Popularna usluga za upravljanje lozinkama LastPass otkrivena je 23. prosinca izjava da je bio na udaru velikog hakiranja prošlog kolovoza. Kao rezultat toga, zlobnici su se uspjeli probiti do nekoliko šifriranih lozinki, koje bi potencijalno mogle biti provaljene tehnikom zvanom 'pogađanje brutalnom silom', dajući im pristup osjetljivim podacima potrošača.
Kada je incident isprva izašao na vidjelo, predstavnik LastPass-a pokušao je otkloniti stvar, navodeći da je napadač mogao dobiti samo periferne tehničke informacije, a ne bilo kakve privatne podatke o klijentima. Međutim, nakon dugotrajne istrage o ovom pitanju, otkriveno je da je haker iskoristio te informacije kako bi dobio pristup uređaju zaposlenika, koji je zatim pojedincu (osobama) omogućio pristup mnoštvu korisničkih podataka pohranjenih u sustavu za pohranu u oblaku.
Zbog toga su napadaču otkriveni nekriptirani metapodaci klijenata, uključujući imena poslodavaca, imena krajnjih korisnika, adrese za naplatu, adrese e-pošte, telefonske brojeve i IP adrese korisnika koji su pristupili LastPass-u. Također su ukradeni šifrirani trezori nekih korisnika koji sadrže lozinke za web stranice.
Unesite Web3
Iskorištavanje upravitelja lozinki kao što je LastPass izazvalo je dugotrajnu tvrdnju među Web3 programerima da tradicionalni sustavi za prijavu korisničkim imenom i lozinkom nisu u potpunosti sigurni i da bi ih stoga trebalo zamijeniti sustavima za zaštitu privatnosti podataka koji se temelje na blockchainu.
Da pojasnimo, zagovornici sigurnosnih sustava Web3 opetovano su primijetili da su tradicionalni sustavi za prijavu koji se temelje na lozinkama ranjivi jer se oslanjaju na hashirane šifre pohranjene na poslužiteljima u oblaku. Ako su ti hashovi probijeni, oni se mogu dekodirati, a jedna ukradena lozinka može ugroziti sve račune koji koriste istu lozinku.
U tom smislu, Web3 aplikacije poput Dijeli prsten ponuditi alternativno rješenje koje korisnicima omogućuje pristup decentraliziranoj platformi koja mijenja način na koji se podaci pojedinaca — poput lozinki — dijele u različitim online aplikacijama. Ponuda omogućuje korisnicima da osmisle svoje osobne decentralizirane identitete (DID), dajući im potpunu kontrolu nad svojim podacima.
Da pojasnimo, ShareRingova nadolazeća nova značajka unutar popularnog modula ShareRing Vault omogućuje ljudima pohranu korisničkih imena i lozinki bez ikakvog rizika. Zapravo, svi podaci pohranjeni u ovom 'Upravitelju zaporki' izravno su šifrirani u korisnikov privatni ključ ShareRing Vault umjesto da se pohranjuju u oblaku. Kao rezultat toga, dostupan je samo nositelju ShareRing ID-a. Iznoseći svoje mišljenje o hakiranju LastPass-a, izvršni direktor ShareRinga Tim Bos iznio je mišljenje:
“Tvrtka je pokušala uvjeriti kupce da su njihovi podaci za prijavu sigurni. Sigurnosni stručnjaci se ne slažu. Članak istraživača sigurnosti Wladimira Palanta kritizira tvrtku zbog nedostatka transparentnosti. Ističe da je tvrtka dugo ignorirala pozive na šifriranje podataka kao što su URL-ovi, što znači da je sada teško vjerovati tvrtki u budućnosti. Brojni su sigurnosni problemi s upraviteljima lozinki u oblaku kao što je LastPass. Jedno od najznačajnijih pitanja je gdje se pohranjuju korisnički ključevi za šifriranje i koliko dobro tvrtka osigurava ovo okruženje.”
Pogled u budućnost
Iako je lako kritizirati projekte kao što je LastPass, ostaje činjenica da su upravitelji lozinki postali iznimno važni u današnje vrijeme. To je zato što omogućuju korisnicima da zapamte iznimno jake i jedinstvene lozinke za svaki detalj prijave koji mogu imati.
Međutim, s problemima krađe lozinki i drugih sličnih povreda podataka u porastu, važno je iskoristiti snagu novijih Web3 rješenja koja su u stanju čuvati podatke potrošača apsolutno sigurnima zahvaljujući svojim ne-lokalnim dizajnom/operativnim okvirima. Do ove točke ShareRingov upravitelj lozinki radi na web2 i web3 aplikacijama dok iskorištava decentraliziranu pohranu kako bi informacije svojih korisnika bile 100% sigurne.
Stoga, dok idemo u budućnost vođenu Web3 tehnologijama, od iznimne je važnosti da se pojedinci diljem svijeta nastave educirati o nedostacima pohranjivanja svojih osjetljivih podataka na centraliziranim poslužiteljima, čime im se omogućuje da iskoriste potencijal blockchain ekosustava uistinu.
Izvor: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/