根据该公司 2022 月 23 日的声明,密码管理服务 LastPass 于 XNUMX 年 XNUMX 月遭到黑客攻击,攻击者窃取了用户的加密密码。 这意味着攻击者或许能够通过暴力猜测的方式破解LastPass用户的部分网站密码。
近期安全事件通知 – LastPass 博客#lastpasshack #hacks #最后通过 #信息安全 https://t.co/sQALfnpOTy
— 托马斯·齐克尔 (@thomaszickell) 2022 年 12 月 23 日
LastPass 于 2022 年 XNUMX 月首次披露了此次泄露事件,但当时攻击者似乎只获得了源代码和技术信息,而没有获得任何客户数据。 然而,该公司经过调查发现,攻击者利用这些技术信息攻击另一名员工的设备,然后利用该设备获取存储在云存储系统中的客户数据的密钥。
因此,未加密的客户元数据已被 发现 向攻击者提供的信息,包括“公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。”
此外,一些客户的加密金库被盗。 这些保管库包含每个用户使用 LastPass 服务存储的网站密码。 幸运的是,保管库使用主密码进行加密,这应该可以防止攻击者读取它们。
LastPass 的声明强调,该服务使用最先进的加密技术,使攻击者在不知道主密码的情况下很难读取保管库文件,并指出:
“这些加密字段通过 256 位 AES 加密保持安全,并且只能使用我们的零知识架构从每个用户的主密码派生的唯一加密密钥进行解密。 提醒一下,LastPass 永远不会知道主密码,并且 LastPass 不会存储或维护主密码。”
即便如此,LastPass 承认,如果客户使用了弱主密码,攻击者可能能够使用暴力破解该密码,从而使他们能够解密保险库并获取所有客户的网站密码,正如 LastPass 所解释的那样:
“值得注意的是,如果您的主密码没有使用[公司推荐的最佳实践],那么它将大大减少正确猜测密码所需的尝试次数。 在这种情况下,作为额外的安全措施,您应该考虑通过更改您存储的网站密码来最大程度地降低风险。”
Web3 可以消除密码管理器黑客攻击吗?
LastPass 漏洞说明了 Web3 开发人员多年来一直提出的一个主张:传统的用户名和密码登录系统需要被废弃,以支持区块链钱包登录。
据倡导者称 加密钱包登录,传统的密码登录从根本上来说是不安全的,因为它们需要将密码的哈希值保存在云服务器上。 如果这些哈希值被盗,它们就可以被破解。 此外,如果用户在多个网站上使用相同的密码,则一个被盗的密码可能会导致所有其他网站的密码被泄露。 另一方面,大多数用户无法记住不同网站的多个密码。
为了解决这个问题,LastPass 等密码管理服务应运而生。 但这些也依赖云服务来存储加密的密码库。 如果攻击者设法从密码管理器服务获取密码保管库,他们可能能够破解保管库并获取所有用户的密码。
Web3应用解决问题 以不同的方式。 他们使用 Metamask 或 Trustwallet 等浏览器扩展钱包来使用加密签名进行登录,从而无需将密码存储在云中。
但到目前为止,这种方法仅针对去中心化应用进行了标准化。 需要中央服务器的传统应用程序目前没有关于如何使用加密钱包进行登录的商定标准。
相关新闻: Facebook因泄露客户数据被罚款265亿欧元
然而,最近的以太坊改进提案(EIP)旨在纠正这种情况。 该提案名为“EIP-4361”,试图 提供 适用于集中式和分散式应用程序的网络登录通用标准。
如果该标准得到 Web3 行业的认可并实施,其支持者希望整个万维网最终能够完全摆脱密码登录,从而消除像 LastPass 那样的密码管理器泄露风险。
来源:https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations