Popüler parola yönetimi hizmeti LastPass, 23 Aralık'ta açıklandı ifade geçen Ağustos ayında büyük bir hack'in alıcı tarafında olduğunu söyledi. Sonuç olarak, kötü niyetli kişiler, hassas tüketici verilerine erişmelerini sağlayan 'kaba kuvvet tahmin' adı verilen bir teknikle potansiyel olarak kırılabilecek birkaç şifreli parolaya girmeyi başardılar.
Olay ilk ortaya çıktığında, bir LastPass temsilcisi, saldırganın herhangi bir özel müşteri verisini değil, yalnızca çevresel teknik bilgileri elde edebileceğini belirterek konuyu geçiştirmeye çalıştı. Bununla birlikte, konuyla ilgili uzun bir araştırmadan sonra, bilgisayar korsanının bu bilgileri bir çalışanın cihazına erişmek için kullandığı ve bu kişinin/kişilerin bir bulut depolama sisteminde depolanan çok sayıda müşteri verisine erişmesini sağladığı keşfedildi.
Bu nedenle, LastPass'a erişen müşterilerin işveren adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve IP adresleri dahil olmak üzere şifrelenmemiş müşteri meta verileri saldırgana ifşa edildi. Bazı müşterilerin web sitesi şifrelerini içeren şifreli kasaları da çalındı.
Web3'e girin
LastPass gibi parola yöneticilerinin istismarı, Web3 geliştiricileri arasında geleneksel kullanıcı adı ve parola oturum açma sistemlerinin tamamen güvenli olmadığı ve bu nedenle blok zinciri tabanlı veri gizliliği sistemleriyle değiştirilmesi gerektiği yönünde uzun süredir devam eden bir iddiayı tetikledi.
Ayrıntılı olarak, Web3 güvenlik sistemlerinin savunucuları, geleneksel parola tabanlı oturum açma sistemlerinin, bulut sunucularında depolanan hashlenmiş parolalara dayandıkları için savunmasız olduklarını defalarca belirtmişlerdir. Bu karmalar ihlal edilirse, şifreleri çözülebilir ve çalınan tek bir parola, aynı parolayı kullanan tüm hesapları tehlikeye atabilir.
Bu bağlamda, Web3 uygulamaları gibi ShareRing kullanıcıların, şifreler gibi kişisel verilerinin çeşitli çevrimiçi uygulamalarda nasıl paylaşıldığını değiştiren merkezi olmayan bir platforma erişmesine olanak tanıyan alternatif bir çözüm sunar. Teklif, kullanıcıların kişisel merkezi olmayan kimliklerini (DID) bulmalarına olanak tanıyarak verileri üzerinde tam kontrol sahibi olmalarını sağlar.
Detaylandırmak gerekirse, ShareRing'in popüler ShareRing Vault modülündeki yakında çıkacak olan yeni özelliği, insanların kullanıcı adlarını ve parolaları herhangi bir risk almadan saklamasına olanak tanır. Aslında, bu "Parola Yöneticisi"nde depolanan tüm veriler, bulutta depolanmak yerine doğrudan kullanıcının ShareRing Vault özel anahtarına şifrelenir. Sonuç olarak, yalnızca ShareRing Kimliği sahibi tarafından erişilebilir. LastPass hack'i hakkındaki düşüncelerini paylaşan ShareRing CEO'su Tim Bos opined:
"Şirket, müşterileri giriş bilgilerinin güvende olduğuna ikna etmeye çalıştı. Güvenlik uzmanları aynı fikirde değil. Güvenlik araştırmacısı Wladimir Palant tarafından yazılan bir makale, şirketi şeffaf olmadığı için eleştiriyor. Şirketin URL'ler gibi verileri şifrelemeye yönelik çağrıları uzun süredir görmezden geldiğine dikkat çekiyor, bu da artık firmaya ileriye dönük güvenmenin zor olduğu anlamına geliyor. LastPass gibi bulut tabanlı parola yöneticileriyle ilgili çok sayıda güvenlik sorunu vardır. En önemli konulardan biri de kullanıcıların şifreleme anahtarlarının nerede saklandığı ve firmanın bu ortamı ne kadar güvenli hale getirdiği.”
Geleceğe Bakan Vizyon
LastPass gibi projeleri eleştirmek kolay olsa da, gerçek şu ki, şifre yöneticileri günümüz çağında son derece önemli hale geldi. Bunun nedeni, kullanıcıların sahip olabilecekleri her oturum açma ayrıntısı için son derece güçlü ve benzersiz parolaları hatırlamalarına izin vermesidir.
Ancak, parola hırsızlığı ve diğer benzer veri ihlallerinin artmasıyla birlikte, yerel olmayan tasarım/operasyonel çerçeveleri sayesinde tüketici bilgilerini tamamen güvende tutabilen daha yeni Web3 çözümlerinin gücünden yararlanmak önemlidir. Bu noktada, ShareRing'in parola yöneticisi, kullanıcılarının bilgilerini %2 güvenli tutmak için merkezi olmayan depolamadan yararlanırken web3 ve web100 uygulamalarında çalışır.
Bu nedenle, Web3 teknolojilerinin yönlendirdiği bir geleceğe doğru ilerlerken, dünyanın dört bir yanındaki bireylerin hassas verilerini merkezi sunucularda depolamanın olumsuz yönleri konusunda kendilerini eğitmeye devam etmeleri ve böylece blockchain ekosisteminin potansiyelinden yararlanmalarına olanak tanıması son derece önemlidir. tamamen.
Kaynak: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/