مهاجمان LastPass داده های خزانه رمز عبور را سرقت می کنند، محدودیت های Web2 را نشان می دهد

کاربران LastPass با گذرواژه‌های اصلی ضعیف ممکن است نیاز داشته باشند گذرواژه‌های ذخیره شده در این سرویس را تغییر دهند.

بر اساس بیانیه ۲۳ دسامبر این شرکت، سرویس مدیریت رمز عبور LastPass در آگوست ۲۰۲۲ هک شد و مهاجمان رمزهای عبور رمزگذاری شده کاربران را سرقت کردند. این بدان معنی است که یک مهاجم ممکن است بتواند برخی از رمزهای عبور وب سایت کاربران LastPass را از طریق حدس زدن بی رحمانه شکست دهد.

آخرین اطلاعیه های حوادث امنیتی – وبلاگ LastPass#هک آخرین پاس #هک #گذر آخر #infosec https://t.co/sQALfnpOTy

– توماس زیکل (@thomaszickell) ۲۳ دسامبر ۲۰۲۲

LastPass اولین بار در آگوست ۲۰۲۲ این نقض را فاش کرد، در آن زمان به نظر می رسید که مهاجمان فقط کد منبع و اطلاعات فنی را به دست آورده اند، نه اطلاعات مشتری. با این حال، تحقیقات شرکت نشان داد که اطلاعات فنی توسط مهاجمان برای حمله به دستگاه کارمند دیگر و به دست آوردن کلیدهای داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری استفاده شده است.

در نتیجه، ابرداده های رمزگذاری نشده مشتری برای مهاجمان فاش شد، از جمله «نام شرکت، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرس IP که مشتری از آن به سرویس LastPass دسترسی داشت.» تبدیل شد.

علاوه بر این، خزانه های رمزگذاری شده برخی از مشتریان به سرقت رفت. این خزانه ها حاوی رمزهای عبور وب سایت هستند که هر کاربر با سرویس LastPass ذخیره می کند. خوشبختانه، خزانه با رمز عبور اصلی شما رمزگذاری شده است، بنابراین مهاجم نمی تواند آن را بخواند.

بیانیه LastPass تاکید می کند که این سرویس از رمزگذاری پیشرفته استفاده می کند تا خواندن فایل های خزانه بدون دانستن رمز اصلی را برای مهاجمان بسیار دشوار کند و بیان می کند: افزایش دهید.

“این فیلدهای رمزگذاری شده با رمزگذاری AES 256 بیتی محافظت می شوند و فقط می توانند با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر با استفاده از معماری Zero Knowledge رمزگشایی شوند. رمز عبور اصلی شما هرگز برای LastPass شناخته شده نیست و هرگز توسط LastPass ذخیره یا نگهداری نمی شود. “

با این وجود، LastPass تصدیق می کند که اگر مشتری از یک رمز عبور اصلی ضعیف استفاده کند، مهاجم ممکن است بتواند این رمز عبور را با استفاده از نیروی بی رحمانه حدس بزند، و همانطور که LastPass توضیح می دهد، طاقچه ای برای دریافت تمام رمزهای عبور وب سایت مشتری شماست.

“گذرواژه اصلی [best practices the company recommends]، که تعداد آزمایش های لازم برای حدس زدن صحیح آن را بسیار کاهش می دهد. در این مورد، به عنوان یک اقدام امنیتی اضافی، باید تغییر رمزهای عبور ذخیره شده وب سایت را برای به حداقل رساندن خطر در نظر بگیرید. ”

آیا Web3 می تواند هک های پسورد منیجر را از بین ببرد؟

اکسپلویت LastPass ادعایی را نشان می دهد که توسعه دهندگان Web3 برای سال ها مطرح کرده اند. سیستم سنتی ورود نام کاربری و رمز عبور باید به نفع ورود به کیف پول بلاک چین کنار گذاشته شود.

طبق گفته طرفداران ورود به کیف پول رمزنگاری، ورود رمزهای عبور سنتی اساساً ناامن است زیرا برای نگهداری رمزهای عبور در سرورهای ابری نیاز به هش دارد. اگر این هش ها دزدیده شوند، می توان آنها را کرک کرد. علاوه بر این، اگر کاربری از رمز عبور یکسان در چندین وب سایت استفاده کند، سرقت یک رمز عبور می تواند همه رمزهای عبور دیگر را به خطر بیندازد. از طرف دیگر، اکثر کاربران نمی توانند چندین رمز عبور را برای وب سایت های مختلف به خاطر بسپارند.

خدمات مدیریت رمز عبور مانند LastPass برای حل این مشکل اختراع شد. اما آنها برای ذخیره خزانه های رمز عبور رمزگذاری شده به خدمات ابری متکی هستند. اگر مهاجمی بتواند از سرویس مدیریت رمز عبور یک خزانه گذرواژه دریافت کند، می‌تواند صندوق را شکسته و همه رمزهای عبور کاربر را بازیابی کند.

برنامه های Web3 مشکل را به روش دیگری حل می کنند. از کیف پول های افزونه مرورگر مانند Metamask و Trustwallet برای ورود به سیستم با استفاده از امضاهای رمزنگاری استفاده کنید و نیاز به ذخیره رمزهای عبور در فضای ابری را از بین ببرید.

با این حال، تا کنون این روش تنها برای کاربردهای غیرمتمرکز استاندارد شده است. اپلیکیشن‌های سنتی که به سرور مرکزی نیاز دارند، در حال حاضر فاقد استانداردهای مورد توافق در مورد نحوه استفاده از کیف پول‌های رمزنگاری برای ورود هستند.

مربوط: فیسبوک ۲۶۵ میلیون یورو به دلیل نقض اطلاعات مشتری جریمه کرد

با این حال، پیشنهاد اخیر بهبود اتریوم (EIP) با هدف بهبود این وضعیت است. این پیشنهاد که “EIP-4361” نامیده می شود، به دنبال ارائه یک استاندارد جهانی برای ورود به وب است که هم برای برنامه های متمرکز و هم برای برنامه های غیرمتمرکز کار می کند.

اگر این استاندارد توسط صنعت Web3 موافقت و اجرا شود، طرفداران آن در نهایت لاگین های رمز عبور را به طور کامل از وب جهانی حذف خواهند کرد و خطر نقض مدیریت رمز عبور مانند آنچه در LastPass رخ داد را از بین خواهند برد.

نویسنده: Tom Blackstone