Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Updated: 24/12/2022 at 21:28

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8/2022 và hacker đã đánh cắp mật khẩu được mã hóa của người dùng theo tuyên bố của công ty vào ngày 23/12. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8/2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được code nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện bọn chúng sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.

Ngoài ra, một số kho được mã hóa của khách hàng cũng bị đánh cắp. Các kho này chứa mật khẩu trang web mà người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho được mã hóa bằng Master Password, nên không thể đọc.

Tuyên bố từ LastPass nhấn mạnh dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp kho nếu không biết Master Password.

“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ Master Password của mỗi người dùng bằng kiến trúc không kiến thức của chúng tôi. Xin nhắc lại, LastPass không thể biết Master Password và cũng không lưu trữ hoặc duy trì”.

Mặc dù vậy, LastPass thừa nhận nếu khách hàng sử dụng Master Password yếu, kẻ tấn công có thể sử dụng phương pháp thử để đoán mật khẩu này, cho phép họ giải mã kho và lấy được tất cả mật khẩu trang web của khách hàng.

“Điều quan trọng cần lưu ý là nếu Master Password của bạn không sử dụng các phương pháp tốt nhất mà công ty đề xuất thì sẽ giảm đáng kể số lần thử đoán chính xác. Trong trường hợp này, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà bạn đã lưu trữ như một biện pháp bảo mật bổ sung”.

thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Vụ tấn công khai thác LastPass là minh họa cho tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm gần đây: hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ đăng nhập bằng ví tiền điện tử, đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì yêu cầu phải lưu giữ hash mật khẩu trên máy chủ đám mây. Nếu những hash này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng sử dụng cùng một mật khẩu cho nhiều trang web, thì mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các tài khoản khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những phần mềm này cũng dựa vào dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

LastPass

Một ví dụ về trang đăng nhập ví tiền điện tử | Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 chấp thuận và triển khai, những người ủng hộ hy vọng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Cointelegraph

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Avalanche (AVAX) duy trì trạng thái hợp nhất trong mô hình tam giác hướng lên suốt nhiều tháng, với biên độ giá ngày càng bị thu hẹp. Trong tuần này, cú bật mạnh từ vùng hỗ trợ của tam giác đã nhanh chóng kích hoạt nhịp tăng, giúp token nhích... ...

Nhà phân tích thị trường Barri C đã mang đến một góc nhìn khác biệt về hành trình giá của XRP, không dựa vào biểu đồ kỹ thuật, mô hình nến hay các chỉ báo phức tạp. Thay vào đó, ông chọn cách tiếp cận từ khía cạnh tâm lý... ...

Trong bản chia sẻ kỹ thuật hàng ngày mới đây, nhà phân tích CryptoWzrd đã nhấn mạnh rằng Chainlink (LINK) đã khép lại phiên giao dịch gần nhất với một mức tăng giá đáng chú ý, qua đó mở ra kỳ vọng rằng xu hướng đi lên có thể sẽ tiếp... ...

Nhà sáng lập Cardano, Charles Hoskinson, mới đây đã có những chia sẻ vừa hài hước vừa đầy táo bạo về triển vọng của thị trường crypto. Trong đó, ông không chỉ đưa ra các nhận định về chính sách tiền tệ của Cục Dự trữ Liên bang Mỹ (Fed),... ...

Theo nhà phân tích Cas Abbé, diễn biến hiện tại của Dogecoin (DOGE) cho thấy đồng tiền này đang bước vào một giai đoạn mở rộng mới sau khoảng thời gian dài tích lũy. Đây là tín hiệu đáng chú ý, nhất là khi nhiều tháng giao dịch trầm lắng... ...

Một nhà phân tích nổi bật trong cộng đồng crypto, người từng dự đoán chính xác các giai đoạn tăng trưởng theo hình parabol của Bitcoin trong chu kỳ này, mới đây đã đưa ra nhận định táo bạo: Ethereum và các altcoin vốn hóa thấp đang tiến rất gần đến... ...

Sau khi lập mức đỉnh lịch sử mới vào hôm thứ Sáu vừa rồi, Ethereum có thể vẫn còn dư địa tăng trưởng dài hạn. Cụ thể, Arthur Hayes – nhà sáng lập BitMEX – lại một lần nữa nâng mục tiêu giá của mình cho Ethereum. Lần này, ông... ...

Token Hedera (HBAR) đã tăng hơn 5% trong bối cảnh thị trường chung khởi sắc. Đồng thời, dữ liệu mới cho thấy đà tăng này có thể chỉ mới bắt đầu. Hai yếu tố bao gồm cá voi tăng cường tích lũy và tín hiệu phân kỳ tăng giá trên... ...

Solana (SOL) một lần nữa trở thành tâm điểm trên thị trường crypto khi ghi nhận mức tăng 5,1% trong 24 giờ, đưa nó vào nhóm những đồng altcoin dẫn dắt xu hướng tăng giá. Đà bứt phá này trùng khớp với các dự báo trước đó rằng SOL có... ...

[Bài Viết Quảng Cáo]  Những thay đổi lớn đang định hình làn sóng tăng trưởng tiếp theo. Các ý tưởng mới đang thu hút sự chú ý, bao gồm ứng dụng tài sản thực (RWA), sự bùng nổ của token meme và những cái tên dẫn đầu trong công nghệ phi... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode