مهاجم LastPass داده های ذخیره رمز عبور را دزدید که محدودیت های Web2 را نشان می دهد

بر اساس بیانیه 2022 دسامبر این شرکت، سرویس مدیریت رمز عبور LastPass در آگوست 23 هک شد و مهاجم رمز عبور رمزگذاری شده کاربران را به سرقت برد. این بدان معنی است که مهاجم ممکن است بتواند برخی از رمزهای عبور وب سایت کاربران LastPass را از طریق حدس زدن brute force بشکند.

اطلاعیه اخیر حادثه امنیتی – وبلاگ LastPass#آخرین گذر #هک #گذر آخر # اینفوسک https://t.co/sQALfnpOTy
- توماس زیکل (@thomaszickell) دسامبر 23، 2022

LastPass اولین بار در آگوست 2022 این نقض را فاش کرد، اما در آن زمان، به نظر می رسید که مهاجم فقط کد منبع و اطلاعات فنی را به دست آورده است، نه اطلاعات مشتری. با این حال، این شرکت بررسی کرده و کشف کرده است که مهاجم از این اطلاعات فنی برای حمله به دستگاه کارمند دیگری استفاده کرده است، که سپس برای به دست آوردن کلیدهای داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری استفاده می شود.

در نتیجه، ابرداده های مشتری رمزگذاری نشده شده است نشان داد به مهاجم، از جمله «نام شرکت، نام کاربر نهایی، آدرس صورت‌حساب، آدرس ایمیل، شماره تلفن، و آدرس‌های IP که مشتریان از آن‌ها به سرویس LastPass دسترسی پیدا کرده‌اند».

علاوه بر این، خزانه های رمزگذاری شده برخی از مشتریان به سرقت رفت. این خزانه ها حاوی رمزهای عبور وب سایتی هستند که هر کاربر با سرویس LastPass ذخیره می کند. خوشبختانه، خزانه‌ها با یک رمز عبور اصلی رمزگذاری شده‌اند، که مانع از خواندن آنها توسط مهاجم می‌شود.

بیانیه LastPass تاکید می‌کند که این سرویس از رمزگذاری پیشرفته استفاده می‌کند تا خواندن فایل‌های خزانه بدون دانستن رمز عبور اصلی را برای مهاجمان بسیار دشوار کند.

این فیلدهای رمزگذاری شده با رمزگذاری 256 بیتی AES ایمن باقی می‌مانند و فقط با یک کلید رمزگذاری منحصربه‌فرد که از رمز عبور اصلی هر کاربر با استفاده از معماری دانش صفر ما استخراج می‌شود، رمزگشایی می‌شوند. به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته نمی شود و توسط LastPass ذخیره یا نگهداری نمی شود.

با این حال، LastPass اذعان می‌کند که اگر مشتری از یک رمز عبور اصلی ضعیف استفاده کرده باشد، مهاجم ممکن است بتواند از زور بی‌رحمانه برای حدس زدن این رمز عبور استفاده کند، و به آنها اجازه می‌دهد مخزن را رمزگشایی کنند و همه رمزهای عبور وب‌سایت مشتریان را به دست آورند، همانطور که LastPass توضیح می‌دهد:

مهم است که توجه داشته باشید که اگر رمز عبور اصلی شما از [بهترین روش‌هایی که شرکت توصیه می‌کند] استفاده نکند، تعداد تلاش‌های لازم برای حدس زدن صحیح آن را به میزان قابل توجهی کاهش می‌دهد. در این مورد، به عنوان یک اقدام امنیتی اضافی، باید با تغییر رمز عبور وب سایت هایی که ذخیره کرده اید، خطر را به حداقل برسانید.

آیا هک های پسورد منیجر با Web3 قابل حذف هستند؟

بهره‌برداری LastPass ادعایی را نشان می‌دهد که توسعه‌دهندگان Web3 برای سال‌ها مطرح کرده‌اند: این که سیستم ورود نام کاربری و رمز عبور سنتی باید به نفع ورود به کیف پول بلاک چین حذف شود.

به گفته مدافعان برای ورود به کیف پول کریپتو، لاگین های رمز عبور سنتی اساساً ناامن هستند زیرا به هش رمزهای عبور برای نگهداری در سرورهای ابری نیاز دارند. اگر این هش ها دزدیده شوند، می توان آنها را کرک کرد. علاوه بر این، اگر یک کاربر به یک رمز عبور برای چندین وب سایت متکی باشد، یک رمز عبور دزدیده شده می تواند منجر به نقض بقیه وب سایت ها شود. از طرف دیگر، اکثر کاربران نمی توانند چندین رمز عبور را برای وب سایت های مختلف به خاطر بسپارند.

برای حل این مشکل، سرویس های مدیریت رمز عبور مانند LastPass اختراع شده است. اما اینها همچنین به خدمات ابری برای ذخیره خزانه های رمز عبور رمزگذاری شده متکی هستند. اگر مهاجمی موفق به دریافت مخزن رمز عبور از سرویس مدیریت رمز عبور شود، ممکن است بتواند طاقچه را شکسته و تمام رمزهای عبور کاربر را بدست آورد.

برنامه های Web3 مشکل را حل می کنند به روشی متفاوت آنها از کیف پول های افزونه مرورگر مانند Metamask یا Trustwallet برای ورود به سیستم با استفاده از امضای رمزنگاری استفاده می کنند و نیازی به ذخیره رمز عبور در فضای ابری را از بین می برند.

*نمونه ای از صفحه ورود به کیف پول رمزنگاری شده. منبع: بلاک‌اسکن چت*

اما تاکنون این روش فقط برای کاربردهای غیرمتمرکز استاندارد شده است. برنامه‌های سنتی که به سرور مرکزی نیاز دارند، در حال حاضر استاندارد مورد توافقی برای نحوه استفاده از کیف پول‌های رمزنگاری برای ورود به سیستم ندارند.

مرتبط: فیس بوک به دلیل افشای اطلاعات مشتریان 265 میلیون یورو جریمه شد

با این حال، پیشنهاد اخیر بهبود اتریوم (EIP) با هدف اصلاح این وضعیت است. این پیشنهاد که "EIP-4361" نامیده می شود، تلاش می کند ارائه یک استاندارد جهانی برای ورود به وب که هم برای برنامه های متمرکز و هم برای برنامه های غیرمتمرکز کار می کند.

اگر این استاندارد توسط صنعت Web3 موافقت و اجرا شود، طرفداران آن امیدوارند که کل وب جهانی در نهایت از ورود رمز عبور به طور کلی خلاص شود و خطر نقض مدیریت رمز عبور مانند آنچه در LastPass رخ داده است، از بین برود.