Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8/2022 và hacker đã đánh cắp mật khẩu được mã hóa của người dùng theo tuyên bố của công ty vào ngày 23/12. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8/2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được code nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện bọn chúng sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.

Ngoài ra, một số kho được mã hóa của khách hàng cũng bị đánh cắp. Các kho này chứa mật khẩu trang web mà người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho được mã hóa bằng Master Password, nên không thể đọc.

Tuyên bố từ LastPass nhấn mạnh dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp kho nếu không biết Master Password.

“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ Master Password của mỗi người dùng bằng kiến trúc không kiến thức của chúng tôi. Xin nhắc lại, LastPass không thể biết Master Password và cũng không lưu trữ hoặc duy trì”.

Mặc dù vậy, LastPass thừa nhận nếu khách hàng sử dụng Master Password yếu, kẻ tấn công có thể sử dụng phương pháp thử để đoán mật khẩu này, cho phép họ giải mã kho và lấy được tất cả mật khẩu trang web của khách hàng.

“Điều quan trọng cần lưu ý là nếu Master Password của bạn không sử dụng các phương pháp tốt nhất mà công ty đề xuất thì sẽ giảm đáng kể số lần thử đoán chính xác. Trong trường hợp này, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà bạn đã lưu trữ như một biện pháp bảo mật bổ sung”.

Có thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Vụ tấn công khai thác LastPass là minh họa cho tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm gần đây: hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ đăng nhập bằng ví tiền điện tử, đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì yêu cầu phải lưu giữ hash mật khẩu trên máy chủ đám mây. Nếu những hash này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng sử dụng cùng một mật khẩu cho nhiều trang web, thì mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các tài khoản khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những phần mềm này cũng dựa vào dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

Một ví dụ về trang đăng nhập ví tiền điện tử | Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 chấp thuận và triển khai, những người ủng hộ hy vọng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

• 69,95 tỷ đô la hiện đang được khóa trong các nền tảng Defi
• Hacker Triều tiên đã đánh cắp khoảng 1,2 tỷ đô la tiền điện tử trong 5 năm qua
• Một số cặp giao dịch trên Binance biến động giá thất thường, Changpeng Zhao khẳng định không phải hack

Minh Anh

Theo Cointelegraph