Trang chủ Tạp chí Tin tức Scam -Hack Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Web2 phơi bày hạn chế sau khi LastPass bị hack dữ liệu

Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8/2022 và hacker đã đánh cắp mật khẩu được mã hóa của người dùng theo tuyên bố của công ty vào ngày 23/12. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.

Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8/2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được code nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện bọn chúng sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.

Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.

Ngoài ra, một số kho được mã hóa của khách hàng cũng bị đánh cắp. Các kho này chứa mật khẩu trang web mà người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho được mã hóa bằng Master Password, nên không thể đọc.

Tuyên bố từ LastPass nhấn mạnh dịch vụ sử dụng mã hóa hiện đại để khiến kẻ tấn công rất khó đọc các tệp kho nếu không biết Master Password.

“Các trường được mã hóa này vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ Master Password của mỗi người dùng bằng kiến trúc không kiến thức của chúng tôi. Xin nhắc lại, LastPass không thể biết Master Password và cũng không lưu trữ hoặc duy trì”.

Mặc dù vậy, LastPass thừa nhận nếu khách hàng sử dụng Master Password yếu, kẻ tấn công có thể sử dụng phương pháp thử để đoán mật khẩu này, cho phép họ giải mã kho và lấy được tất cả mật khẩu trang web của khách hàng.

“Điều quan trọng cần lưu ý là nếu Master Password của bạn không sử dụng các phương pháp tốt nhất mà công ty đề xuất thì sẽ giảm đáng kể số lần thử đoán chính xác. Trong trường hợp này, bạn nên xem xét giảm thiểu rủi ro bằng cách thay đổi mật khẩu của các trang web mà bạn đã lưu trữ như một biện pháp bảo mật bổ sung”.

thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?

Vụ tấn công khai thác LastPass là minh họa cho tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm gần đây: hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.

Theo những người ủng hộ đăng nhập bằng ví tiền điện tử, đăng nhập bằng mật khẩu truyền thống về cơ bản là không an toàn vì yêu cầu phải lưu giữ hash mật khẩu trên máy chủ đám mây. Nếu những hash này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng sử dụng cùng một mật khẩu cho nhiều trang web, thì mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các tài khoản khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.

Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những phần mềm này cũng dựa vào dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.

Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.

LastPass

Một ví dụ về trang đăng nhập ví tiền điện tử | Nguồn: Blockscan Chat

Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.

Tuy nhiên, Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.

Nếu tiêu chuẩn này được ngành công nghiệp Web3 chấp thuận và triển khai, những người ủng hộ hy vọng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Cointelegraph

MỚI CẬP NHẬT

altcoin

Altcoinbuzz: 4 altcoin nên hodl mãi mãi

Sự cường điệu về memecoin đang dần biến mất khi giao dịch trên Pump.fun đã giảm 94%. Nhiều người tỏ ra không ngạc nhiên...
Bitcoin

Fidelity: Bitcoin đang chuẩn bị cho chặng tiếp theo của “giai đoạn tăng tốc”

Một báo cáo gần đây của Fidelity Digital Assets đã đặt câu hỏi liệu giá Bitcoin đã thiết lập blow-off top (đỉnh suy thoái...
SIR.trading

SIR.trading cầu xin hacker trả lại 255.000 đô la

Nhà sáng lập giao thức DeFi SIR.trading bị hack gần đây đã đưa ra lời khẩn cầu đầy cảm xúc gửi tới kẻ tấn...
Bitcoin

Chính phủ Hoa Kỳ sẽ hoàn tất kiểm toán kho Bitcoin vào ngày 5/4

Bộ Ngân khố Hoa Kỳ và các cơ quan liên bang khác dự kiến ​​sẽ công bố lượng Bitcoin và các loại tiền điện...
Liệu PI có thể phục hồi sau mức giảm 68% gần đây không?

Liệu PI có thể phục hồi sau mức giảm 68% gần đây không?

Pi Network (PI) đang chịu tác động nặng nề từ xu hướng giảm giá chung của thị trường tiền điện tử. Với định giá...

Ngày giải phóng của Trump là gì? Tại sao nó quan trọng đối với...

Ngày 2 tháng 4 năm 2025, Tổng thống Donald Trump sẽ thực hiện một loạt các mức thuế nhập khẩu, được gọi là "Ngày...
mở khóa lãi suất stablecoin để tiếp cận tài chính công bằng

Brian Armstrong kêu gọi thay đổi luật để cho phép người nắm giữ stablecoin...

Brian Armstrong, CEO của Coinbase, đang kêu gọi thay đổi luật pháp tại Hoa Kỳ để cho phép những người nắm giữ stablecoin kiếm...

Bitcoin vượt trội vàng và S&P 500 kể từ Ngày Bầu cử dù giảm...

Mặc dù Bitcoin (BTC) giảm gần 12% trong quý đầu năm xuống còn 82.683 USD giữa sự bất ổn của thị trường, nó vẫn...
Gemini

Người dùng Gemini nhận được email thông báo phá sản vào ngày cá tháng...

Một cảnh báo đang được lan truyền trong cộng đồng crypto khi xuất hiện nhiều email lừa đảo thông báo sàn Gemini đã nộp...
Gia đình Trump bị cáo buộc nhận được phần lớn doanh thu của WLFI

Gia đình Trump bị cáo buộc nhận được phần lớn doanh thu của WLFI

Một báo cáo mới đây cho thấy Tổng thống Trump và gia đình ông đang trực tiếp nhận phần lớn doanh thu từ dự...

Funding rate XRP chuyển sang âm – Trader thông minh sẽ Long hay Short?

Vào ngày 19 tháng 3, CEO của Ripple, Brad Garlinghouse, thông báo rằng công ty đã được Ủy ban Chứng khoán và Giao dịch...

Viện Chính sách Solana sẽ vận động hành lang cho SOL tại Mỹ

Viện Chính sách Solana (Solana Policy Institute - SPI), một tổ chức phi lợi nhuận, phi đảng phái, được thành lập vào ngày 31...
xrp-giam

XRP vật lộn giữ hỗ trợ quan trọng giữa áp lực bán mạnh

XRP đã chứng kiến một đợt sụt giảm mạnh trong những biến động giá gần đây, mất gần 15% giá trị trong tuần qua...

4 số liệu quan trọng của Bitcoin cho thấy $80.000 là mức giá hời

Giá Bitcoin giảm từ $87.241 xuống $81.331 trong khoảng thời gian từ ngày 28 tháng 3 đến ngày 31 tháng 3, xóa bỏ đà...
Metaplanet phát hành trái phiếu trị giá 13 triệu đô la để tăng cường dự trữ Bitcoin

Metaplanet phát hành trái phiếu trị giá 13 triệu đô la để tăng cường...

Metaplanet Inc., công ty niêm yết công khai tại Nhật Bản, đã chính thức thông báo vào ngày 31 tháng 3 về kế hoạch...
ADA

Cá voi ADA chạm mức thấp nhất trong hai năm khi mức hỗ trợ...

Cardano (ADA) đang phải đối mặt với áp lực gia tăng khi giá ADA giảm gần 10% trong 7 ngày qua, tiếp tục xu...