Kev tswj hwm tus password LastPass raug nyiag thaum Lub Yim Hli 2022, thiab tus neeg tawm tsam nyiag cov neeg siv cov ntaub ntawv zais zais, raws li tsab ntawv tshaj tawm Kaum Ob Hlis 23 los ntawm lub tuam txhab. Qhov no txhais tau hais tias tus neeg tawm tsam tuaj yeem tuaj yeem tawg qee lub vev xaib passwords ntawm LastPass cov neeg siv los ntawm brute force guessing.
Daim Ntawv Ceeb Toom Txog Kev Ruaj Ntseg Tsis ntev los no - LastPass Blog#lastpasshack #hack #lastpass #infosec cov https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) Hlis ntuj nqeg 23, 2022
LastPass thawj zaug tshaj tawm qhov ua txhaum cai thaum Lub Yim Hli 2022 tab sis lub sijhawm ntawd, nws tau tshwm sim tias tus neeg tawm tsam tsuas yog tau txais cov cai thiab cov ntaub ntawv xov xwm, tsis yog cov ntaub ntawv cov neeg siv khoom. Txawm li cas los xij, lub tuam txhab tau tshawb xyuas thiab pom tias tus neeg tawm tsam siv cov ntaub ntawv no los tawm tsam lwm tus neeg ua haujlwm lub cuab yeej, uas tau siv los muab cov yuam sij rau cov neeg siv khoom cov ntaub ntawv khaws cia hauv huab cia.
Yog li ntawd, unencrypted neeg siv metadata tau lawm qhia rau tus neeg tawm tsam, suav nrog "cov npe tuam txhab, cov npe siv kawg, chaw nyob them nqi, email chaw nyob, xov tooj, thiab IP chaw nyob los ntawm cov neeg siv khoom tau nkag mus rau LastPass kev pabcuam."
Tsis tas li ntawd, qee cov neeg siv khoom encrypted vaults raug nyiag lawm. Cov vaults no muaj lub vev xaib passwords uas txhua tus neeg siv khaws cia nrog LastPass kev pabcuam. Luckily, lub vaults tau encrypted nrog Master Password, uas yuav tsum tiv thaiv tus attacker tsis tau nyeem lawv.
Daim ntawv tshaj tawm los ntawm LastPass tau hais meej tias cov kev pabcuam siv lub xeev-ntawm-tus-kos duab encryption ua rau nws nyuaj heev rau tus neeg tawm tsam nyeem cov ntaub ntawv vault yam tsis paub Master Password, hais tias:
"Cov chaw encrypted no tseem muaj kev ruaj ntseg nrog 256-ntsis AES encryption thiab tsuas tuaj yeem decrypted nrog tus yuam sij encryption tshwj xeeb tau los ntawm txhua tus neeg siv tus password tus tswv siv peb Zero Knowledge architecture. Raws li kev ceeb toom, tus password tus tswv yeej tsis paub rau LastPass thiab tsis khaws lossis khaws cia los ntawm LastPass. "
Txawm li cas los xij, LastPass lees paub tias yog tias tus neeg siv khoom siv tus password tsis muaj zog, tus neeg tawm tsam tuaj yeem siv brute quab yuam los twv tus password no, tso cai rau lawv decrypt lub vault thiab tau txais tag nrho cov neeg siv khoom lub vev xaib passwords, raws li LastPass piav qhia:
"Nws yog ib qho tseem ceeb uas yuav tsum nco ntsoov tias yog tias koj tus password tus tswv tsis siv [cov kev coj ua zoo tshaj plaws uas lub tuam txhab pom zoo], ces nws yuav txo qis cov kev sim uas xav tau los twv nws kom raug. Hauv qhov no, raws li kev ntsuas kev nyab xeeb ntxiv, koj yuav tsum txiav txim siab txo qis kev pheej hmoo los ntawm kev hloov passwords ntawm cov vev xaib koj tau khaws cia. "
Tus neeg saib xyuas tus password puas tuaj yeem raug tshem tawm nrog Web3?
LastPass exploit qhia txog qhov kev thov uas Web3 cov neeg tsim khoom tau ua rau ntau xyoo: tias cov npe siv ib txwm siv thiab lo lus zais nkag yuav tsum tau muab pov tseg hauv kev pom zoo ntawm blockchain hnab nyiaj nkag.
Raws li cov neeg tawm tswv yim rau crypto hnab nyiaj nkag mus, kev nkag mus rau lo lus zais ib txwm muaj tsis muaj kev nyab xeeb vim tias lawv xav tau hashs ntawm tus password kom khaws cia ntawm huab servers. Yog tias cov hashs raug nyiag lawm, lawv tuaj yeem tawg. Tsis tas li ntawd, yog tias tus neeg siv tso siab rau tib lo lus zais rau ntau lub vev xaib, ib tus password raug nyiag tuaj yeem ua rau ua txhaum cai ntawm lwm tus. Ntawm qhov tod tes, cov neeg siv feem ntau tsis tuaj yeem nco qab ntau tus password rau ntau lub vev xaib.
Txhawm rau daws qhov teeb meem no, cov kev pabcuam tswj tus password zoo li LastPass tau tsim. Tab sis cov no kuj vam khom cov kev pabcuam huab los khaws cov ntaub ntawv zais password. Yog tias tus neeg tawm tsam tswj kom tau txais tus password vault los ntawm kev pabcuam tus neeg saib xyuas tus password, lawv tuaj yeem tawg lub vault thiab tau txais tag nrho cov neeg siv tus password.
Web3 daim ntawv thov daws qhov teeb meem nyob rau hauv ib txoj kev sib txawv. Lawv siv cov hnab nyiaj txuas ntxiv hauv browser xws li Metamask lossis Trustwallet los kos npe siv tus lej cim cryptographic, tshem tawm qhov xav tau rau tus password kom khaws cia hauv huab.
Tab sis txog tam sim no, txoj kev no tsuas yog tau ua qauv rau kev siv decentralized. Tsoos apps uas yuav tsum muaj lub hauv paus neeg rau zaub mov tam sim no tsis muaj qhov kev pom zoo raws li tus qauv rau kev siv crypto hnab nyiaj rau kev nkag.
Related: Facebook raug nplua 265M euros rau cov neeg siv khoom xau cov ntaub ntawv
Txawm li cas los xij, tsis ntev los no Ethereum Improvement Proposal (EIP) lub hom phiaj los kho qhov teeb meem no. Hu rau "EIP-4361," lub tswv yim sim ua muab tus txheej txheem thoob ntiaj teb rau kev nkag mus hauv lub vev xaib uas ua haujlwm rau ob qho tib si hauv nruab nrab thiab kev faib tawm.
Yog tias tus qauv no tau pom zoo thiab ua tiav los ntawm Web3 kev lag luam, nws cov neeg txhawb nqa cia siab tias tag nrho lub ntiaj teb thoob plaws lub vev xaib thaum kawg yuav tshem tawm cov password nkag rau tag nrho, tshem tawm cov kev pheej hmoo ntawm tus neeg saib xyuas tus password ua txhaum xws li qhov tau tshwm sim ntawm LastPass.
Tau qhov twg los: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations