Populaarne paroolihaldusteenus LastPass avalikustati 23. detsembril avaldus et see oli eelmise aasta augustis toimunud suure häkkimise vastu. Selle tulemusel suutsid kurjategijad pääseda mitmesse krüptitud parooli, mida võidakse murda nn jõhkra jõuga äraarvamise tehnika abil, andes neile juurdepääsu tundlikele tarbijaandmetele.
Kui juhtum algselt ilmsiks tuli, püüdis LastPassi esindaja asja maha võtta, väites, et ründajal on võimalik hankida ainult väliseid tehnilisi andmeid, mitte aga erakliendi andmeid. Kuid pärast asja pikaajalist uurimist avastati, et häkker oli kasutanud teavet töötaja seadmele juurdepääsu saamiseks, mis seejärel võimaldas üksikisiku(te)le juurdepääsu paljudele pilvesalvestussüsteemi salvestatud kliendiandmetele.
Tänu sellele avaldati ründajale krüptimata kliendi metaandmeid, sealhulgas LastPassi kasutanud klientide tööandjate nimesid, lõppkasutajate nimesid, arveldusaadresse, e-posti aadresse, telefoninumbreid ja IP-aadresse. Samuti varastati mõnede klientide krüpteeritud varahoidlad, mis sisaldasid veebisaidi paroole.
Sisestage Web3
Paroolihaldurite, nagu LastPass, ärakasutamine on vallandanud Web3 arendajate seas pikaajalise väite, et traditsioonilised kasutajanimede ja paroolide sisselogimissüsteemid ei ole täiesti turvalised ja seetõttu tuleks need asendada plokiahelapõhiste andmekaitsesüsteemidega.
Täpsemalt on Web3 turvasüsteemide pooldajad korduvalt märkinud, et traditsioonilised paroolipõhised sisselogimissüsteemid on haavatavad, kuna need tuginevad pilveserveritesse salvestatud räsipääsukoodidele. Kui neid räsi rikutakse, saab need dekodeerida ja üks varastatud parool võib kahjustada kõiki sama parooli kasutavaid kontosid.
Sellega seoses meeldivad Web3 rakendused Jaga sõrmust pakkuda alternatiivset lahendust, mis võimaldab kasutajatel pääseda juurde detsentraliseeritud platvormile, mis muudab seda, kuidas üksikisikute andmeid (nt paroole) jagatakse erinevate võrgurakenduste vahel. Pakkumine võimaldab kasutajatel välja mõelda oma isiklikud detsentraliseeritud identiteedid (DID), andes neile täieliku kontrolli oma andmete üle.
Täpsemalt võimaldab ShareRingi uus funktsioon populaarses ShareRing Vault moodulis salvestada kasutajanimesid ja paroole ilma riskita. Tegelikult krüpteeritakse kõik sellesse paroolihaldurisse salvestatud andmed pilve salvestamise asemel otse kasutaja ShareRing Vault privaatvõtmesse. Selle tulemusena on see juurdepääsetav ainult ShareRing ID omanikule. Oma mõtteid LastPassi häkkimise kohta esitas ShareRingi tegevjuht Tim Bos arvati:
„Ettevõte on püüdnud kliente veenda, et nende sisselogimisandmed on turvalised. Turvaeksperdid ei nõustu. Turvateadlase Wladimir Palanti artiklis kritiseeritakse ettevõtet läbipaistmatuse pärast. Ta juhib tähelepanu sellele, et ettevõte on pikka aega ignoreerinud üleskutseid andmete, näiteks URL-ide krüpteerimiseks, mis tähendab, et ettevõtet on praegu raske usaldada. Pilvepõhiste paroolihalduritega, nagu LastPass, on palju turvaprobleeme. Üks olulisemaid probleeme on see, kus kasutajate krüpteerimisvõtmeid hoitakse ja kui hästi ettevõte seda keskkonda turvab.
Tulevikku vaadates
Kuigi selliseid projekte nagu LastPass on lihtne kritiseerida, on tõsiasi, et paroolihaldurid on tänapäeval muutunud äärmiselt oluliseks. Seda seetõttu, et need võimaldavad kasutajatel meeles pidada äärmiselt tugevaid ja kordumatuid paroole iga sisselogimise üksikasja jaoks, mis neil võib olla.
Kuid paroolivarguste ja muude sarnaste andmetega seotud rikkumiste suurenemise tõttu on oluline kasutada ära uuemate Web3 lahenduste jõud, mis suudavad hoida tarbijateavet täiesti turvalisena tänu oma mittekohalikule disainile/tööraamistikule. Seni töötab ShareRingi paroolihaldur web2 ja web3 rakendustes, kasutades samal ajal detsentraliseeritud salvestusruumi, et hoida oma kasutajate teave 100% turvaliselt.
Seetõttu on Web3 tehnoloogiatest juhitud tulevikku jõudes ülimalt oluline, et inimesed kogu maailmas jätkaksid oma tundlike andmete tsentraliseeritud serveritesse salvestamise varjukülgede harimist, võimaldades neil seeläbi ära kasutada plokiahela ökosüsteemi potentsiaali. tõeliselt.
Allikas: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/