Түгээмэл нууц үг удирдах үйлчилгээ LastPass 23-р сарын XNUMX-нд нээлтээ хийлээ мэдээ Энэ нь өнгөрсөн наймдугаар сард томоохон хакердлагын төгсгөлд байсан. Үүний үр дүнд буруутай этгээдүүд хэд хэдэн шифрлэгдсэн нууц үг рүү нэвтэрч чадсан бөгөөд үүнийг "харгис хүчээр таамаглах" арга техникээр задалж, хэрэглэгчийн нууц мэдээлэлд хандах боломжтой болсон.
Энэ хэрэг анх илчлэгдэх үед LastPass-ийн төлөөлөгч халдагчид зөвхөн захын техникийн мэдээллийг олж авах боломжтой, хувийн хэрэглэгчийн мэдээллийг авах боломжгүй гэж мэдэгдэв. Гэсэн хэдий ч уг хэргийн талаар удаан хугацааны турш мөрдөн байцаалтын үр дүнд хакер нь тухайн ажилтны төхөөрөмжид нэвтрэхийн тулд мэдээллийг ашигласан болох нь тогтоогдсон бөгөөд энэ нь үүлэн хадгалах системд хадгалагдсан хэрэглэгчийн олон тооны өгөгдөлд хандах боломжийг олгодог.
Үүний улмаас ажил олгогчийн нэр, эцсийн хэрэглэгчийн нэр, төлбөрийн хаяг, и-мэйл хаяг, утасны дугаар, LastPass-т хандсан хэрэглэгчдийн IP хаяг зэрэг шифрлэгдээгүй үйлчлүүлэгчийн мета өгөгдөл халдагчдад илэрсэн. Зарим үйлчлүүлэгчдийн вэб сайтын нууц үг агуулсан шифрлэгдсэн агуулахыг мөн хулгайлсан байна.
Web3 оруулна уу
LastPass гэх мэт нууц үгийн менежерүүдийг ашигласан нь уламжлалт хэрэглэгчийн нэр болон нууц үгээр нэвтрэх системүүд нь бүрэн аюулгүй биш тул блокчэйнд суурилсан мэдээллийн нууцлалын системээр солигдох ёстой гэсэн Web3 хөгжүүлэгчидийн дунд удаан үргэлжилсэн нэхэмжлэлийг үүсгэсэн.
Дэлгэрэнгүй тайлбарлахын тулд Web3 аюулгүй байдлын системийн өмгөөлөгчид нууц үгэнд суурилсан уламжлалт нэвтрэх системүүд нь үүлэн сервер дээр хадгалагдсан нууц кодууд дээр тулгуурладаг тул эмзэг байдаг гэдгийг олон удаа тэмдэглэсэн. Эдгээр хэшийг зөрчсөн тохиолдолд кодыг нь тайлж болох бөгөөд нэг хулгайлагдсан нууц үг нь ижил нууц үгийг ашигладаг бүх бүртгэлийг эвдэж болно.
Үүнтэй холбогдуулан Web3 програмууд дуртай Хуваалцах Хэрэглэгчдийн нууц үг гэх мэт хувийн мэдээллийг янз бүрийн онлайн программууд дээр хэрхэн хуваалцахыг өөрчилдөг төвлөрсөн бус платформд хандах боломжийг хэрэглэгчдэд олгох өөр шийдлийг санал болгож байна. Энэхүү санал нь хэрэглэгчдэд хувийн төвлөрсөн бус таних тэмдэг (DID) -ийг гаргаж ирэх боломжийг олгодог бөгөөд энэ нь тэдэнд өөрсдийн өгөгдлийг бүрэн хянах боломжийг олгодог.
Дэлгэрэнгүй тайлбарлахад, ShareRing-ийн түгээмэл ShareRing Vault модулийн шинэ боломж нь хүмүүст ямар ч эрсдэлгүйгээр хэрэглэгчийн нэр, нууц үгээ хадгалах боломжийг олгодог. Үнэн хэрэгтээ энэ "Нууц үгийн менежер"-д хадгалагдсан бүх өгөгдөл нь үүлэн дээр хадгалагдахын оронд хэрэглэгчийн ShareRing Vault хувийн түлхүүр рүү шууд шифрлэгдсэн байдаг. Үүний үр дүнд үүнийг зөвхөн ShareRing ID эзэмшигч ашиглах боломжтой. ShareRing-ийн гүйцэтгэх захирал Тим Бос LastPass хакерын талаар өөрийн бодлоо илэрхийлж байна тунгалаг:
"Компани нь хэрэглэгчдэд нэвтрэх мэдээлэл нь аюулгүй гэдэгт итгүүлэхийг оролдсон. Аюулгүй байдлын мэргэжилтнүүд санал нийлэхгүй байна. Аюулгүй байдлын судлаач Владимир Палантын нийтлэлд тус компанийг ил тод бус байна гэж шүүмжилжээ. Тэрээр тус компани URL гэх мэт өгөгдлийг шифрлэх дуудлагыг үл тоомсорлодог гэдгийг онцлон тэмдэглэсэн бөгөөд энэ нь цаашид компанид итгэхэд хэцүү болсон гэсэн үг юм. LastPass гэх мэт үүлэнд суурилсан нууц үгийн менежерүүдийн аюулгүй байдлын олон асуудал байдаг. Хамгийн чухал асуудлын нэг бол хэрэглэгчдийн шифрлэлтийн түлхүүрүүдийг хаана хадгалдаг, пүүс энэ орчныг хэр сайн хамгаалж байгаа юм."
Урд сууж байна
LastPass гэх мэт төслүүдийг шүүмжлэх нь амархан ч нууц үгийн менежерүүд өнөө үед маш чухал болсон нь үнэн юм. Учир нь тэдгээр нь хэрэглэгчдэд нэвтэрч болох бүх мэдээлэлд маш хүчтэй, өвөрмөц нууц үгийг санах боломжийг олгодог.
Гэсэн хэдий ч нууц үг хулгайлах болон бусад ижил төстэй мэдээллийн зөрчлүүд нэмэгдэж байгаа тул орон нутгийн бус дизайн/үйл ажиллагааны тогтолцооныхоо ачаар хэрэглэгчийн мэдээллийг бүрэн аюулгүй байлгах боломжтой шинэ Web3 шийдлүүдийн хүчийг ашиглах нь чухал юм. Өнөөдрийг хүртэл ShareRing-ийн нууц үгийн менежер нь web2 болон web3 програмууд дээр ажилладаг бөгөөд хэрэглэгчдийнхээ мэдээллийг 100% аюулгүй байлгахын тулд төвлөрсөн бус хадгалах санг ашиглаж байна.
Тиймээс бид Web3 технологид тулгуурласан ирээдүй рүү тэмүүлж байгаа энэ үед дэлхий даяарх хувь хүмүүс өөрсдийн мэдрэмтгий мэдээллээ төвлөрсөн сервер дээр хадгалахын сөрөг талуудын талаар үргэлжлүүлэн сургаж, блокчейн экосистемийн чадавхийг ашиглах боломжийг олгох нь нэн чухал юм. үнэхээр.
Эх сурвалж: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/