Pasahitzak kudeatzeko zerbitzu ezaguna Abenduaren 23an agertu zen LastPass Komunikatua joan den abuztuan hack handi baten hartzailean egon zela. Ondorioz, gaizkileek hainbat pasahitz enkriptatuetan sartu ahal izan zituzten, "indar gordina asmatzea" izeneko teknikaren bidez pitzatu litezkeenak, kontsumitzaileen datu sentikorretarako sarbidea emanez.
Gertaera hasiera batean agertu zenean, LastPass-eko ordezkari bat gaia ezabatzen saiatu zen, erasotzaileak informazio tekniko periferikoa soilik lor zezakeela adieraziz eta ez bezero pribatuaren datu pribaturik. Hala ere, gaiari buruzko ikerketa luze baten ondoren, hackerrak informazioa erabili zuela langile baten gailura sartzeko, eta horrek hodeiko biltegiratze-sistema batean gordetako bezero-datu ugarietarako sarbidea eman ziola.
Hori dela eta, zifratu gabeko bezeroen metadatuak agerian utzi zizkioten erasotzaileari, besteak beste, enpresaburuen izenak, azken erabiltzailearen izenak, fakturazio helbideak, helbide elektronikoak, telefono zenbakiak eta LastPassera sartu ziren bezeroen IP helbideak. Webguneetako pasahitzak zituzten bezero batzuen enkriptatutako gangak ere lapurtu zituzten.
Sartu Web3
LastPass bezalako pasahitz-kudeatzaileen ustiapenak Web3-ko garatzaileen artean aspaldiko aldarrikapena eragin du, erabiltzaile-izen eta pasahitzaren saio-hasierako sistema tradizionalak ez direla guztiz seguruak eta, beraz, blockchain-en oinarritutako datuen pribatutasun-sistemek ordezkatu behar direla.
Gehiago esateko, Web3 segurtasun sistemen defendatzaileek behin eta berriz adierazi dute pasahitzetan oinarritutako saio-hasiera-sistema tradizionalak zaurgarriak direla, hodeiko zerbitzarietan gordetako hashed pasakodeetan oinarritzen direlako. Hash hauek urratzen badira, deskodetu egin daitezke, eta lapurtutako pasahitz bakarrak pasahitz bera erabiltzen duten kontu guztiak arriskuan jar ditzake.
Zentzu honetan, Web3 aplikazioak bezalakoak ShareRing irtenbide alternatibo bat eskaintzea, erabiltzaileei plataforma deszentralizatu batera sartzeko aukera ematen diena, pertsonen datuak (adibidez, pasahitzak) lineako hainbat aplikaziotan partekatzeko modua aldatzen duena. Eskaintzak erabiltzaileei beren identitate deszentralizatu pertsonala (DID) sortzeko aukera ematen die, datuen gaineko kontrol osoa emanez.
Gehiago esateko, ShareRing-en hurrengo eginbide berriak ShareRing Vault modulu ezagunaren barruan erabiltzaile-izenak eta pasahitzak inolako arriskurik gabe gordetzeko aukera ematen du. Izan ere, "Pasahitz-kudeatzaile" honetan gordetako datu guztiak erabiltzailearen ShareRing Vault gako pribatuan zuzenean enkriptatzen dira hodeian gorde beharrean. Ondorioz, ShareRing IDaren titularrak bakarrik eskura dezake. LastPass hack-ari buruzko gogoetak emanez, ShareRingeko CEO Tim Bos opined:
"Konpainia saiatu da bezeroak konbentzitzen euren saioa hasteko informazioa segurua dela. Segurtasun adituak ez daude ados. Wladimir Palant segurtasun ikerlariaren artikulu batek enpresari gardentasun falta kritikatzen du. Adierazi du konpainiak aspalditik baztertu dituela datuak URLak enkriptatzeko, eta horrek esan nahi du orain zaila dela enpresarekin fidatzea aurrerantzean. Segurtasun-arazo ugari daude hodeian oinarritutako pasahitz-kudeatzaileek, esate baterako, LastPass. Arazorik esanguratsuenetako bat da erabiltzaileen enkriptazio-gakoak non gordetzen diren eta enpresak ingurune hori nola ziurtatzen duen".
Aurrera begira
LastPass bezalako proiektuak kritikatzea erraza den arren, kontua da pasahitzen kudeatzaileak berebiziko garrantzia hartu duela gaur egun. Hau da, erabiltzaileek izan dezaketen saioa hasteko xehetasun guztietarako pasahitz oso sendo eta bereziak gogoratzeko aukera ematen dutelako.
Hala ere, pasahitzak lapurreta eta antzeko beste datu-hauste batzuk areagotzen ari direnez, garrantzitsua da kontsumitzaileen informazioa erabat seguru mantentzeko gai diren Web3 soluzio berrien boterea aprobetxatzea tokikoak ez diren diseinu/esparru operatiboei esker. Orain arte, ShareRing-en pasahitzen kudeatzaileak web2 eta web3 aplikazioetan funtzionatzen du, biltegiratze deszentralizatua aprobetxatzen duen bitartean erabiltzaileen informazioa % 100 seguru mantentzeko.
Hori dela eta, Web3 teknologiek bultzatutako etorkizunera goazenean, oso garrantzitsua da mundu osoko pertsonek beren datu sentikorrak zerbitzari zentralizatuetan gordetzearen alde txarrei buruz hezitzen jarraitzea, horrela blockchain ekosistemaren potentziala aprobetxatzeko. benetan.
Iturria: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/