تم الكشف عن خدمة إدارة كلمات المرور الشهيرة LastPass في 23 ديسمبر بيان أنه كان على الطرف المتلقي لاختراق كبير في أغسطس الماضي. ونتيجة لذلك ، تمكن الأوغاد من شق طريقهم إلى العديد من كلمات المرور المشفرة ، والتي من المحتمل أن يتم اختراقها من خلال تقنية تسمى "تخمين القوة الغاشمة" ، مما يتيح لهم الوصول إلى بيانات المستهلك الحساسة.
عندما تم الكشف عن الحادث في البداية ، حاول ممثل LastPass تجاهل الأمر ، مشيرًا إلى أن المهاجم يمكنه فقط الحصول على المعلومات التقنية الطرفية وليس أي بيانات خاصة بالعميل. ومع ذلك ، بعد تحقيق مطول في الأمر ، تم اكتشاف أن المتسلل قد استخدم المعلومات للوصول إلى جهاز الموظف ، والذي أتاح بعد ذلك للفرد (الأفراد) الوصول إلى عدد كبير من بيانات العملاء المخزنة في نظام التخزين السحابي.
نتيجة لذلك ، تم الكشف عن بيانات تعريف العميل غير المشفرة للمهاجم ، بما في ذلك أسماء صاحب العمل وأسماء المستخدمين النهائيين وعناوين الفواتير وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين IP للعملاء الذين وصلوا إلى LastPass. كما سُرقت خزائن بعض العملاء المشفرة التي تحتوي على كلمات مرور لمواقع الويب.
أدخل Web3
أثار استغلال مديري كلمات المرور مثل LastPass مطالبة طويلة الأمد بين مطوري Web3 بأن أنظمة تسجيل الدخول باسم المستخدم وكلمة المرور التقليدية ليست آمنة تمامًا ، وبالتالي يجب استبدالها بأنظمة خصوصية البيانات المستندة إلى blockchain.
للتوضيح ، لاحظ المدافعون عن أنظمة أمان Web3 مرارًا وتكرارًا أن أنظمة تسجيل الدخول التقليدية القائمة على كلمة المرور معرضة للخطر نظرًا لأنها تعتمد على رموز المرور المجزأة المخزنة على الخوادم السحابية. إذا تم اختراق هذه التجزئة ، فيمكن فك تشفيرها ، ويمكن أن تؤدي كلمة مرور واحدة مسروقة إلى اختراق جميع الحسابات التي تستخدم نفس كلمة المرور.
في هذا الصدد ، تطبيقات Web3 مثل ShareRing تقدم حلاً بديلاً يسمح للمستخدمين بالوصول إلى نظام أساسي لامركزي يغير كيفية مشاركة بيانات الأفراد - مثل كلمات المرور - عبر مختلف التطبيقات عبر الإنترنت. يتيح العرض للمستخدمين ابتكار هوياتهم الشخصية اللامركزية (DID) ، مما يمنحهم سيطرة كاملة على بياناتهم.
للتوضيح ، تتيح الميزة الجديدة القادمة لـ ShareRing ضمن وحدة ShareRing Vault الشائعة للأشخاص تخزين أسماء المستخدمين وكلمات المرور دون أي مخاطر. في الواقع ، يتم تشفير جميع البيانات المخزنة في "Password Manager" مباشرة إلى المفتاح الخاص ShareRing Vault الخاص بالمستخدم بدلاً من تخزينها على السحابة. نتيجة لذلك ، يمكن الوصول إليها فقط من قبل صاحب معرف المشاركة. تقديم أفكاره حول اختراق LastPass ، الرئيس التنفيذي لشركة ShareRing Tim Bos رأى:
"حاولت الشركة إقناع العملاء بأن معلومات تسجيل الدخول الخاصة بهم آمنة. خبراء الأمن يختلفون. انتقد مقال للباحث الأمني فلاديمير بالانت الشركة لافتقارها إلى الشفافية. ويشير إلى أن الشركة تجاهلت منذ فترة طويلة مكالمات لتشفير البيانات مثل عناوين URL ، مما يعني أنه من الصعب الآن الوثوق بالشركة في المستقبل. هناك العديد من مشكلات الأمان مع مديري كلمات المرور المستندة إلى مجموعة النظراء مثل LastPass. تتمثل إحدى أهم المشكلات في مكان تخزين مفاتيح تشفير المستخدمين ومدى جودة تأمين الشركة لهذه البيئة ".
واستشرافا للمستقبل
في حين أنه من السهل انتقاد مشاريع مثل LastPass ، تظل حقيقة الأمر أن مديري كلمات المرور أصبحوا مهمين للغاية في يومنا هذا وفي عصرنا هذا. هذا لأنها تسمح للمستخدمين بتذكر كلمات مرور قوية للغاية وفريدة من نوعها لكل تفاصيل تسجيل الدخول التي قد تكون لديهم.
ومع ذلك ، مع تزايد مشكلات سرقة كلمات المرور وانتهاكات البيانات المماثلة الأخرى ، من المهم تسخير قوة حلول Web3 الأحدث القادرة على الحفاظ على معلومات المستهلك آمنة تمامًا بفضل أطر التصميم / التشغيل غير المحلية. إلى هذه النقطة ، يعمل مدير كلمات المرور لـ ShareRing عبر تطبيقات الويب 2 و web3 مع الاستفادة من التخزين اللامركزي للحفاظ على أمان معلومات المستخدمين بنسبة 100٪.
لذلك ، بينما نتجه نحو مستقبل مدفوع بتقنيات Web3 ، من الأهمية بمكان أن يستمر الأفراد في جميع أنحاء العالم في تثقيف أنفسهم حول الجوانب السلبية لتخزين بياناتهم الحساسة على خوادم مركزية ، مما يسمح لهم بتسخير إمكانات النظام البيئي blockchain. حقا.
المصدر: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/