کاربران LastPass با رمزهای عبور اصلی ضعیف ممکن است نیاز داشته باشند گذرواژههای فردی را که با این سرویس ذخیره کردهاند تغییر دهند.
بر اساس بیانیه ۲۳ دسامبر این شرکت، سرویس مدیریت رمز عبور LastPass در آگوست ۲۰۲۲ هک شد و مهاجم رمزهای عبور رمزگذاری شده کاربران را به سرقت برد. این بدان معنی است که مهاجم ممکن است بتواند برخی از رمزهای عبور وب سایت کاربران LastPass را از طریق حدس زدن brute force بشکند.
LastPass اولین بار در آگوست ۲۰۲۲ این نقض را فاش کرد، اما در آن زمان، به نظر می رسید که مهاجم فقط کد منبع و اطلاعات فنی را به دست آورده است، نه اطلاعات مشتری.
با این حال، این شرکت بررسی کرده و کشف کرده است که مهاجم از این اطلاعات فنی برای حمله به دستگاه کارمند دیگری استفاده کرده است، که سپس برای به دست آوردن کلیدهای داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری استفاده می شود.
در نتیجه، ابردادههای رمزگذارینشده مشتری از جمله «نام شرکتها، نامهای کاربر نهایی، آدرسهای صورتحساب، آدرسهای ایمیل، شماره تلفنها و آدرسهای IP که مشتریان از آنها به سرویس LastPass دسترسی داشتند» برای مهاجم فاش شده است.
علاوه بر این، خزانه های رمزگذاری شده برخی از مشتریان به سرقت رفت. این خزانه ها حاوی رمزهای عبور وب سایتی هستند که هر کاربر با سرویس LastPass ذخیره می کند.
خوشبختانه، خزانهها با یک رمز عبور اصلی رمزگذاری شدهاند، که مانع از خواندن آنها توسط مهاجم میشود.
بیانیه LastPass تاکید میکند که این سرویس از رمزگذاری پیشرفته استفاده میکند تا خواندن فایلهای خزانه بدون دانستن رمز عبور اصلی را برای مهاجمان بسیار دشوار کند.
این فیلدهای رمزگذاری شده با رمزگذاری ۲۵۶ بیتی AES ایمن باقی میمانند و تنها با یک کلید رمزگذاری منحصربهفرد که از رمز عبور اصلی هر کاربر با استفاده از معماری دانش صفر ما استخراج میشود، رمزگشایی میشوند.
به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته نمی شود و توسط LastPass ذخیره یا نگهداری نمی شود.
با این حال، LastPass اذعان میکند که اگر مشتری از یک رمز عبور اصلی ضعیف استفاده کرده باشد، مهاجم ممکن است بتواند از زور بیرحمانه برای حدس زدن این رمز عبور استفاده کند، و به آنها اجازه میدهد مخزن را رمزگشایی کنند و همه رمزهای عبور وبسایت مشتریان را به دست آورند، همانطور که LastPass توضیح میدهد:
مهم است که توجه داشته باشید که اگر رمز عبور اصلی شما از [بهترین روشهایی که شرکت توصیه میکند] استفاده نکند، تعداد تلاشهای لازم برای حدس زدن صحیح آن را به میزان قابل توجهی کاهش میدهد.
در این مورد، به عنوان یک اقدام امنیتی اضافی، باید با تغییر رمز عبور وب سایت هایی که ذخیره کرده اید، خطر را به حداقل برسانید.
آیا هک های پسورد منیجر با Web3 قابل حذف هستند؟
اکسپلویت LastPass ادعایی را نشان میدهد که توسعهدهندگان Web3 برای سالها مطرح کردهاند: اینکه سیستم ورود نام کاربری و رمز عبور سنتی باید به نفع ورود به کیف پول بلاکچین حذف شود.
به گفته مدافعان ورود به کیف پول کریپتو، ورود رمزهای عبور سنتی اساساً ناامن است، زیرا نیاز به هش رمزهای عبور برای نگهداری در سرورهای ابری دارد. اگر این هش ها دزدیده شوند، می توان آنها را کرک کرد.
علاوه بر این، اگر یک کاربر به یک رمز عبور برای چندین وب سایت متکی باشد، یک رمز عبور دزدیده شده می تواند منجر به نقض بقیه وب سایت ها شود. از طرف دیگر، اکثر کاربران نمی توانند چندین رمز عبور را برای وب سایت های مختلف به خاطر بسپارند.
برای حل این مشکل، سرویس های مدیریت رمز عبور مانند LastPass اختراع شده است. اما اینها همچنین به خدمات ابری برای ذخیره خزانه های رمز عبور رمزگذاری شده متکی هستند. اگر مهاجم موفق به دریافت مخزن رمز عبور از سرویس مدیریت رمز عبور شود، ممکن است بتواند طاقچه را شکسته و همه رمزهای عبور کاربر را بدست آورد.
برنامه های Web3 مشکل را به روش دیگری حل می کنند. آنها از کیف پول های افزونه مرورگر مانند Metamask یا Trustwallet برای ورود با استفاده از امضای رمزنگاری استفاده می کنند و نیازی به ذخیره رمز عبور در فضای ابری را از بین می برند.
نمونه ای از صفحه ورود به کیف پول رمزنگاری شده
اما تاکنون این روش فقط برای کاربردهای غیرمتمرکز استاندارد شده است. برنامههای سنتی که به سرور مرکزی نیاز دارند، در حال حاضر استاندارد مورد توافقی برای نحوه استفاده از کیف پولهای رمزنگاری برای ورود به سیستم ندارند.
با این حال، پیشنهاد اخیر بهبود اتریوم (EIP) با هدف اصلاح این وضعیت است. این پیشنهاد که “EIP-4361” نامیده می شود، تلاش می کند یک استاندارد جهانی برای ورود به وب ارائه کند که هم برای برنامه های متمرکز و هم برای برنامه های غیرمتمرکز کار می کند.
اگر این استاندارد توسط صنعت Web3 موافقت و اجرا شود، طرفداران آن امیدوارند که کل وب جهانی در نهایت از ورود رمز عبور به طور کلی خلاص شود و خطر نقض مدیریت رمز عبور مانند آنچه در LastPass رخ داده است، از بین برود.