Shërbimi popullor i menaxhimit të fjalëkalimeve LastPass u zbulua në një 23 dhjetor Deklarata se ajo kishte qenë në fund të një hakimi të madh gushtin e kaluar. Si rezultat, keqbërësit ishin në gjendje të hynin në disa fjalëkalime të enkriptuara, të cilat potencialisht mund të thyheshin përmes një teknike të quajtur 'gjallërimi i forcës brutale', duke u dhënë atyre akses në të dhënat e ndjeshme të konsumatorit.
Kur incidenti u zbulua fillimisht, një përfaqësues i LastPass u përpoq të fshinte çështjen, duke deklaruar se sulmuesi mund të merrte vetëm informacione teknike periferike dhe jo ndonjë të dhënë private të klientit. Megjithatë, pas një hetimi të gjatë për këtë çështje, u zbulua se hakeri kishte përdorur informacionin për të fituar akses në pajisjen e një punonjësi, e cila më pas i ofroi individëve akses në një mori të dhënash të klientit të ruajtura në një sistem ruajtjeje cloud.
Për shkak të kësaj, sulmuesit iu zbuluan meta të dhënat e pakriptuara të klientit, duke përfshirë emrat e punëdhënësve, emrat e përdoruesve fundorë, adresat e faturimit, adresat e postës elektronike, numrat e telefonit dhe adresat IP të klientëve që kishin hyrë në LastPass. U vodhën gjithashtu kasafortë të koduar të disa klientëve që përmbajnë fjalëkalime të uebsajtit.
Hyni në Web3
Shfrytëzimi i menaxherëve të fjalëkalimeve si LastPass ka shkaktuar një pretendim të gjatë midis zhvilluesve të Web3 se sistemet tradicionale të hyrjes me emrin e përdoruesit dhe fjalëkalimin nuk janë plotësisht të sigurta dhe, për rrjedhojë, duhet të zëvendësohen nga sistemet e privatësisë së të dhënave të bazuara në zinxhirin e bllokut.
Për të elaboruar, avokatët për sistemet e sigurisë Web3 kanë vënë në dukje në mënyrë të përsëritur se sistemet tradicionale të identifikimit të bazuara në fjalëkalim janë të pambrojtur pasi ato mbështeten në kodkalimet e hashuara të ruajtura në serverët cloud. Nëse këto hash shkelen, ato mund të deshifrohen dhe një fjalëkalim i vetëm i vjedhur mund të komprometojë të gjitha llogaritë që përdorin të njëjtin fjalëkalim.
Në këtë drejtim, aplikacionet Web3 si Ndaje Unazën ofroni një zgjidhje alternative që i lejon përdoruesit të aksesojnë një platformë të decentralizuar që ndryshon mënyrën se si të dhënat e individëve — si fjalëkalimet — ndahen nëpër aplikacione të ndryshme online. Oferta i lejon përdoruesit të dalin me identitetet e tyre personale të decentralizuara (DID), duke u dhënë atyre kontroll të plotë mbi të dhënat e tyre.
Për të elaboruar, veçoria e re e ardhshme e ShareRing brenda modulit të tij të njohur ShareRing Vault i lejon njerëzit të ruajnë emrat e përdoruesve dhe fjalëkalimet pa asnjë rrezik. Në fakt, të gjitha të dhënat e ruajtura në këtë "Menaxheri i Fjalëkalimeve" janë të koduara drejtpërdrejt në çelësin privat të përdoruesit ShareRing Vault në vend që të ruhen në renë kompjuterike. Si rezultat, ai është i aksesueshëm vetëm për mbajtësin e ID-së së ShareRing. Duke dhënë mendimet e tij për hakimin e LastPass, CEO i ShareRing, Tim Bos thuhej:
“Kompania është përpjekur të bindë klientët se informacioni i tyre i hyrjes është i sigurt. Ekspertët e sigurisë nuk janë dakord. Një artikull nga studiuesi i sigurisë Wladimir Palant kritikon kompaninë për mungesë transparence. Ai thekson se kompania ka injoruar prej kohësh thirrjet për të enkriptuar të dhënat si URL-të, që do të thotë se tani është e vështirë t'i besosh firmës në vazhdim. Ka shumë çështje sigurie me menaxherët e fjalëkalimeve të bazuara në cloud, si LastPass. Një nga çështjet më të rëndësishme është se ku ruhen çelësat e enkriptimit të përdoruesve dhe sa mirë e siguron firma këtë mjedis.”
Duke kërkuar përpara
Ndërsa është e lehtë të kritikosh projekte si LastPass, fakti mbetet që menaxherët e fjalëkalimeve janë bërë jashtëzakonisht të rëndësishëm në ditët dhe epokën e sotme. Kjo për shkak se ata i lejojnë përdoruesit të mbajnë mend fjalëkalime jashtëzakonisht të forta dhe unike për çdo detaj të hyrjes që mund të kenë.
Megjithatë, me çështjet e vjedhjes së fjalëkalimeve dhe shkeljeve të tjera të ngjashme të të dhënave në rritje, është e rëndësishme të shfrytëzohet fuqia e zgjidhjeve më të reja Web3 që janë në gjendje të mbajnë informacionin e konsumatorit absolutisht të sigurt falë kornizave të tyre jo-lokale të dizajnit/operacionit. Deri në këtë pikë, menaxheri i fjalëkalimeve të ShareRing funksionon në të gjithë aplikacionet web2 dhe web3, ndërsa shfrytëzon ruajtjen e decentralizuar për të mbajtur informacionin e përdoruesve të tij 100% të sigurt.
Prandaj, ndërsa po shkojmë drejt një të ardhmeje të udhëhequr nga teknologjitë Web3, është me rëndësi të madhe që individët në mbarë globin të vazhdojnë të edukojnë veten për anët negative të ruajtjes së të dhënave të tyre të ndjeshme në serverë të centralizuar, duke i lejuar ata të shfrytëzojnë potencialin e ekosistemit të blockchain. vërtetë.
Burimi: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/