کاربران LastPass با گذرواژه اصلی ضعیف ممکن است نیاز داشته باشند گذرواژههایی را که در این سرویس ذخیره میکنند تغییر دهند.
این شرکت در 23 دسامبر گفت که سرویس مدیریت رمز عبور LastPass در آگوست 2022 هک شد و مهاجم رمز عبور رمزگذاری شده کاربران را به سرقت برد. این بدان معنی است که مهاجم می تواند برخی از رمزهای عبور وب سایت کاربران LastPass را با حدس زدن بی رحمانه شکست دهد.
آخرین اعلان حادثه امنیتی – وبلاگ LastPass#گذر آخر #تقلب #آخرین پاس #امنیت اطلاعات https://t.co/sQALfnpOTy
– توماس زیکل (@thomaszickell) 23 دسامبر 2022
LastPass اولین بار در آگوست 2022 این نقض را فاش کرد، اما در آن زمان مشخص شد که مهاجم فقط کد منبع و اطلاعات فنی را به دست آورده است، نه اطلاعات مشتری. با این حال، شرکت بررسی کرد و متوجه شد که مهاجم از این اطلاعات فنی برای حمله به دستگاه کارمند دیگری استفاده کرده است، که سپس برای به دست آوردن کلیدهای داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری استفاده می شود.
در نتیجه، ابردادههای رمزگذاری نشده مشتری، از جمله «نام شرکت، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرسهای IP که مشتریان از آنها به سرویس LastPass دسترسی دارند» در معرض مهاجم قرار گرفت.
علاوه بر این، گاوصندوق های رمزگذاری شده برخی از مشتریان به سرقت رفت. این خزانه ها حاوی رمزهای عبور وب سایت هستند که هر کاربر با سرویس LastPass ذخیره کرده است. خوشبختانه، گاوصندوق ها با رمز عبور اصلی رمزگذاری شده اند که مانع از خواندن آنها توسط مهاجم می شود.
بیانیه ای از LastPass نشان می دهد که این سرویس از رمزگذاری پیشرفته استفاده می کند تا خواندن فایل های خزانه بدون دانستن رمز اصلی را برای مهاجمان بسیار دشوار کند:
این دامنه های رمزگذاری شده توسط رمزگذاری AES 256 بیتی محافظت می شوند و تنها با استفاده از معماری دانش صفر ما با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر قابل رمزگشایی هستند. به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته نمی شود و توسط LastPass ذخیره یا ذخیره نمی شود.”
با وجود این، LastPass تصدیق میکند که اگر مشتری از یک رمز عبور اصلی ضعیف استفاده کند، مهاجم میتواند از زور بیرحمانه برای حدس زدن آن رمز عبور استفاده کند و به آنها اجازه میدهد تا مخزن را رمزگشایی کنند و رمزهای عبور وبسایت تمام مشتریان را دریافت کنند، همانطور که LastPass توضیح میدهد:
“رمز عبور اصلی شما [best practices the company recommends]، سپس تعداد تلاش های مورد نیاز برای حدس زدن صحیح را به شدت کاهش می دهد. در این مورد، باید با تغییر رمزهای عبور وبسایتهایی که ذخیره میکنید به عنوان یک اقدام امنیتی اضافی، خطر را به حداقل برسانید.»
آیا حملات مدیریت رمز عبور با Web3 قابل حذف هستند؟
اکسپلویت LastPass ادعایی را نشان میدهد که توسعهدهندگان Web3 برای سالها مطرح کردهاند: سیستم ورود نام کاربری و رمز عبور سنتی باید به نفع ورود به کیف پول بلاک چین کنار گذاشته شود.
به گفته طرفداران ورود به کیف پول کریپتو، لاگین های رمزگذاری شده سنتی اساساً ناامن هستند زیرا به هش رمز عبور برای ذخیره در سرورهای ابری نیاز دارند. اگر این هش ها دزدیده شوند، می توان آنها را شکست. همچنین، اگر کاربر از رمز عبور یکسانی برای چندین وب سایت استفاده کند، رمز عبور سرقت شده می تواند همه رمزهای عبور دیگر را نقض کند. از طرف دیگر، اکثر کاربران نمی توانند چندین رمز عبور را برای وب سایت های مختلف به خاطر بسپارند.
سرویس های مدیریت رمز عبور مانند LastPass برای حل این مشکل اختراع شدند. اما آنها همچنین برای ذخیره خزانه های رمز عبور رمزگذاری شده به خدمات ابری متکی هستند. اگر مهاجم موفق به بازیابی مخزن رمز عبور از سرویس مدیریت رمز عبور شود، میتواند صندوق را شکسته و همه رمزهای عبور کاربر را بازیابی کند.
برنامه های Web3 مشکل را به روش دیگری حل می کنند. آنها از کیف پول های افزونه مرورگر مانند Metamask یا Trustwallet برای ورود با استفاده از امضای رمزنگاری استفاده می کنند و نیازی به ذخیره رمز عبور در فضای ابری را از بین می برند.
اما تاکنون این روش فقط برای کاربردهای غیرمتمرکز استاندارد شده است. برنامه های سنتی که به سرور مرکزی نیاز دارند، در حال حاضر استاندارد مورد توافقی در مورد نحوه استفاده از کیف پول های رمزنگاری برای ورود به سیستم ندارند.
مربوط: فیس بوک به دلیل افشای اطلاعات مشتریانش ۲۶۵ میلیون یورو جریمه شد
با این حال، پیشنهاد اخیر بهبود اتریوم (EIP) با هدف اصلاح این وضعیت است. این پیشنهاد که “EIP-4361” نامیده می شود، به دنبال ارائه یک استاندارد جهانی برای جلسات کاری وب برای برنامه های کاربردی متمرکز و غیرمتمرکز است.
اگر این استاندارد توسط صنعت Web3 موافقت و اجرا شود، طرفداران آن امیدوارند که در نهایت کل وب جهانی به طور کامل از شر جلسات رمز عبور خلاص شود و خطر نقض مدیریت رمز عبور مانند LastPass از بین برود.
نویسنده: Tom Blackstone
