Il popolare servizio di gestione delle password LastPass è stato rivelato il 23 dicembre dichiarazione che era stato oggetto di un grave attacco lo scorso agosto. Di conseguenza, i malintenzionati sono stati in grado di farsi strada in diverse password crittografate, che potrebbero essere potenzialmente violate attraverso una tecnica chiamata "ipotesi della forza bruta", dando loro accesso a dati sensibili dei consumatori.
Quando l'incidente è venuto alla luce inizialmente, un rappresentante di LastPass ha cercato di liquidare la questione, affermando che l'aggressore poteva ottenere solo informazioni tecniche periferiche e non dati privati dei clienti. Tuttavia, dopo una lunga indagine sulla questione, si è scoperto che l'hacker aveva utilizzato le informazioni per ottenere l'accesso al dispositivo di un dipendente, che ha poi fornito l'accesso individuale a una pletora di dati dei clienti archiviati in un sistema di archiviazione cloud.
A causa di ciò, all'aggressore sono stati rivelati metadati client non crittografati, inclusi nomi di datori di lavoro, nomi di utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP di clienti che avevano effettuato l'accesso a LastPass. Sono stati rubati anche i depositi crittografati di alcuni clienti contenenti password di siti Web.
Inserisci Web3
Lo sfruttamento di gestori di password come LastPass ha innescato un'affermazione di lunga data tra gli sviluppatori Web3 secondo cui i tradizionali sistemi di accesso con nome utente e password non sono del tutto sicuri e, pertanto, dovrebbero essere sostituiti da sistemi di privacy dei dati basati su blockchain.
Per elaborare, i sostenitori dei sistemi di sicurezza Web3 hanno ripetutamente notato che i tradizionali sistemi di accesso basati su password sono vulnerabili poiché si basano su passcode con hash memorizzati su server cloud. Se questi hash vengono violati, possono essere decodificati e una singola password rubata può compromettere tutti gli account che utilizzano la stessa password.
A questo proposito, le applicazioni Web3 come ShareRing offrire una soluzione alternativa che consenta agli utenti di accedere a una piattaforma decentralizzata che cambia il modo in cui i dati degli individui, come le password, vengono condivisi tra varie applicazioni online. L'offerta consente agli utenti di creare le proprie identità decentralizzate personali (DID), dando loro il controllo completo sui propri dati.
Per elaborare, l'imminente nuova funzionalità di ShareRing all'interno del suo popolare modulo ShareRing Vault consente alle persone di archiviare nomi utente e password senza alcun rischio. Infatti, tutti i dati archiviati in questo "Gestore password" vengono crittografati direttamente nella chiave privata ShareRing Vault dell'utente invece di essere archiviati nel cloud. Di conseguenza, è accessibile solo al titolare dell'ID ShareRing. Fornendo le sue opinioni sull'hacking di LastPass, il CEO di ShareRing Tim Bos opinato:
“L'azienda ha provato a convincere i clienti che le loro informazioni di accesso sono al sicuro. Gli esperti di sicurezza non sono d'accordo. Un articolo del ricercatore di sicurezza Wladimir Palant critica l'azienda per mancanza di trasparenza. Sottolinea che l'azienda ha a lungo ignorato le chiamate per crittografare dati come gli URL, il che significa che ora è difficile fidarsi dell'azienda in futuro. Esistono numerosi problemi di sicurezza con i gestori di password basati su cloud come LastPass. Uno dei problemi più significativi è dove sono archiviate le chiavi di crittografia degli utenti e quanto bene l'azienda protegge questo ambiente.
Uno sguardo al futuro
Sebbene sia facile criticare progetti come LastPass, resta il nocciolo della questione che i gestori di password sono diventati estremamente importanti ai giorni nostri. Questo perché consentono agli utenti di ricordare password estremamente forti e univoche per ogni dettaglio di accesso che potrebbero avere.
Tuttavia, con l'aumento dei problemi di furto di password e altre simili violazioni dei dati, è importante sfruttare la potenza delle nuove soluzioni Web3 che sono in grado di mantenere le informazioni dei consumatori assolutamente al sicuro grazie ai loro framework operativi/progettuali non locali. A questo punto, il gestore di password di ShareRing funziona su applicazioni web2 e web3 sfruttando l'archiviazione decentralizzata per proteggere al 100% le informazioni degli utenti.
Pertanto, mentre ci dirigiamo verso un futuro guidato dalle tecnologie Web3, è della massima importanza che le persone in tutto il mondo continuino a istruirsi sugli svantaggi dell'archiviazione dei propri dati sensibili su server centralizzati, consentendo così loro di sfruttare il potenziale dell'ecosistema blockchain veramente.
Fonte: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/