流行的密碼管理服務 LastPass 在 23 月 XNUMX 日公佈 聲明 去年 XNUMX 月,它遭到了一次重大黑客攻擊。 因此,不法分子能夠進入多個加密密碼,這些密碼可能會通過一種稱為“強力猜測”的技術被破解,從而使他們能夠訪問敏感的消費者數據。
事件最初曝光時,LastPass 的代表試圖抹殺此事,稱攻擊者只能獲取外圍技術信息,無法獲取任何私人客戶數據。 然而,在對此事進行長時間調查後,發現黑客利用這些信息獲得了對員工設備的訪問權限,該設備隨後為個人提供了訪問存儲在雲存儲系統中的大量客戶數據的權限。
因此,未加密的客戶端元數據被洩露給了攻擊者,包括雇主姓名、最終用戶姓名、賬單地址、電子郵件地址、電話號碼和訪問過 LastPass 的客戶的 IP 地址。 一些客戶的包含網站密碼的加密保險庫也被盜。
進入 Web3
LastPass 等密碼管理器的利用在 Web3 開發人員中引發了一個長期的主張,即傳統的用戶名和密碼登錄系統並不完全安全,因此應該被基於區塊鏈的數據隱私系統所取代。
詳細來說,Web3 安全系統的倡導者一再指出,傳統的基於密碼的登錄系統很容易受到攻擊,因為它們依賴於存儲在雲服務器上的散列密碼。 如果這些哈希值被破壞,它們就可以被解碼,一個被盜的密碼就可以危及所有使用相同密碼的帳戶。
在這方面,Web3 應用程序如 分享環 提供了一種替代解決方案,允許用戶訪問一個分散的平台,該平台改變了個人數據(例如密碼)在各種在線應用程序之間的共享方式。 該產品允許用戶提出他們的個人去中心化身份(DID),讓他們完全控制他們的數據。
詳細地說,ShareRing 在其流行的 ShareRing Vault 模塊中即將推出的新功能允許人們存儲用戶名和密碼而沒有任何風險。 事實上,這個“密碼管理器”中存儲的所有數據都直接加密為用戶的 ShareRing Vault 私鑰,而不是存儲在雲端。 因此,只有 ShareRing ID 持有者可以訪問它。 ShareRing 首席執行官 Tim Bos 提供了他對 LastPass 黑客攻擊的看法 opined:
“該公司已嘗試說服客戶他們的登錄信息是安全的。 安全專家不同意。 安全研究員 Wladimir Palant 的一篇文章批評該公司缺乏透明度。 他指出,該公司長期以來一直無視對 URL 等數據進行加密的呼籲,這意味著現在很難相信該公司會繼續前進。 基於雲的密碼管理器(例如 LastPass)存在許多安全問題。 最重要的問題之一是用戶的加密密鑰存儲在哪里以及公司如何保護該環境。”
展望未來
雖然批評像 LastPass 這樣的項目很容易,但事實仍然是密碼管理器在當今時代變得極其重要。 這是因為它們允許用戶為他們可能擁有的每個登錄詳細信息記住極其強大和獨特的密碼。
然而,隨著密碼盜竊和其他類似數據洩露問題的增加,利用更新的 Web3 解決方案的力量非常重要,這些解決方案由於其非本地設計/操作框架而能夠保證消費者信息的絕對安全。 至此,ShareRing 的密碼管理器可以跨 web2 和 web3 應用程序工作,同時利用分散存儲來保證其用戶信息 100% 安全。
因此,當我們走向由 Web3 技術驅動的未來時,最重要的是全球各地的個人繼續教育自己將敏感數據存儲在集中式服務器上的缺點,從而使他們能夠利用區塊鏈生態系統的潛力真的。
資料來源:https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/