Trang chủ Tạp chí Tin tức Scam -Hack Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8/2022 và hacker đã đánh cắp mật khẩu được mã hóa của người dùng theo tuyên bố của công ty vào ngày 23/12. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8/2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được code nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện bọn chúng sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.

Ngoài ra, một số kho được mã hóa của khách hàng cũng bị đánh cắp. Các kho này chứa mật khẩu trang web mà người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho được mã hóa bằng Master Password, nên không thể đọc.

Tuyên bố từ LastPass nhấn mạnh dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp kho nếu không biết Master Password.

“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ Master Password của mỗi người dùng bằng kiến trúc không kiến thức của chúng tôi. Xin nhắc lại, LastPass không thể biết Master Password và cũng không lưu trữ hoặc duy trì”.

Mặc dù vậy, LastPass thừa nhận nếu khách hàng sử dụng Master Password yếu, kẻ tấn công có thể sử dụng phương pháp thử để đoán mật khẩu này, cho phép họ giải mã kho và lấy được tất cả mật khẩu trang web của khách hàng.

“Điều quan trọng cần lưu ý là nếu Master Password của bạn không sử dụng các phương pháp tốt nhất mà công ty đề xuất thì sẽ giảm đáng kể số lần thử đoán chính xác. Trong trường hợp này, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà bạn đã lưu trữ như một biện pháp bảo mật bổ sung”.

thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Vụ tấn công khai thác LastPass là minh họa cho tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm gần đây: hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ đăng nhập bằng ví tiền điện tử, đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì yêu cầu phải lưu giữ hash mật khẩu trên máy chủ đám mây. Nếu những hash này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng sử dụng cùng một mật khẩu cho nhiều trang web, thì mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các tài khoản khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những phần mềm này cũng dựa vào dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

LastPass

Một ví dụ về trang đăng nhập ví tiền điện tử | Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 chấp thuận và triển khai, những người ủng hộ hy vọng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Cointelegraph

MỚI CẬP NHẬT

altcoin-xu-huong

TOP 3 altcoin có xu hướng nổi bật hôm nay – Ngày 18 tháng...

Thị trường tiền điện tử đang dần lấy lại sắc xanh khi cho thấy những tín hiệu phục hồi rõ nét trong 24 giờ...
pi

100 triệu PI phát hành vào tháng 4, gấu đặt mục tiêu 0,4 đô...

Theo kế hoạch, 100 triệu token Pi Network, tương đương khoảng 60 triệu đô la, sẽ được mở khóa trong phần còn lại của...

Liệu cá voi có phải là mối đe dọa lớn đối với giá Ethereum...

Ethereum (ETH) tiếp tục gặp khó khăn bên dưới mốc tâm lý $2.000, mức mà nó chưa thể lấy lại được kể từ ngày...
pi

Tất tần tật về PiDaoSwap của Pi Network

PiDaoSwap, một dự án blockchain có trụ sở tại Canada, đã ra mắt sàn giao dịch phi tập trung (DEX) đầu tiên được xây...
Bitcoin

CryptoQuant: Giá Bitcoin sắp biến động khi các nhà đầu cơ di chuyển 170K...

Giới đầu cơ Bitcoin có thể gây ra biến động giá “đáng kể” khi lượng lớn coin được di chuyển on-chain. Trong một bài đăng...

3 altcoin AI này đang cho thấy sức mạnh sau một giai đoạn suy...

Các token liên quan đến trí tuệ nhân tạo (AI) đang ghi dấu sự trở lại mạnh mẽ trên thị trường, với những cái...

CEO Bybit gặp Bộ Tài chính Việt Nam để thí điểm triển khai sàn...

Bộ trưởng Tài chính Việt Nam, ông Nguyễn Văn Thắng, đã có cuộc gặp gỡ quan trọng với CEO Bybit, ông Ben Zhou, vào...
altcoin

Sygnum: Altcoin có thể tăng giá vào quý 2 nhờ các quy định được...

Theo ngân hàng Thụy Sĩ Sygnum, altcoin có thể hồi sinh trong quý 2/2025 khi các quy định về tài sản kỹ thuật số...
HashKey Capital khởi động Quỹ theo dõi XRP

HashKey Capital khởi động Quỹ theo dõi XRP đầu tiên của Châu Á

HashKey Capital đã chính thức giới thiệu Quỹ Theo Dõi XRP được quản lý đầu tiên tại châu Á, theo thông cáo báo chí...

Tin vắn Crypto 18/04: Bitcoin và Vàng đang chuẩn bị cho đợt tăng trưởng...

Từ nhận định Bitcoin và Vàng đang chuẩn bị cho đợt tăng trưởng mạnh hơn đến dự luật dự trữ crypto của Arizona được...

Dự đoán giá Pi Network: Sẽ vượt $1 hay sụp đổ sau khi mở...

Pi Network (PI) đang một lần nữa thu hút sự chú ý trong không gian crypto, với các nhà phân tích ghi nhận đà...
bitcoin

4 lý do giá Bitcoin có thể tăng lên 90.000 đô la vào tháng...

Các trader Bitcoin đang có phần bối rối trước việc giá BTC tăng vọt lên 85.000 đô la, đặc biệt là khi chỉ số...
DOGE

Dogecoin vẫn có thể đạt $1 – Dự báo của chuyên gia cho mùa...

Biểu đồ tuần của Dogecoin (DOGE) đã rơi trở lại vào trạng thái ảm đạm giống như nửa đầu năm 2024, tuy nhiên, hai...
eth

Galaxy Digital di chuyển 100 triệu đô la ETH: Thay đổi chiến lược hay...

Galaxy Digital, một công ty đầu tư crypto hàng đầu, gần đây đã thu hút sự chú ý của cộng đồng khi chuyển lượng...

sUSD mấy peg chạm mốc 0,68 USD

Stablecoin Synthetix USD (sUSD) – stablecoin gốc của giao thức Synthetix – vừa tiếp tục mất peg, rơi xuống mức đáy kỷ lục dưới...

RFC mất 40% giá trị khi cá voi xả hàng – Nhưng phe bò...

Trong tuần qua, hàng loạt ví liên quan đến RFC đã đồng loạt xả hàng, châm ngòi cho làn sóng bán tháo dữ dội...