Lösenordshanteringstjänsten LastPass hackades i augusti 2022, och angriparen stal användarnas krypterade lösenord, enligt ett uttalande den 23 december från företaget. Detta innebär att angriparen kanske kan knäcka vissa webbplatslösenord för LastPass-användare genom brute force-gissningar.
Meddelande om senaste säkerhetsincident – LastPass-bloggen#lastpasshack #hacka #lastpass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) December 23, 2022
LastPass avslöjade först intrånget i augusti 2022, men vid den tidpunkten verkade det som att angriparen bara hade erhållit källkod och teknisk information, inte någon kunddata. Företaget har dock undersökt och upptäckt att angriparen använde denna tekniska information för att attackera en annan anställds enhet, som sedan användes för att få nycklar till kunddata lagrad i ett molnlagringssystem.
Som ett resultat har okrypterad kundmetadata varit avslöjade till angriparen, inklusive "företagsnamn, slutanvändarnamn, faktureringsadresser, e-postadresser, telefonnummer och de IP-adresser från vilka kunderna fick åtkomst till LastPass-tjänsten."
Dessutom stals några kunders krypterade valv. Dessa valv innehåller webbplatslösenord som varje användare lagrar med LastPass-tjänsten. Lyckligtvis är valven krypterade med ett huvudlösenord, vilket ska hindra angriparen från att kunna läsa dem.
Uttalandet från LastPass betonar att tjänsten använder toppmodern kryptering för att göra det mycket svårt för en angripare att läsa valvfiler utan att känna till huvudlösenordet, med angivande av:
"Dessa krypterade fält förblir säkrade med 256-bitars AES-kryptering och kan endast dekrypteras med en unik krypteringsnyckel som härrör från varje användares huvudlösenord med vår Zero Knowledge-arkitektur. Som en påminnelse är huvudlösenordet aldrig känt för LastPass och lagras eller underhålls inte av LastPass."
Trots det medger LastPass att om en kund har använt ett svagt huvudlösenord kan angriparen använda brute force för att gissa detta lösenord, vilket gör att de kan dekryptera valvet och få alla kunders lösenord för webbplatsen, som LastPass förklarar:
"Det är viktigt att notera att om ditt huvudlösenord inte använder [bästa praxis som företaget rekommenderar], så skulle det avsevärt minska antalet försök som krävs för att gissa det korrekt. I det här fallet, som en extra säkerhetsåtgärd, bör du överväga att minimera risken genom att ändra lösenord på webbplatser du har lagrat.”
Kan lösenordshanterarens hackningar elimineras med Web3?
LastPass-utnyttjandet illustrerar ett påstående som Web3-utvecklare har gjort i flera år: att det traditionella användarnamn och lösenordsinloggningssystemet måste skrotas till förmån för blockchain-plånboksinloggningar.
Enligt förespråkare för inloggning för kryptoplånbok, traditionella lösenordsinloggningar är i grunden osäkra eftersom de kräver hash av lösenord som ska förvaras på molnservrar. Om dessa hash blir stulna kan de knäckas. Dessutom, om en användare förlitar sig på samma lösenord för flera webbplatser, kan ett stulet lösenord leda till ett brott mot alla andra. Å andra sidan kan de flesta användare inte komma ihåg flera lösenord för olika webbplatser.
För att lösa detta problem har lösenordshanteringstjänster som LastPass uppfunnits. Men dessa är också beroende av molntjänster för att lagra krypterade lösenordsvalv. Om en angripare lyckas få tag i lösenordsvalvet från tjänsten för lösenordshanteraren kan de kanske knäcka valvet och få alla användarens lösenord.
Web3-applikationer löser problemet på ett annat sätt. De använder webbläsartilläggsplånböcker som Metamask eller Trustwallet för att logga in med en kryptografisk signatur, vilket eliminerar behovet av ett lösenord som ska lagras i molnet.
Men hittills har denna metod bara standardiserats för decentraliserade applikationer. Traditionella appar som kräver en central server har för närvarande inte en överenskommen standard för hur man använder kryptoplånböcker för inloggningar.
Relaterat: Facebook får böter på 265 miljoner euro för att ha läckt kunddata
Ett nyligen genomfört Ethereum Improvement Proposal (EIP) syftar dock till att råda bot på denna situation. Kallas "EIP-4361", förslaget försöker ge en universell standard för webbinloggningar som fungerar för både centraliserade och decentraliserade applikationer.
Om denna standard kommer överens om och implementeras av Web3-industrin, hoppas dess förespråkare att hela webben så småningom kommer att bli av med lösenordsinloggningar helt och hållet, vilket eliminerar risken för lösenordshanterarens intrång som den som har hänt på LastPass.
Källa: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations