ტექნიკური

ბოლო LastPass ჰაკი აჩვენებს Web2-ის უსაფრთხოების შეზღუდვებს… აი, რა უნდა შეიცვალოს

02/22/2023
Bitcoin Ethereum News

The Recent LastPass hack showcases Web2’s security limitations… Here’s what needs to change

რეკლამა


 

 

პაროლის მართვის პოპულარული სერვისი LastPass გამოვლინდა 23 დეკემბერს განცხადება რომ ის გასულ აგვისტოში იყო დიდი ჰაკერის მიმღები. შედეგად, ბოროტმოქმედებმა შეძლეს რამდენიმე დაშიფრულ პაროლში შეღწევა, რომლებიც პოტენციურად შეიძლება გატეხილიყო ტექნიკით, სახელწოდებით „უხეში ძალის გამოცნობა“, რაც მათ მომხმარებელთა მგრძნობიარე მონაცემებზე წვდომის საშუალებას მისცემდა.

Image

როდესაც ინციდენტი თავდაპირველად გამოაშკარავდა, LastPass-ის წარმომადგენელმა სცადა ამ საქმის თავიდან აცილება და განაცხადა, რომ თავდამსხმელს შეეძლო მხოლოდ პერიფერიული ტექნიკური ინფორმაციის მიღება და არა პირადი მომხმარებლის მონაცემების მიღება. თუმცა, ამ საკითხზე ხანგრძლივი გამოძიების შემდეგ გაირკვა, რომ ჰაკერმა გამოიყენა ინფორმაცია თანამშრომლის მოწყობილობაზე წვდომისთვის, რაც შემდეგ ინდივიდუ(ებ)ს უზრუნველჰყო წვდომა კლიენტების უამრავ მონაცემზე, რომლებიც ინახება ღრუბლოვან საცავის სისტემაში.

ამის გამო თავდამსხმელს გამოეცხადა კლიენტის არადაშიფრული მეტამონაცემები, მათ შორის დამსაქმებლის სახელები, საბოლოო მომხმარებლის სახელები, ბილინგის მისამართები, ელ.ფოსტის მისამართები, ტელეფონის ნომრები და იმ მომხმარებლების IP მისამართები, რომლებსაც ჰქონდათ წვდომა LastPass-ზე. ასევე მოიპარეს ზოგიერთი მომხმარებლის დაშიფრული სარდაფი, რომელიც შეიცავს ვებსაიტის პაროლებს.

შეიყვანეთ Web3

პაროლის მენეჯერების გამოყენებამ, როგორიცაა LastPass, გამოიწვია Web3 დეველოპერებს შორის დიდი ხნის პრეტენზია, რომ მომხმარებლის სახელისა და პაროლის შესვლის ტრადიციული სისტემები არ არის სრულიად უსაფრთხო და, შესაბამისად, უნდა შეიცვალოს ბლოკჩეინზე დაფუძნებული მონაცემთა კონფიდენციალურობის სისტემებით.

უფრო დეტალურად რომ ვთქვათ, Web3 უსაფრთხოების სისტემების დამცველებმა არაერთხელ აღნიშნეს, რომ ტრადიციული პაროლით დაფუძნებული შესვლის სისტემები დაუცველია, რადგან ისინი ეყრდნობიან ღრუბლოვან სერვერებზე შენახულ გაშიშებულ პაროლ კოდებს. თუ ეს ჰეშები დაირღვა, მათი გაშიფვრა შესაძლებელია და ერთმა მოპარულმა პაროლმა შეიძლება დაარღვიოს ყველა ანგარიში, რომელიც იყენებს იმავე პაროლს.

რეკლამა


 

 

ამასთან დაკავშირებით, Web3 აპლიკაციებს მოსწონს ShareRing შესთავაზეთ ალტერნატიული გადაწყვეტა, რომელიც მომხმარებლებს საშუალებას აძლევს შევიდნენ დეცენტრალიზებულ პლატფორმაზე, რომელიც ცვლის ინდივიდების მონაცემების - როგორიცაა პაროლები - გაზიარებას სხვადასხვა ონლაინ აპლიკაციებში. შეთავაზება საშუალებას აძლევს მომხმარებლებს გამოავლინონ თავიანთი პერსონალური დეცენტრალიზებული იდენტობა (DID), რაც მათ აძლევს სრულ კონტროლს მათ მონაცემებზე.

უფრო დეტალურად, ShareRing-ის მომავალი ახალი ფუნქცია მის პოპულარულ ShareRing Vault მოდულში საშუალებას აძლევს ადამიანებს შეინახონ მომხმარებლის სახელები და პაროლები ყოველგვარი რისკის გარეშე. სინამდვილეში, ამ „პაროლების მენეჯერში“ შენახული ყველა მონაცემი პირდაპირ დაშიფრულია მომხმარებლის ShareRing Vault-ის პირად გასაღებში ღრუბელში შენახვის ნაცვლად. შედეგად, ის ხელმისაწვდომია მხოლოდ ShareRing ID მფლობელისთვის. აწვდის თავის აზრებს LastPass-ის ჰაკერზე, ShareRing-ის აღმასრულებელი დირექტორი ტიმ ბოსი გამოხატა:

„კომპანია ცდილობდა დაერწმუნებინა მომხმარებლები, რომ მათი შესვლის ინფორმაცია უსაფრთხოა. უსაფრთხოების ექსპერტები არ ეთანხმებიან. უსაფრთხოების მკვლევარის ვლადიმირ პალანტის სტატია აკრიტიკებს კომპანიას გამჭვირვალობის ნაკლებობის გამო. ის აღნიშნავს, რომ კომპანიას დიდი ხნის განმავლობაში უგულებელყო მოწოდებები მონაცემების დაშიფვრის მიზნით, როგორიცაა URL-ები, რაც იმას ნიშნავს, რომ ახლა რთულია ფირმის ნდობა მომავალში. არსებობს მრავალი უსაფრთხოების პრობლემა ღრუბელზე დაფუძნებული პაროლის მენეჯერებთან, როგორიცაა LastPass. ერთ-ერთი ყველაზე მნიშვნელოვანი საკითხია, სად ინახება მომხმარებლების დაშიფვრის გასაღებები და რამდენად კარგად იცავს ფირმა ამ გარემოს.”

ვეძებთ წინ

მიუხედავად იმისა, რომ LastPass-ის მსგავსი პროექტების კრიტიკა მარტივია, ფაქტია, რომ პაროლის მენეჯერები დღევანდელ დღეს და ეპოქაში უკიდურესად მნიშვნელოვანი გახდა. ეს იმიტომ ხდება, რომ ისინი მომხმარებლებს საშუალებას აძლევს დაიმახსოვრონ უკიდურესად ძლიერი და უნიკალური პაროლები შესვლის ყველა დეტალისთვის, რაც მათ შეიძლება ჰქონდეთ.

თუმცა, პაროლის ქურდობისა და სხვა მსგავსი მონაცემების დარღვევის მატებასთან ერთად, მნიშვნელოვანია გამოიყენოს უახლესი Web3 გადაწყვეტილებები, რომლებსაც შეუძლიათ შეინარჩუნონ მომხმარებლის ინფორმაცია აბსოლუტურად უსაფრთხოდ მათი არალოკალური დიზაინის/ოპერაციული ჩარჩოების წყალობით. ამ ეტაპზე, ShareRing-ის პაროლის მენეჯერი მუშაობს web2 და web3 აპლიკაციებში, ხოლო იყენებს დეცენტრალიზებულ მეხსიერებას, რათა შეინარჩუნოს მომხმარებლის ინფორმაცია 100% უსაფრთხოდ. 

ამიტომ, როდესაც მივდივართ მომავალზე, რომელსაც წარმართავს Web3 ტექნოლოგიები, ძალიან მნიშვნელოვანია, რომ მთელს მსოფლიოში ინდივიდებმა განაგრძონ საკუთარი თავის განათლება ცენტრალიზებულ სერვერებზე მათი მგრძნობიარე მონაცემების შენახვის უარყოფითი მხარეების შესახებ, რაც მათ საშუალებას აძლევს გამოიყენონ ბლოკჩეინის ეკოსისტემის პოტენციალი. ჭეშმარიტად.

წყარო: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/