Популярный сервис управления паролями LastPass представлен 23 декабря. заявление что в августе прошлого года он подвергся крупному взлому. В результате злоумышленники смогли проникнуть в несколько зашифрованных паролей, которые потенциально могут быть взломаны с помощью метода, называемого «угадывание грубой силы», что дает им доступ к конфиденциальным данным потребителей.
Когда об инциденте впервые стало известно, представитель LastPass попытался отмахнуться от этого вопроса, заявив, что злоумышленник может получить только периферийную техническую информацию, а не какие-либо личные данные клиентов. Однако после длительного расследования этого вопроса было обнаружено, что хакер использовал информацию, чтобы получить доступ к устройству сотрудника, которое затем предоставило лицу (лицам) доступ к множеству данных клиентов, хранящихся в облачной системе хранения.
Благодаря этому злоумышленнику были раскрыты незашифрованные метаданные клиента, включая имена работодателей, имена конечных пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса клиентов, которые получили доступ к LastPass. Также были украдены зашифрованные хранилища некоторых клиентов, содержащие пароли веб-сайтов.
Введите Web3
Эксплуатация менеджеров паролей, таких как LastPass, вызвала давнее заявление разработчиков Web3 о том, что традиционные системы входа в систему с использованием имени пользователя и пароля не являются полностью безопасными и, следовательно, должны быть заменены системами конфиденциальности данных на основе блокчейна.
Чтобы уточнить, сторонники систем безопасности Web3 неоднократно отмечали, что традиционные системы входа на основе паролей уязвимы, поскольку они полагаются на хешированные пароли, хранящиеся на облачных серверах. Если эти хэши взломаны, их можно расшифровать, и один украденный пароль может поставить под угрозу все учетные записи, использующие один и тот же пароль.
В связи с этим такие приложения Web3, как ShareRing предложить альтернативное решение, позволяющее пользователям получить доступ к децентрализованной платформе, которая меняет способ обмена данными отдельных лиц, такими как пароли, между различными онлайн-приложениями. Предложение позволяет пользователям придумывать свои личные децентрализованные идентификаторы (DID), предоставляя им полный контроль над своими данными.
Чтобы уточнить, грядущая новая функция ShareRing в его популярном модуле ShareRing Vault позволяет людям хранить имена пользователей и пароли без какого-либо риска. Фактически, все данные, хранящиеся в этом «Менеджере паролей», напрямую зашифрованы с помощью закрытого ключа ShareRing Vault пользователя, а не хранятся в облаке. В результате он доступен только владельцу ShareRing ID. Свои мысли о взломе LastPass высказал генеральный директор ShareRing Тим Бос. высказал мнение:
«Компания пыталась убедить клиентов, что их данные для входа в систему безопасны. Эксперты по безопасности не согласны. В статье исследователя безопасности Владимира Паланта компания критикуется за отсутствие прозрачности. Он указывает, что компания долгое время игнорировала призывы к шифрованию данных, таких как URL-адреса, а это означает, что теперь трудно доверять фирме в будущем. Существует множество проблем безопасности с облачными менеджерами паролей, такими как LastPass. Одна из наиболее важных проблем заключается в том, где хранятся ключи шифрования пользователей и насколько хорошо компания защищает эту среду».
Взгляд в будущее
Хотя легко критиковать такие проекты, как LastPass, факт остается фактом: менеджеры паролей стали чрезвычайно важными в наши дни. Это связано с тем, что они позволяют пользователям запоминать чрезвычайно надежные и уникальные пароли для каждой информации для входа в систему, которая у них может быть.
Тем не менее, с ростом проблем кражи паролей и других подобных нарушений данных важно использовать возможности новых решений Web3, которые способны обеспечить абсолютную безопасность информации о потребителях благодаря их нелокальным конструкциям/операционным средам. На данный момент менеджер паролей ShareRing работает с приложениями web2 и web3, используя децентрализованное хранилище, чтобы обеспечить 100% безопасность информации своих пользователей.
Поэтому, поскольку мы приближаемся к будущему, управляемому технологиями Web3, крайне важно, чтобы люди во всем мире продолжали узнавать о недостатках хранения своих конфиденциальных данных на централизованных серверах, что позволяет им использовать потенциал экосистемы блокчейна. действительно.
Источник: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/