Passordadministrasjonstjenesten LastPass ble hacket i august 2022, og angriperen stjal brukernes krypterte passord, ifølge en uttalelse 23. desember fra selskapet. Dette betyr at angriperen kan være i stand til å knekke noen nettstedspassord til LastPass-brukere gjennom brute force-gjetting.
Varsel om nylig sikkerhetshendelse – LastPass-bloggen#lastpasshack #hacks #sistepass #infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Desember 23, 2022
LastPass avslørte først bruddet i august 2022, men på det tidspunktet så det ut til at angriperen bare hadde skaffet kildekode og teknisk informasjon, ikke kundedata. Selskapet har imidlertid undersøkt og oppdaget at angriperen brukte denne tekniske informasjonen til å angripe en annen ansatts enhet, som deretter ble brukt til å skaffe nøkler til kundedata lagret i et skylagringssystem.
Som et resultat har ukrypterte kundemetadata blitt avslørt til angriperen, inkludert "selskapsnavn, sluttbrukernavn, faktureringsadresser, e-postadresser, telefonnumre og IP-adressene som kundene fikk tilgang til LastPass-tjenesten fra."
I tillegg ble noen kunders krypterte hvelv stjålet. Disse hvelvene inneholder nettstedspassordene som hver bruker lagrer med LastPass-tjenesten. Heldigvis er hvelvene kryptert med et hovedpassord, som skal hindre angriperen i å kunne lese dem.
Uttalelsen fra LastPass understreker at tjenesten bruker state-of-the-art kryptering for å gjøre det svært vanskelig for en angriper å lese hvelvfiler uten å kjenne hovedpassordet, og sier:
"Disse krypterte feltene forblir sikret med 256-bit AES-kryptering og kan bare dekrypteres med en unik krypteringsnøkkel utledet fra hver brukers hovedpassord ved å bruke vår Zero Knowledge-arkitektur. Som en påminnelse er hovedpassordet aldri kjent for LastPass og blir ikke lagret eller vedlikeholdt av LastPass."
Likevel innrømmer LastPass at hvis en kunde har brukt et svakt hovedpassord, kan angriperen være i stand til å bruke brute force for å gjette dette passordet, slik at de kan dekryptere hvelvet og få alle kundenes nettstedspassord, som LastPass forklarer:
"Det er viktig å merke seg at hvis hovedpassordet ditt ikke bruker [beste praksis selskapet anbefaler], så vil det redusere antall forsøk som trengs for å gjette det riktig. I dette tilfellet, som et ekstra sikkerhetstiltak, bør du vurdere å minimere risikoen ved å endre passord til nettsteder du har lagret.»
Kan passordbehandler-hack elimineres med Web3?
LastPass-utnyttelsen illustrerer en påstand som Web3-utviklere har gjort i årevis: at det tradisjonelle brukernavn- og passordpåloggingssystemet må skrotes til fordel for pålogging av blokkjede-lommebok.
Ifølge talsmenn for pålogging for kryptolommebok, tradisjonelle passordpålogginger er grunnleggende usikre fordi de krever hashes av passord som skal lagres på skyservere. Hvis disse hashene blir stjålet, kan de bli knekket. I tillegg, hvis en bruker er avhengig av det samme passordet for flere nettsteder, kan ett stjålet passord føre til brudd på alle andre. På den annen side kan de fleste brukere ikke huske flere passord for forskjellige nettsteder.
For å løse dette problemet har passordadministrasjonstjenester som LastPass blitt oppfunnet. Men disse er også avhengige av skytjenester for å lagre krypterte passordhvelv. Hvis en angriper klarer å få tak i passordhvelvet fra passordbehandlingstjenesten, kan de kanskje knekke hvelvet og få tak i alle brukerens passord.
Web3-applikasjoner løser problemet på en annen måte. De bruker nettleserutvidelseslommebøker som Metamask eller Trustwallet for å logge på med en kryptografisk signatur, noe som eliminerer behovet for et passord som skal lagres i skyen.
Men så langt har denne metoden kun blitt standardisert for desentraliserte applikasjoner. Tradisjonelle apper som krever en sentral server har foreløpig ikke en avtalt standard for hvordan man bruker kryptolommebøker for pålogging.
Relatert: Facebook får en bot på 265 millioner euro for lekkasje av kundedata
Et nylig Ethereum Improvement Proposal (EIP) har imidlertid som mål å bøte på denne situasjonen. Kalt «EIP-4361», forsøker forslaget å gi en universell standard for nettpålogginger som fungerer for både sentraliserte og desentraliserte applikasjoner.
Hvis denne standarden blir avtalt og implementert av Web3-industrien, håper dens tilhengere at hele verdensveven til slutt vil bli kvitt passordpålogginger helt, noe som eliminerer risikoen for passordbehandlingsbrudd som det som har skjedd hos LastPass.
Kilde: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations