Популярната услуга за управление на пароли LastPass беше разкрита на 23 декември изявление че е бил обект на голям хак миналия август. В резултат на това престъпниците успяха да си проправят път до няколко криптирани пароли, които потенциално биха могли да бъдат разбити чрез техника, наречена „отгатване с груба сила“, която им дава достъп до чувствителни потребителски данни.
Когато инцидентът първоначално излезе наяве, представител на LastPass се опита да отхвърли въпроса, заявявайки, че нападателят може да получи само периферна техническа информация, а не лични данни на клиенти. Въпреки това, след продължително разследване на въпроса, беше открито, че хакерът е използвал информацията, за да получи достъп до устройство на служител, което след това е предоставило на лицето (лицата) достъп до множество клиентски данни, съхранявани в система за съхранение в облак.
Поради това некриптирани метаданни на клиента бяха разкрити на нападателя, включително имена на работодатели, имена на крайни потребители, адреси за фактуриране, имейл адреси, телефонни номера и IP адреси на клиенти, които са имали достъп до LastPass. Криптираните трезори на някои клиенти, съдържащи пароли за уебсайтове, също бяха откраднати.
Въведете Web3
Използването на мениджъри на пароли като LastPass предизвика дългогодишно твърдение сред разработчиците на Web3, че традиционните системи за влизане с потребителско име и парола не са напълно сигурни и следователно трябва да бъдат заменени от базирани на блокчейн системи за поверителност на данните.
За да уточним, привържениците на системите за сигурност Web3 многократно отбелязват, че традиционните системи за влизане, базирани на парола, са уязвими, тъй като разчитат на хеширани пароли, съхранявани на облачни сървъри. Ако тези хешове бъдат пробити, те могат да бъдат декодирани и една открадната парола може да компрометира всички акаунти, които използват същата парола.
В това отношение Web3 приложенията като Пръстен за споделяне предлагат алтернативно решение, позволяващо на потребителите достъп до децентрализирана платформа, която променя начина, по който данните на отделните лица – като пароли – се споделят между различни онлайн приложения. Предложението позволява на потребителите да измислят своите лични децентрализирани самоличности (DID), което им дава пълен контрол върху техните данни.
За да уточним, предстоящата нова функция на ShareRing в неговия популярен модул ShareRing Vault позволява на хората да съхраняват потребителски имена и пароли без никакъв риск. Всъщност всички данни, съхранявани в този „Мениджър на пароли“, са директно криптирани към частния ключ на ShareRing Vault на потребителя, вместо да се съхраняват в облака. В резултат на това той е достъпен само за притежателя на ShareRing ID. Предоставяйки мислите си за хака LastPass, главният изпълнителен директор на ShareRing Тим Бос изказват мнение:
„Компанията се опита да убеди клиентите, че информацията им за вход е безопасна. Експертите по сигурността не са съгласни. Статия от изследователя по сигурността Владимир Палант критикува компанията за липса на прозрачност. Той посочва, че компанията отдавна е игнорирала призивите за криптиране на данни като URL адреси, което означава, че сега е трудно да се вярва на фирмата в бъдеще. Има многобройни проблеми със сигурността при базираните в облак мениджъри на пароли като LastPass. Един от най-важните въпроси е къде се съхраняват ключовете за криптиране на потребителите и колко добре фирмата защитава тази среда.
Поглед напред
Въпреки че е лесно да се критикуват проекти като LastPass, фактът остава, че мениджърите на пароли са станали изключително важни в днешното време. Това е така, защото те позволяват на потребителите да запомнят изключително силни и уникални пароли за всеки детайл за влизане, който може да имат.
Въпреки това, с нарастващите проблеми с кражбата на пароли и други подобни пробиви на данни, е важно да се използва силата на по-новите Web3 решения, които са в състояние да запазят потребителската информация в абсолютна безопасност благодарение на нелокалния си дизайн/оперативни рамки. До този момент мениджърът на пароли на ShareRing работи в web2 и web3 приложения, като същевременно използва децентрализирано съхранение, за да запази информацията на своите потребители 100% защитена.
Ето защо, докато се насочваме към бъдеще, движено от Web3 технологиите, е от изключителна важност хората по целия свят да продължат да се образоват за недостатъците на съхраняването на техните чувствителни данни на централизирани сървъри, което им позволява да използват потенциала на блокчейн екосистемата наистина.
Източник: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/