مهاجم LastPass داده‌های ذخیره رمز عبور را می‌دزدد و محدودیت‌های Web2 را آشکار می‌کند

کاربران LastPass با گذرواژه اصلی ضعیف ممکن است نیاز داشته باشند گذرواژه‌هایی را که در این سرویس ذخیره می‌کنند تغییر دهند.

این شرکت در 23 دسامبر گفت که سرویس مدیریت رمز عبور LastPass در آگوست 2022 هک شد و مهاجم رمز عبور رمزگذاری شده کاربران را به سرقت برد. این بدان معنی است که مهاجم می تواند برخی از رمزهای عبور وب سایت کاربران LastPass را با حدس زدن بی رحمانه شکست دهد.

آخرین اعلان حادثه امنیتی – وبلاگ LastPass#گذر آخر #تقلب #آخرین پاس #امنیت اطلاعات https://t.co/sQALfnpOTy

– توماس زیکل (@thomaszickell) 23 دسامبر 2022

LastPass اولین بار در آگوست 2022 این نقض را فاش کرد، اما در آن زمان مشخص شد که مهاجم فقط کد منبع و اطلاعات فنی را به دست آورده است، نه اطلاعات مشتری. با این حال، شرکت بررسی کرد و متوجه شد که مهاجم از این اطلاعات فنی برای حمله به دستگاه کارمند دیگری استفاده کرده است، که سپس برای به دست آوردن کلیدهای داده های مشتری ذخیره شده در یک سیستم ذخیره سازی ابری استفاده می شود.

در نتیجه، ابرداده‌های رمزگذاری نشده مشتری، از جمله «نام شرکت، نام کاربر نهایی، آدرس صورت‌حساب، آدرس ایمیل، شماره تلفن و آدرس‌های IP که مشتریان از آن‌ها به سرویس LastPass دسترسی دارند» در معرض مهاجم قرار گرفت.

علاوه بر این، گاوصندوق های رمزگذاری شده برخی از مشتریان به سرقت رفت. این خزانه ها حاوی رمزهای عبور وب سایت هستند که هر کاربر با سرویس LastPass ذخیره کرده است. خوشبختانه، گاوصندوق ها با رمز عبور اصلی رمزگذاری شده اند که مانع از خواندن آنها توسط مهاجم می شود.

بیانیه ای از LastPass نشان می دهد که این سرویس از رمزگذاری پیشرفته استفاده می کند تا خواندن فایل های خزانه بدون دانستن رمز اصلی را برای مهاجمان بسیار دشوار کند:

این دامنه های رمزگذاری شده توسط رمزگذاری AES 256 بیتی محافظت می شوند و تنها با استفاده از معماری دانش صفر ما با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر قابل رمزگشایی هستند. به عنوان یادآوری، رمز عبور اصلی هرگز برای LastPass شناخته نمی شود و توسط LastPass ذخیره یا ذخیره نمی شود.”

با وجود این، LastPass تصدیق می‌کند که اگر مشتری از یک رمز عبور اصلی ضعیف استفاده کند، مهاجم می‌تواند از زور بی‌رحمانه برای حدس زدن آن رمز عبور استفاده کند و به آن‌ها اجازه می‌دهد تا مخزن را رمزگشایی کنند و رمزهای عبور وب‌سایت تمام مشتریان را دریافت کنند، همانطور که LastPass توضیح می‌دهد:

“رمز عبور اصلی شما [best practices the company recommends]، سپس تعداد تلاش های مورد نیاز برای حدس زدن صحیح را به شدت کاهش می دهد. در این مورد، باید با تغییر رمزهای عبور وب‌سایت‌هایی که ذخیره می‌کنید به عنوان یک اقدام امنیتی اضافی، خطر را به حداقل برسانید.»

آیا حملات مدیریت رمز عبور با Web3 قابل حذف هستند؟

اکسپلویت LastPass ادعایی را نشان می‌دهد که توسعه‌دهندگان Web3 برای سال‌ها مطرح کرده‌اند: سیستم ورود نام کاربری و رمز عبور سنتی باید به نفع ورود به کیف پول بلاک چین کنار گذاشته شود.

به گفته طرفداران ورود به کیف پول کریپتو، لاگین های رمزگذاری شده سنتی اساساً ناامن هستند زیرا به هش رمز عبور برای ذخیره در سرورهای ابری نیاز دارند. اگر این هش ها دزدیده شوند، می توان آنها را شکست. همچنین، اگر کاربر از رمز عبور یکسانی برای چندین وب سایت استفاده کند، رمز عبور سرقت شده می تواند همه رمزهای عبور دیگر را نقض کند. از طرف دیگر، اکثر کاربران نمی توانند چندین رمز عبور را برای وب سایت های مختلف به خاطر بسپارند.

سرویس های مدیریت رمز عبور مانند LastPass برای حل این مشکل اختراع شدند. اما آنها همچنین برای ذخیره خزانه های رمز عبور رمزگذاری شده به خدمات ابری متکی هستند. اگر مهاجم موفق به بازیابی مخزن رمز عبور از سرویس مدیریت رمز عبور شود، می‌تواند صندوق را شکسته و همه رمزهای عبور کاربر را بازیابی کند.

برنامه های Web3 مشکل را به روش دیگری حل می کنند. آنها از کیف پول های افزونه مرورگر مانند Metamask یا Trustwallet برای ورود با استفاده از امضای رمزنگاری استفاده می کنند و نیازی به ذخیره رمز عبور در فضای ابری را از بین می برند.

اما تاکنون این روش فقط برای کاربردهای غیرمتمرکز استاندارد شده است. برنامه های سنتی که به سرور مرکزی نیاز دارند، در حال حاضر استاندارد مورد توافقی در مورد نحوه استفاده از کیف پول های رمزنگاری برای ورود به سیستم ندارند.

مربوط: فیس بوک به دلیل افشای اطلاعات مشتریانش ۲۶۵ میلیون یورو جریمه شد

با این حال، پیشنهاد اخیر بهبود اتریوم (EIP) با هدف اصلاح این وضعیت است. این پیشنهاد که “EIP-4361” نامیده می شود، به دنبال ارائه یک استاندارد جهانی برای جلسات کاری وب برای برنامه های کاربردی متمرکز و غیرمتمرکز است.

اگر این استاندارد توسط صنعت Web3 موافقت و اجرا شود، طرفداران آن امیدوارند که در نهایت کل وب جهانی به طور کامل از شر جلسات رمز عبور خلاص شود و خطر نقض مدیریت رمز عبور مانند LastPass از بین برود.

نویسنده: Tom Blackstone