سرویس مدیریت رمز عبور محبوب LastPass در 23 دسامبر فاش شد بیانیه اوت گذشته در معرض یک هک بزرگ قرار گرفته بود. در نتیجه، متخلفان توانستند به چندین رمز عبور رمزگذاری شده راه پیدا کنند که به طور بالقوه میتوان آنها را از طریق تکنیکی به نام «حدس زدن نیروی بیرحمانه» شکست و به آنها امکان دسترسی به دادههای حساس مصرفکننده را داد.
هنگامی که این حادثه در ابتدا آشکار شد، یک نماینده LastPass سعی کرد این موضوع را برطرف کند و اظهار داشت که مهاجم فقط می تواند اطلاعات فنی جانبی را به دست بیاورد و نه اطلاعات شخصی مشتری. با این حال، پس از یک تحقیق طولانی در مورد این موضوع، مشخص شد که هکر از این اطلاعات برای دسترسی به دستگاه کارمند استفاده کرده است، که سپس به فرد یا افراد امکان دسترسی به انبوهی از داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری را می دهد.
به همین دلیل، ابرداده های مشتری رمزگذاری نشده، از جمله نام کارفرما، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرس IP مشتریانی که به LastPass دسترسی داشتند، برای مهاجم فاش شد. خزانه های رمزگذاری شده برخی از مشتریان حاوی رمزهای عبور وب سایت نیز به سرقت رفت.
وارد Web3 شوید
بهره برداری از مدیران رمز عبور مانند LastPass ادعای طولانی مدتی را در میان توسعه دهندگان Web3 ایجاد کرده است که سیستم های ورود نام کاربری و رمز عبور سنتی کاملاً ایمن نیستند و بنابراین باید با سیستم های حریم خصوصی داده مبتنی بر بلاک چین جایگزین شوند.
برای توضیح بیشتر، مدافعان سیستمهای امنیتی Web3 مکرراً خاطرنشان کردهاند که سیستمهای ورود مبتنی بر رمز عبور سنتی آسیبپذیر هستند زیرا به رمزهای عبور هششده ذخیرهشده در سرورهای ابری متکی هستند. اگر این هشها نقض شوند، میتوان آنها را رمزگشایی کرد و یک رمز عبور به سرقت رفته میتواند همه حسابهایی را که از یک رمز عبور استفاده میکنند به خطر بیاندازد.
در این راستا برنامه های Web3 مانند ShareRing یک راه حل جایگزین ارائه می دهد که به کاربران امکان می دهد به یک پلت فرم غیرمتمرکز دسترسی پیدا کنند که نحوه اشتراک گذاری داده های افراد - مانند رمز عبور - را در برنامه های مختلف آنلاین تغییر می دهد. این پیشنهاد به کاربران اجازه می دهد تا با هویت غیرمتمرکز شخصی خود (DID) بیایند و به آنها کنترل کاملی بر داده های خود بدهند.
برای توضیح بیشتر، ویژگی جدید آینده ShareRing در ماژول محبوب ShareRing Vault به افراد اجازه میدهد تا نامهای کاربری و رمزهای عبور را بدون هیچ خطری ذخیره کنند. در واقع، تمام دادههای ذخیره شده در این «Password Manager» بهجای ذخیره شدن در فضای ابری، مستقیماً در کلید خصوصی ShareRing Vault کاربر رمزگذاری میشوند. در نتیجه، فقط برای دارنده شناسه ShareRing قابل دسترسی است. تیم بوس، مدیر عامل ShareRing، نظرات خود را در مورد هک LastPass ارائه می دهد اظهار داشت::
این شرکت سعی کرده است مشتریان را متقاعد کند که اطلاعات ورود آنها امن است. کارشناسان امنیتی مخالف هستند. مقاله ای توسط محقق امنیتی ولادیمیر پالانت از این شرکت به دلیل عدم شفافیت انتقاد می کند. او اشاره میکند که این شرکت مدتها تماسها را برای رمزگذاری دادهها مانند URLها نادیده میگیرد، به این معنی که اکنون اعتماد کردن به شرکت در آینده دشوار است. مشکلات امنیتی متعددی در مدیریت رمزهای عبور مبتنی بر ابر مانند LastPass وجود دارد. یکی از مهمترین مسائل این است که کلیدهای رمزگذاری کاربران کجا ذخیره میشوند و شرکت چقدر این محیط را ایمن میکند.»
با نگاه به آینده
در حالی که انتقاد از پروژه هایی مانند LastPass آسان است، اما واقعیت این است که مدیران رمز عبور در عصر امروز بسیار مهم شده اند. این به این دلیل است که آنها به کاربران اجازه می دهند رمزهای عبور بسیار قوی و منحصر به فرد را برای هر جزئیات ورود که ممکن است داشته باشند به خاطر بسپارند.
با این حال، با افزایش مسائل مربوط به سرقت رمز عبور و سایر موارد نقض اطلاعات مشابه، مهم است که از قدرت راهحلهای جدیدتر Web3 استفاده کنیم که به لطف چارچوبهای طراحی/عملیاتی غیر محلی، میتوانند اطلاعات مصرفکننده را کاملاً ایمن نگه دارند. تا این مرحله، مدیر رمز عبور ShareRing در برنامههای web2 و web3 کار میکند و در عین حال از فضای ذخیرهسازی غیرمتمرکز استفاده میکند تا اطلاعات کاربران خود را 100% ایمن نگه دارد.
بنابراین، همانطور که به سمت آینده ای می رویم که توسط فناوری های Web3 هدایت می شود، بسیار مهم است که افراد در سراسر جهان به آموزش خود در مورد جنبه های منفی ذخیره سازی داده های حساس خود در سرورهای متمرکز ادامه دهند، بنابراین به آنها اجازه می دهد تا از پتانسیل اکوسیستم بلاک چین استفاده کنند. براستی.
منبع: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/