根据该公司 12 月 23 日的一份声明,密码管理服务 LastPass 于 2022 年 8 月遭到黑客攻击,攻击者窃取了用户的加密密码。 这意味着攻击者有可能通过暴力破解的方式破解部分 LastPass 用户的网站密码。
最近安全事件通知 – The LastPass 博客#lastpasshack #hack #lastpass #信息安全 https://t.co/sQALfnpOTy
— 托马斯·齐克尔 (@thomaszickell) 2022 年 12 月 23 日
LastPass 于 2022 年 8 月首次披露了该漏洞,但当时看来,攻击者仅获得了源代码和技术信息,并未获得任何客户数据。 然而,该公司调查发现,攻击者利用该技术信息攻击了另一名员工的设备,该设备随后被用于获取存储在云存储系统中的客户数据的密钥。
结果,未加密的客户元数据已泄露给攻击者,包括“公司名称、最终用户名、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。”
此外,一些客户的加密保险库被盗。 这些保险库包含每个用户使用 LastPass 服务存储的网站密码。 幸运的是,保险库是用主密码加密的,这应该可以防止攻击者读取它们。
LastPass 的声明强调,该服务使用最先进的加密技术,使攻击者很难在不知道主密码的情况下读取保险库文件,并指出:
“这些加密字段通过 256 位 AES 加密保持安全,并且只能使用我们的零知识架构从每个用户的主密码派生的唯一加密密钥进行解密。 提醒一下,LastPass 永远不知道主密码,也不会由 LastPass 存储或维护。”
即便如此,LastPass 承认,如果客户使用了弱主密码,攻击者可能会使用暴力破解此密码,从而使他们能够解密保险库并获取所有客户的网站密码,正如 LastPass 解释的那样:
“重要的是要注意,如果您的主密码没有使用 [best practices the company recommends],那么它将大大减少正确猜测所需的尝试次数。 在这种情况下,作为一项额外的安全措施,您应该考虑通过更改您存储的网站密码来将风险降至最低。”
Web3 能否消除密码管理器黑客攻击?
LastPass 漏洞说明了 Web3 开发人员多年来一直提出的一个主张:传统的用户名和密码登录系统需要被废弃,以支持区块链钱包登录。
根据加密钱包登录的倡导者,传统的密码登录从根本上来说是不安全的,因为它们需要将密码的哈希值保存在云服务器上。 如果这些哈希值被盗,它们就可以被破解。 此外,如果用户在多个网站上使用相同的密码,则一个被盗的密码可能会导致所有其他密码遭到破坏。 另一方面,大多数用户不记得不同网站的多个密码。
为了解决这个问题,LastPass 等密码管理服务应运而生。 但这些也依赖于云服务来存储加密的密码库。 如果攻击者设法从密码管理器服务获取密码保险库,他们可能能够破解保险库并获取用户的所有密码。
Web3 应用程序以不同的方式解决了这个问题。 他们使用 Metamask 或 Trustwallet 等浏览器扩展钱包使用加密签名登录,无需将密码存储在云端。
但到目前为止,这种方法仅针对去中心化应用程序进行了标准化。 需要中央服务器的传统应用程序目前没有就如何使用加密钱包进行登录达成一致的标准。
有关的: Facebook 因泄露客户数据被罚款 2.65 亿欧元
然而,最近的以太坊改进提案(EIP)旨在纠正这种情况。 该提案名为“EIP-4361”,试图为集中式和分散式应用程序的 Web 登录提供通用标准。
如果 Web3 行业同意并实施该标准,其支持者希望整个万维网最终将完全摆脱密码登录,从而消除像 LastPass 那样的密码管理器违规风险。
