Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Updated: 24/12/2022 at 21:28

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8/2022 và hacker đã đánh cắp mật khẩu được mã hóa của người dùng theo tuyên bố của công ty vào ngày 23/12. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8/2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được code nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện bọn chúng sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.

Ngoài ra, một số kho được mã hóa của khách hàng cũng bị đánh cắp. Các kho này chứa mật khẩu trang web mà người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho được mã hóa bằng Master Password, nên không thể đọc.

Tuyên bố từ LastPass nhấn mạnh dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp kho nếu không biết Master Password.

“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ Master Password của mỗi người dùng bằng kiến trúc không kiến thức của chúng tôi. Xin nhắc lại, LastPass không thể biết Master Password và cũng không lưu trữ hoặc duy trì”.

Mặc dù vậy, LastPass thừa nhận nếu khách hàng sử dụng Master Password yếu, kẻ tấn công có thể sử dụng phương pháp thử để đoán mật khẩu này, cho phép họ giải mã kho và lấy được tất cả mật khẩu trang web của khách hàng.

“Điều quan trọng cần lưu ý là nếu Master Password của bạn không sử dụng các phương pháp tốt nhất mà công ty đề xuất thì sẽ giảm đáng kể số lần thử đoán chính xác. Trong trường hợp này, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà bạn đã lưu trữ như một biện pháp bảo mật bổ sung”.

thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Vụ tấn công khai thác LastPass là minh họa cho tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm gần đây: hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ đăng nhập bằng ví tiền điện tử, đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì yêu cầu phải lưu giữ hash mật khẩu trên máy chủ đám mây. Nếu những hash này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng sử dụng cùng một mật khẩu cho nhiều trang web, thì mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các tài khoản khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những phần mềm này cũng dựa vào dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

LastPass

Một ví dụ về trang đăng nhập ví tiền điện tử | Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 chấp thuận và triển khai, những người ủng hộ hy vọng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Cointelegraph

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Pump.fun (PUMP) đang ghi nhận màn hồi phục ấn tượng sau cú sụt giảm 67% kể từ đỉnh lịch sử, nhờ tín hiệu bứt phá rõ rệt cùng lực mua tích cực từ các cá voi. PUMP dẫn đầu đà tăng, nhưng khối lượng giao dịch suy giảm Tính đến... ...

Bitcoin (BTC) đã giảm gần 5% so với mức đỉnh cuối tháng 7 là 119.800 USD, chạm đáy 3 tuần tại 112.000 USD vào ngày 2/8. Tính đến thời điểm hiện tại, BTC giao dịch quanh mức 114.300 USD, với khối lượng giao dịch 24 giờ sụt giảm hơn 23%.... ...

Diễn biến thị trường tuần này đã đưa một xu hướng quen thuộc quay trở lại tâm điểm: tỷ lệ thống trị của Bitcoin – chỉ số thể hiện phần trăm vốn hóa thị trường tiền điện tử thuộc về Bitcoin – đang tiếp tục tăng. Chỉ vài tuần trước,... ...

Ripple (XRP) đã chứng kiến đà giảm mạnh trong những ngày gần đây khi Bitcoin (BTC) buộc phải rút lui khỏi mốc 119.800 USD. Tính từ thứ Hai, ngày 28/7, giá BTC đã giảm 5%, trong khi XRP giảm tới 13,6%. Một trong những tín hiệu đáng lo ngại là... ...

Sau khởi đầu đầy biến động trong tháng 8 với làn sóng thanh lý mạnh và tâm lý hoang mang lan rộng, thị trường tiền điện tử đang bước vào giai đoạn then chốt với hàng loạt sự kiện có thể định hình xu hướng sắp tới. Lạm phát dẫn... ...

Giá XRP đã mở đầu tháng 8 với mức tăng hai chữ số, nâng tổng mức tăng trong năm lên tới 420%. Tuy nhiên, theo nhiều chuyên gia thị trường crypto và các nhà phân tích altcoin, đà tăng này vẫn chưa dừng lại – XRP hoàn toàn có thể... ...

Thị trường crypto vừa trải qua làn sóng thanh lý khốc liệt kéo dài 48 giờ. Cả Bitcoin và Ethereum (ETH) đều ghi nhận mức sụt giảm mạnh về giá và hợp đồng mở (OI). Bán tháo trong hoảng loạn, các vị thế đòn bẩy bị quét sạch, cùng sự... ...

Việc Bitcoin nhanh chóng giảm xuống vùng 113.000 USD có thể khiến nhiều nhà đầu tư lo lắng. Tuy nhiên, dữ liệu từ thị trường giao ngay lại kể một câu chuyện hoàn toàn khác: đợt giảm này dường như đi kèm với sự can thiệp mạnh mẽ của dòng... ...

Tâm lý thị trường crypto vẫn duy trì sự lạc quan bất chấp những biến động giá gần đây. Đặc biệt, Ethereum (ETH) – đồng altcoin lớn nhất thị trường – đã tăng hơn 37% chỉ trong 30 ngày qua. Điều này đặt ra câu hỏi: Ai đang là những... ...

Sau nhiều tuần tích lũy trong biên độ hẹp, Bitcoin (BTC) đã bất ngờ giảm xuống dưới mốc quan trọng 115.000 USD, chạm mức thấp cục bộ quanh 112.200 USD. Động thái này đã tạo nên sự chia rẽ trong giới phân tích: một số người coi đây là đợt... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode