根據該公司12 月23 日的一份聲明,密碼管理服務LastPass 於2022 年8 月遭到黑客攻擊,攻擊者竊取了用戶的加密密碼。這意味著攻擊者有可能通過暴力破解的方式破解部分LastPass 用戶的網站密碼。
最近安全事件通知- The LastPass 博客#lastpasshack #hack #lastpass #信息安全 https://t.co/sQALfnpOTy
— 托馬斯·齊克爾(@thomaszickell) 2022 年12 月23 日
LastPass 於2022 年8 月首次披露了該漏洞,但當時看來,攻擊者僅獲得了源代碼和技術信息,並未獲得任何客戶數據。然而,該公司經過調查發現,攻擊者利用該技術信息攻擊了另一名員工的設備,該設備隨後被用於獲取存儲在雲存儲系統中的客戶數據的密鑰。
因此,未加密的客戶元數據已被 透露 給攻擊者,包括“公司名稱、最終用戶名、賬單地址、電子郵件地址、電話號碼和客戶訪問LastPass 服務的IP 地址”。
此外,一些客戶的加密保險庫被盜。這些保險庫包含每個用戶使用LastPass 服務存儲的網站密碼。幸運的是,保險庫是用主密碼加密的,這應該可以防止攻擊者讀取它們。
LastPass 的聲明強調該服務使用最先進的加密技術,使攻擊者很難在不知道主密碼的情況下讀取保險庫文件,並指出:
“這些加密字段通過256 位AES 加密保持安全,並且只能使用我們的零知識架構從每個用戶的主密碼派生的唯一加密密鑰進行解密。 提醒一下,LastPass 永遠不知道主密碼,也不會由LastPass 存儲或維護。”
即便如此,LastPass 承認,如果客戶使用了弱主密碼,攻擊者可能會使用暴力破解此密碼,從而使他們能夠解密保險庫並獲取所有客戶的網站密碼,正如LastPass 解釋的那樣:
“重要的是要注意,如果您的主密碼沒有使用 [best practices the company recommends],那麼它將大大減少正確猜測所需的嘗試次數。在這種情況下,作為一項額外的安全措施,您應該考慮通過更改您存儲的網站密碼來將風險降至最低。 ”
Web3 能否消除密碼管理器黑客攻擊?
LastPass 漏洞說明了Web3 開發人員多年來一直提出的一個主張:傳統的用戶名和密碼登錄系統需要被廢棄,以支持區塊鏈錢包登錄。
據倡導者說 加密錢包登錄,傳統的密碼登錄從根本上來說是不安全的,因為它們需要將密碼的哈希值保存在雲服務器上。如果這些哈希值被盜,它們就可以被破解。此外,如果用戶在多個網站上使用相同的密碼,則一個被盜的密碼可能會導致所有其他密碼遭到破壞。另一方面,大多數用戶不記得不同網站的多個密碼。
為了解決這個問題,LastPass 等密碼管理服務應運而生。但這些也依賴於雲服務來存儲加密的密碼庫。如果攻擊者設法從密碼管理器服務獲取密碼保險庫,他們可能能夠破解保險庫並獲取用戶的所有密碼。
Web3應用解決問題 用不同的方式。他們使用Metamask 或Trustwallet 等瀏覽器擴展錢包使用加密簽名登錄,無需將密碼存儲在雲端。
但到目前為止,這種方法僅針對去中心化應用程序進行了標準化。需要中央服務器的傳統應用程序目前沒有就如何使用加密錢包進行登錄達成一致的標準。
有關的: Facebook 因洩露客戶數據被罰款2.65 億歐元
然而,最近的以太坊改進提案(EIP)旨在糾正這種情況。該提案被稱為“EIP-4361”,試圖 提供 適用於集中式和分散式應用程序的Web 登錄通用標準。
如果Web3 行業同意並實施該標準,其支持者希望整個萬維網最終將完全擺脫密碼登錄,從而消除像LastPass 那樣的密碼管理器違規風險。