Tech

Վերջին LastPass-ի հաքերները ցուցադրում են Web2-ի անվտանգության սահմանափակումները… Ահա թե ինչ է պետք փոխել

02/22/2023
Bitcoin Ethereum Նորություններ

The Recent LastPass hack showcases Web2’s security limitations… Here’s what needs to change

հայտարարություն


 

 

Գաղտնաբառերի կառավարման հանրահայտ LastPass ծառայությունը բացահայտվել է դեկտեմբերի 23-ին հայտարարություն որ այն անցած օգոստոսին խոշոր հաքերային հարձակման էր ենթարկվել: Արդյունքում, չարագործները կարողացան իրենց ճանապարհը բացել մի քանի կոդավորված գաղտնաբառերի մեջ, որոնք հնարավոր է կոտրել «բիրտ ուժի գուշակություն» կոչվող տեխնիկայի միջոցով՝ նրանց հասանելի դարձնելով սպառողների զգայուն տվյալները:

պատկեր

Երբ միջադեպն ի սկզբանե բացահայտվեց, LastPass-ի ներկայացուցիչը փորձեց չեզոքացնել այդ հարցը՝ նշելով, որ հարձակվողը կարող է ստանալ միայն ծայրամասային տեխնիկական տեղեկատվություն, այլ ոչ թե մասնավոր հաճախորդների տվյալներ: Այնուամենայնիվ, հարցի երկարատև հետաքննությունից հետո պարզվեց, որ հաքերն օգտագործել է տվյալ տեղեկատվությունը աշխատողի սարքին մուտք գործելու համար, որն այնուհետև անհատին (անձանց) է տրամադրել ամպային պահեստավորման համակարգում պահվող հաճախորդների տվյալների առատությանը:

Դրա շնորհիվ հարձակվողին բացահայտվել են հաճախորդի չգաղտնագրված մետատվյալները, ներառյալ գործատուների անունները, վերջնական օգտագործողների անունները, վճարման հասցեները, էլ.փոստի հասցեները, հեռախոսահամարները և հաճախորդների IP հասցեները, ովքեր մուտք են գործել LastPass: Գողացվել են նաև որոշ հաճախորդների գաղտնագրված պահոցներ, որոնք պարունակում էին կայքերի գաղտնաբառեր:

Մուտքագրեք Web3

Գաղտնաբառերի կառավարիչների շահագործումը, ինչպիսին LastPass-ն է, առաջացրել է Web3 ծրագրավորողների երկարատև պնդումը, որ օգտանունների և գաղտնաբառի մուտքի ավանդական համակարգերը լիովին անվտանգ չեն և, հետևաբար, պետք է փոխարինվեն բլոկչեյնի վրա հիմնված տվյալների գաղտնիության համակարգերով:

Ավելի մանրամասն, Web3 անվտանգության համակարգերի ջատագովները բազմիցս նշել են, որ ավանդական գաղտնաբառի վրա հիմնված մուտքի համակարգերը խոցելի են, քանի որ դրանք հիմնվում են ամպային սերվերների վրա պահվող հաշված ծածկագրերի վրա: Եթե ​​այս հեշերը խախտվեն, դրանք կարող են վերծանվել, և մեկ գողացված գաղտնաբառը կարող է վտանգել բոլոր հաշիվները, որոնք օգտագործում են նույն գաղտնաբառը:

հայտարարություն


 

 

Այս առումով Web3 հավելվածները սիրում են ShareRing- ը առաջարկել այլընտրանքային լուծում, որը թույլ է տալիս օգտվողներին մուտք գործել ապակենտրոնացված հարթակ, որը փոխում է, թե ինչպես են անհատների տվյալները, օրինակ՝ գաղտնաբառերը, տարածվում տարբեր առցանց հավելվածներում: Առաջարկը թույլ է տալիս օգտվողներին հանդես գալ իրենց անձնական ապակենտրոնացված ինքնությամբ (DID)՝ տալով նրանց ամբողջական վերահսկողություն իրենց տվյալների նկատմամբ:

Ավելի մանրամասն նշենք, որ ShareRing-ի առաջիկա նոր գործառույթն իր հանրաճանաչ ShareRing Vault մոդուլում թույլ է տալիս մարդկանց առանց որևէ ռիսկի պահել օգտվողի անուններն ու գաղտնաբառերը: Փաստորեն, այս «Գաղտնաբառերի կառավարիչում» պահվող բոլոր տվյալները ուղղակիորեն կոդավորված են օգտվողի ShareRing Vault մասնավոր բանալիում՝ ամպի վրա պահվելու փոխարեն: Արդյունքում, այն հասանելի է միայն ShareRing ID սեփականատիրոջը: Տրամադրելով իր մտքերը LastPass-ի հաքի վերաբերյալ՝ ShareRing-ի գործադիր տնօրեն Թիմ Բոսը ը:

«Ընկերությունը փորձել է համոզել հաճախորդներին, որ իրենց մուտքի տվյալները ապահով են: Անվտանգության փորձագետները համաձայն չեն: Անվտանգության հետազոտող Վլադիմիր Պալանտի հոդվածը քննադատում է ընկերությանը թափանցիկության բացակայության համար: Նա նշում է, որ ընկերությունը երկար ժամանակ անտեսել է տվյալների գաղտնագրման կոչերը, ինչպիսիք են URL-ները, ինչը նշանակում է, որ այժմ դժվար է վստահել ընկերությանը ապագայում: Անվտանգության բազմաթիվ խնդիրներ կան ամպի վրա հիմնված գաղտնաբառերի կառավարիչների հետ, ինչպիսիք են LastPass-ը: Ամենակարևոր խնդիրներից մեկն այն է, թե որտեղ են պահվում օգտատերերի գաղտնագրման բանալիները և որքանով է ընկերությունը ապահովում այս միջավայրը»:

Փնտրում Ahead

Թեև LastPass-ի նման նախագծերը քննադատելը հեշտ է, փաստը մնում է փաստ, որ գաղտնաբառերի կառավարիչները դարձել են չափազանց կարևոր մեր օրերում: Դա պայմանավորված է նրանով, որ նրանք թույլ են տալիս օգտվողներին հիշել չափազանց ուժեղ և եզակի գաղտնաբառերը մուտքի յուրաքանչյուր մանրամասնի համար, որը նրանք կարող են ունենալ:

Այնուամենայնիվ, գաղտնաբառի գողության և այլ նմանատիպ տվյալների խախտումների հետ կապված, կարևոր է օգտագործել ավելի նոր Web3 լուծումների ուժը, որոնք ի վիճակի են բացարձակապես անվտանգ պահել սպառողների տեղեկատվությունը իրենց ոչ տեղական դիզայնի/գործառնական շրջանակների շնորհիվ: Այս պահին ShareRing-ի գաղտնաբառերի կառավարիչը աշխատում է վեբ2 և վեբ3 հավելվածներում՝ միաժամանակ օգտագործելով ապակենտրոնացված պահեստավորումը՝ իր օգտատերերի տեղեկությունները 100%-ով ապահով պահելու համար: 

Հետևաբար, երբ մենք գնում ենք դեպի ապագա, որը առաջնորդվում է Web3 տեխնոլոգիաներով, չափազանց կարևոր է, որ ամբողջ աշխարհում անհատները շարունակեն ուսուցանել իրենց զգայուն տվյալները կենտրոնացված սերվերների վրա պահելու բացասական կողմերի մասին՝ այդպիսով թույլ տալով նրանց օգտագործել բլոկչեյն էկոհամակարգի ներուժը: իսկապես.

Աղբյուր՝ https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/