Ang sikat na serbisyo sa pamamahala ng password na LastPass ay inihayag noong Disyembre 23 pahayag na ito ay nasa dulo ng pagtanggap ng isang malaking hack noong nakaraang Agosto. Bilang resulta, nakapasok ang mga miscreant sa ilang naka-encrypt na password, na posibleng ma-crack sa pamamagitan ng pamamaraan na tinatawag na 'brute force guessing,' na nagbibigay sa kanila ng access sa sensitibong data ng consumer.
Noong unang nalaman ang insidente, sinubukan ng isang kinatawan para sa LastPass na alisin ang problema, na nagsasabi na ang umaatake ay makakakuha lamang ng peripheral na teknikal na impormasyon at hindi ng anumang pribadong data ng customer. Gayunpaman, pagkatapos ng mahabang pagsisiyasat sa usapin, natuklasan na ginamit ng hacker ang impormasyon upang makakuha ng access sa device ng isang empleyado, na pagkatapos ay nagbigay sa (mga) indibidwal ng access sa napakaraming data ng customer na nakaimbak sa isang cloud storage system.
Dahil dito, ipinakita ang hindi naka-encrypt na metadata ng kliyente sa umaatake, kabilang ang mga pangalan ng employer, pangalan ng end-user, billing address, email address, numero ng telepono, at IP address ng mga customer na nag-access sa LastPass. Ninakaw din ang mga naka-encrypt na vault ng ilang customer na naglalaman ng mga password ng website.
Ipasok ang Web3
Ang pagsasamantala ng mga tagapamahala ng password tulad ng LastPass ay nag-trigger ng matagal nang pag-aangkin sa mga developer ng Web3 na ang tradisyonal na username at password login system ay hindi ganap na secure at, samakatuwid, ay dapat palitan ng blockchain-based na data privacy system.
Upang ipaliwanag, ang mga tagapagtaguyod para sa mga sistema ng seguridad ng Web3 ay paulit-ulit na binanggit na ang mga tradisyunal na sistema ng pag-login na nakabatay sa password ay mahina dahil umaasa sila sa mga na-hash na passcode na nakaimbak sa mga cloud server. Kung nalabag ang mga hash na ito, maaari silang ma-decode, at maaaring makompromiso ng isang ninakaw na password ang lahat ng account na gumagamit ng parehong password.
Sa pagsasaalang-alang na ito, Web3 application tulad ng ShareRing nag-aalok ng alternatibong solusyon na nagpapahintulot sa mga user na ma-access ang isang desentralisadong platform na nagbabago kung paano ibinabahagi ang data ng mga indibidwal — gaya ng mga password — sa iba't ibang online na application. Ang alok ay nagbibigay-daan sa mga user na makabuo ng kanilang mga personal na desentralisadong pagkakakilanlan (DID), na nagbibigay sa kanila ng kumpletong kontrol sa kanilang data.
Upang ipaliwanag, ang paparating na bagong feature ng ShareRing sa loob ng sikat nitong ShareRing Vault module ay nagbibigay-daan sa mga tao na mag-imbak ng mga username at password nang walang anumang panganib. Sa katunayan, ang lahat ng data na nakaimbak sa 'Password Manager' na ito ay direktang naka-encrypt sa ShareRing Vault pribadong key ng user sa halip na i-store sa cloud. Bilang resulta, ito ay maa-access lamang ng may hawak ng ShareRing ID. Sa pagbibigay ng kanyang mga saloobin sa LastPass hack, ShareRing CEO Tim Bos opined:
"Sinubukan ng kumpanya na kumbinsihin ang mga customer na ang kanilang impormasyon sa pag-login ay ligtas. Hindi sumasang-ayon ang mga eksperto sa seguridad. Isang artikulo ng security researcher na si Wladimir Palant ang pumupuna sa kumpanya dahil sa kawalan ng transparency. Itinuro niya na ang kumpanya ay matagal nang hindi pinansin ang mga tawag upang i-encrypt ang data tulad ng mga URL, ibig sabihin ay mahirap na ngayong magtiwala sa kompanya sa pasulong. Mayroong maraming mga isyu sa seguridad sa cloud-based na mga tagapamahala ng password tulad ng LastPass. Isa sa mga pinakamahalagang isyu ay kung saan naka-imbak ang mga susi ng pag-encrypt ng mga user at kung gaano kahusay ang pagse-secure ng kumpanya sa kapaligirang ito.”
Naghahanap Nauna pa
Bagama't madaling punahin ang mga proyekto tulad ng LastPass, ang katotohanan ng bagay ay nananatili na ang mga tagapamahala ng password ay naging lubhang mahalaga sa panahon at edad ngayon. Ito ay dahil pinapayagan nila ang mga user na matandaan ang napakalakas at natatanging mga password para sa bawat detalye sa pag-login na maaaring mayroon sila.
Gayunpaman, sa pagtaas ng mga isyu ng pagnanakaw ng password at iba pang katulad na paglabag sa data, mahalagang gamitin ang kapangyarihan ng mga mas bagong solusyon sa Web3 na kayang panatilihing ganap na ligtas ang impormasyon ng consumer salamat sa kanilang mga di-lokal na disenyo/mga balangkas ng pagpapatakbo. Hanggang sa puntong ito, gumagana ang tagapamahala ng password ng ShareRing sa mga web2 at web3 na application habang ginagamit ang desentralisadong storage upang panatilihing 100% secure ang impormasyon ng mga user nito.
Samakatuwid, habang patungo tayo sa hinaharap na hinihimok ng mga teknolohiya ng Web3, napakahalaga na ang mga indibidwal sa buong mundo ay patuloy na turuan ang kanilang sarili tungkol sa mga kahinaan ng pag-iimbak ng kanilang sensitibong data sa mga sentralisadong server, kaya't pinapayagan silang gamitin ang potensyal ng blockchain ecosystem tunay.
Pinagmulan: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/