таким чином дозволяючи їм використовувати потенціал екосистеми блокчейн. по-справжньому.
Джерело: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/