ບໍລິການຈັດການລະຫັດຜ່ານຍອດນິຍົມ LastPass ເປີດເຜີຍໃນວັນທີ 23 ທັນວາ ຄໍາຖະແຫຼງທີ່ ວ່າມັນຢູ່ໃນຕອນທ້າຍທີ່ໄດ້ຮັບການ hack ທີ່ສໍາຄັນໃນເດືອນສິງຫາທີ່ຜ່ານມາ. ດັ່ງນັ້ນ, ຜູ້ທີ່ບໍ່ຖືກຕ້ອງສາມາດເຂົ້າໄປໃນລະຫັດຜ່ານທີ່ເຂົ້າລະຫັດຫຼາຍ, ເຊິ່ງອາດຈະຖືກ cracked ຜ່ານເຕັກນິກທີ່ເອີ້ນວ່າ 'brute force guessing', ໃຫ້ພວກເຂົາເຂົ້າເຖິງຂໍ້ມູນຜູ້ບໍລິໂພກທີ່ລະອຽດອ່ອນ.
ເມື່ອເຫດການດັ່ງກ່າວປະກົດຂຶ້ນໃນເບື້ອງຕົ້ນ, ຜູ້ຕາງຫນ້າຂອງ LastPass ພະຍາຍາມແກ້ໄຂເລື່ອງດັ່ງກ່າວ, ໂດຍກ່າວວ່າຜູ້ໂຈມຕີສາມາດໄດ້ຮັບພຽງແຕ່ຂໍ້ມູນທາງດ້ານວິຊາການດ້ານຂ້າງແລະບໍ່ແມ່ນຂໍ້ມູນສ່ວນຕົວຂອງລູກຄ້າ. ຢ່າງໃດກໍຕາມ, ຫຼັງຈາກການສືບສວນຢ່າງຍາວນານກ່ຽວກັບເລື່ອງນີ້, ມັນໄດ້ຖືກຄົ້ນພົບວ່າແຮກເກີໄດ້ນໍາໃຊ້ຂໍ້ມູນເພື່ອເຂົ້າເຖິງອຸປະກອນຂອງພະນັກງານ, ເຊິ່ງເຮັດໃຫ້ບຸກຄົນສາມາດເຂົ້າເຖິງຂໍ້ມູນລູກຄ້າຈໍານວນຫລາຍທີ່ເກັບໄວ້ໃນລະບົບການເກັບຮັກສາຟັງ.
ເນື່ອງຈາກນີ້, metadata ລູກຄ້າທີ່ບໍ່ໄດ້ເຂົ້າລະຫັດຖືກເປີດເຜີຍໃຫ້ຜູ້ໂຈມຕີ, ລວມທັງຊື່ນາຍຈ້າງ, ຊື່ຜູ້ໃຊ້ສຸດທ້າຍ, ທີ່ຢູ່ໃບບິນ, ທີ່ຢູ່ອີເມວ, ເບີໂທລະສັບແລະທີ່ຢູ່ IP ຂອງລູກຄ້າທີ່ເຂົ້າເຖິງ LastPass. ຫ້ອງໂຖງເຂົ້າລະຫັດຂອງລູກຄ້າບາງຄົນທີ່ມີລະຫັດຜ່ານເວັບໄຊທ໌ກໍ່ຖືກລັກໄປນຳ.
ໃສ່ Web3
ການຂູດຮີດຂອງຜູ້ຈັດການລະຫັດຜ່ານເຊັ່ນ LastPass ໄດ້ເຮັດໃຫ້ເກີດການຮຽກຮ້ອງມາຍາວນານໃນບັນດານັກພັດທະນາ Web3 ວ່າລະບົບການເຂົ້າສູ່ລະບົບແບບດັ້ງເດີມຂອງຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານແມ່ນບໍ່ປອດໄພທັງຫມົດແລະດັ່ງນັ້ນ, ຄວນຖືກແທນທີ່ດ້ວຍລະບົບຄວາມເປັນສ່ວນຕົວຂອງຂໍ້ມູນ blockchain.
ເພື່ອອະທິບາຍຢ່າງລະອຽດ, ຜູ້ສະຫນັບສະຫນູນສໍາລັບລະບົບຄວາມປອດໄພ Web3 ໄດ້ສັງເກດເຫັນເລື້ອຍໆວ່າລະບົບການເຂົ້າສູ່ລະບົບແບບໃຊ້ລະຫັດຜ່ານແບບດັ້ງເດີມແມ່ນມີຄວາມສ່ຽງຍ້ອນວ່າພວກເຂົາອີງໃສ່ລະຫັດທີ່ມີ hashed ທີ່ເກັບໄວ້ໃນເຄື່ອງແມ່ຂ່າຍເມຄ. ຖ້າ hashes ເຫຼົ່ານີ້ຖືກລະເມີດ, ພວກເຂົາສາມາດຖືກຖອດລະຫັດ, ແລະລະຫັດຜ່ານທີ່ຖືກລັກດຽວສາມາດທໍາລາຍບັນຊີທັງຫມົດທີ່ໃຊ້ລະຫັດຜ່ານດຽວກັນ.
ໃນເລື່ອງນີ້, ຄໍາຮ້ອງສະຫມັກ Web3 ຄື ການແບ່ງປັນ ສະເໜີການແກ້ໄຂທາງເລືອກໃຫ້ຜູ້ໃຊ້ສາມາດເຂົ້າເຖິງແພລະຕະຟອມການແບ່ງຂັ້ນຄຸ້ມຄອງທີ່ປ່ຽນແປງວິທີການຂໍ້ມູນຂອງບຸກຄົນ - ເຊັ່ນ: ລະຫັດຜ່ານ - ຖືກແບ່ງປັນໃນທົ່ວແອັບພລິເຄຊັນອອນໄລນ໌ຕ່າງໆ. ການສະເຫນີໃຫ້ຜູ້ໃຊ້ສາມາດມາເຖິງການກໍານົດຕົວຕົນແບບແບ່ງຂັ້ນຄຸ້ມຄອງ (DID), ໃຫ້ພວກເຂົາຄວບຄຸມຂໍ້ມູນຂອງພວກເຂົາຢ່າງສົມບູນ.
ເພື່ອລາຍລະອຽດ, ຄຸນສົມບັດໃຫມ່ທີ່ຈະມາເຖິງຂອງ ShareRing ພາຍໃນໂມດູນ ShareRing Vault ທີ່ເປັນທີ່ນິຍົມຂອງມັນຊ່ວຍໃຫ້ຄົນສາມາດເກັບຮັກສາຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານໂດຍບໍ່ມີຄວາມສ່ຽງໃດໆ. ໃນຄວາມເປັນຈິງ, ຂໍ້ມູນທັງຫມົດທີ່ເກັບໄວ້ໃນ 'Password Manager' ນີ້ຖືກເຂົ້າລະຫັດໂດຍກົງກັບລະຫັດສ່ວນຕົວ ShareRing Vault ຂອງຜູ້ໃຊ້ແທນທີ່ຈະຖືກເກັບໄວ້ໃນເມຄ. ດັ່ງນັ້ນ, ມັນສາມາດເຂົ້າເຖິງຜູ້ຖື ShareRing ID ເທົ່ານັ້ນ. ການສະຫນອງຄວາມຄິດຂອງລາວກ່ຽວກັບການ hack LastPass, ShareRing CEO Tim Bos opined:
"ບໍລິສັດໄດ້ພະຍາຍາມເຮັດໃຫ້ລູກຄ້າຫມັ້ນໃຈວ່າຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງພວກເຂົາແມ່ນປອດໄພ. ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພບໍ່ເຫັນດີນໍາ. ບົດຄວາມຂອງນັກຄົ້ນຄວ້າຄວາມປອດໄພ Wladimir Palant ຕໍານິຕິຕຽນບໍລິສັດຂາດຄວາມໂປ່ງໃສ. ລາວຊີ້ໃຫ້ເຫັນວ່າບໍລິສັດໄດ້ປະຕິເສດການໂທຫາເວລາດົນນານເພື່ອເຂົ້າລະຫັດຂໍ້ມູນເຊັ່ນ URLs, ຊຶ່ງຫມາຍຄວາມວ່າມັນຍາກທີ່ຈະໄວ້ວາງໃຈບໍລິສັດທີ່ຈະກ້າວໄປຂ້າງຫນ້າ. ມີບັນຫາຄວາມປອດໄພຫຼາຍຢ່າງກັບຕົວຈັດການລະຫັດຜ່ານທີ່ໃຊ້ເມຄເຊັ່ນ LastPass. ຫນຶ່ງໃນບັນຫາທີ່ສໍາຄັນທີ່ສຸດແມ່ນບ່ອນທີ່ລະຫັດການເຂົ້າລະຫັດຂອງຜູ້ໃຊ້ຖືກເກັບຮັກສາໄວ້ແລະບໍລິສັດຮັບປະກັນສະພາບແວດລ້ອມນີ້ໄດ້ດີປານໃດ."
Looking Ahead
ໃນຂະນະທີ່ມັນເປັນເລື່ອງງ່າຍທີ່ຈະວິພາກວິຈານໂຄງການເຊັ່ນ LastPass, ຄວາມຈິງຂອງບັນຫາຍັງຄົງວ່າຜູ້ຈັດການລະຫັດຜ່ານໄດ້ກາຍເປັນຄວາມສໍາຄັນທີ່ສຸດໃນວັນແລະອາຍຸຂອງມື້ນີ້. ນີ້ແມ່ນຍ້ອນວ່າພວກເຂົາອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດຈື່ຈໍາລະຫັດຜ່ານທີ່ເຂັ້ມແຂງແລະເປັນເອກະລັກສໍາລັບທຸກໆລາຍລະອຽດການເຂົ້າສູ່ລະບົບທີ່ພວກເຂົາອາດຈະມີ.
ຢ່າງໃດກໍຕາມ, ດ້ວຍບັນຫາການລັກລະຫັດຜ່ານແລະການລະເມີດຂໍ້ມູນທີ່ຄ້າຍຄືກັນອື່ນໆທີ່ເພີ່ມຂຶ້ນ, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະນໍາໃຊ້ພະລັງງານຂອງວິທີແກ້ໄຂ Web3 ໃຫມ່ທີ່ສາມາດຮັກສາຂໍ້ມູນຜູ້ບໍລິໂພກຢ່າງປອດໄພຍ້ອນການອອກແບບ / ໂຄງສ້າງທີ່ບໍ່ແມ່ນທ້ອງຖິ່ນຂອງພວກເຂົາ. ມາຮອດຈຸດນີ້, ຜູ້ຈັດການລະຫັດຜ່ານຂອງ ShareRing ເຮັດວຽກໃນທົ່ວແອັບພລິເຄຊັນ web2 ແລະ web3 ໃນຂະນະທີ່ໃຊ້ການຈັດເກັບຂໍ້ມູນແບບແບ່ງຂັ້ນຄຸ້ມຄອງເພື່ອຮັກສາຂໍ້ມູນຂອງຜູ້ໃຊ້ໃຫ້ປອດໄພ 100%.
ດັ່ງນັ້ນ, ເມື່ອພວກເຮົາກ້າວໄປສູ່ອະນາຄົດທີ່ຂັບເຄື່ອນໂດຍເຕັກໂນໂລຢີ Web3, ມັນເປັນສິ່ງສໍາຄັນທີ່ສຸດທີ່ບຸກຄົນທົ່ວໂລກສືບຕໍ່ສຶກສາກ່ຽວກັບຂໍ້ເສຍຂອງການເກັບຮັກສາຂໍ້ມູນທີ່ລະອຽດອ່ອນຂອງເຂົາເຈົ້າຢູ່ໃນເຄື່ອງແມ່ຂ່າຍສູນກາງ, ດັ່ງນັ້ນໃຫ້ພວກເຂົາສາມາດເກັບກໍາທ່າແຮງຂອງລະບົບນິເວດ blockchain. ແທ້ໆ.
ແຫຼ່ງຂໍ້ມູນ: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/