同社の 2022 月 23 日の声明によると、パスワード管理サービスの LastPass は XNUMX 年 XNUMX 月にハッキングされ、攻撃者はユーザーの暗号化されたパスワードを盗んだ。 これは、攻撃者がブルート フォース推測によって、LastPass ユーザーの Web サイト パスワードの一部をクラックできる可能性があることを意味します。
最近のセキュリティ インシデントの通知 – The LastPass ブログ#ラストパスハック #ハック #ラストパス #インフォセック https://t.co/sQALfnpOTy
— トーマス・ジッケル (@thomaszickell) 2022 年 12 月 23 日
LastPass は 2022 年 XNUMX 月に侵害を最初に開示しましたが、その時点では、攻撃者はソース コードと技術情報のみを取得しており、顧客データは取得していないように見えました。 しかし、同社が調査したところ、攻撃者がこの技術情報を使用して別の従業員のデバイスを攻撃し、クラウド ストレージ システムに保存されている顧客データのキーを取得するために使用されたことが判明しました。
その結果、暗号化されていない顧客メタデータが 明らかになった これには、「会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスしていた IP アドレス」が含まれます。
さらに、一部の顧客の暗号化されたボールトが盗まれました。 これらのボールトには、各ユーザーが LastPass サービスで保存する Web サイトのパスワードが含まれています。 幸いなことに、保管庫はマスター パスワードで暗号化されているため、攻撃者が保管庫を読み取ることはできません。
LastPass の声明では、サービスが最先端の暗号化を使用して、攻撃者がマスター パスワードを知らずにボールト ファイルを読み取ることを非常に困難にしていることを強調しており、次のように述べています。
「これらの暗号化されたフィールドは 256 ビットの AES 暗号化で保護されており、Zero Knowledge アーキテクチャを使用して各ユーザーのマスター パスワードから派生した一意の暗号化キーでのみ復号化できます。 なお、マスター パスワードは LastPass に知られることはなく、LastPass によって保存または維持されることはありません。」
それでも、LastPass は、顧客が脆弱なマスター パスワードを使用した場合、攻撃者がブルート フォースを使用してこのパスワードを推測できる可能性があることを認めており、LastPass が説明しているように、ボールトを解読して顧客のすべての Web サイト パスワードを取得することができます。
「マスターパスワードが[会社が推奨するベストプラクティス]を利用していない場合、正しく推測するために必要な試行回数が大幅に減少することに注意することが重要です. この場合、追加のセキュリティ対策として、保存した Web サイトのパスワードを変更してリスクを最小限に抑えることを検討する必要があります。」
パスワード マネージャーのハッキングは Web3 で排除できますか?
LastPass のエクスプロイトは、Web3 開発者が何年も前から行ってきた主張を示しています。つまり、従来のユーザー名とパスワードのログイン システムを破棄して、ブロックチェーン ウォレットのログインを支持する必要があるというものです。
の擁護者によると、 クリプトウォレットログイン、従来のパスワード ログインは、パスワードのハッシュをクラウド サーバーに保持する必要があるため、根本的に安全ではありません。 これらのハッシュが盗まれると、クラックされる可能性があります。 さらに、ユーザーが複数の Web サイトで同じパスワードを使用している場合、XNUMX つのパスワードが盗まれると、他のすべてのパスワードが侵害される可能性があります。 一方、ほとんどのユーザーは、さまざまな Web サイトの複数のパスワードを覚えることができません。
この問題を解決するために、LastPass などのパスワード管理サービスが発明されました。 しかし、これらはクラウド サービスに依存して、暗号化されたパスワード ボールトを保存します。 攻撃者がパスワード マネージャー サービスからパスワード ボールトを取得できた場合、ボールトをクラックしてユーザーのすべてのパスワードを取得できる可能性があります。
問題を解決する Web3 アプリケーション 別の方法で。 Metamask や Trustwallet などのブラウザ拡張ウォレットを使用して、暗号化署名を使用してサインインするため、パスワードをクラウドに保存する必要がなくなります。
しかし、これまでのところ、この方法は分散型アプリケーション向けにのみ標準化されています。 中央サーバーを必要とする従来のアプリには、現在、ログインに暗号ウォレットを使用する方法について合意された標準がありません。
関連する Facebookは顧客データ漏洩で265億XNUMX万ユーロの罰金を科される
しかし、最近の Ethereum Improvement Proposal (EIP) は、この状況を改善することを目的としています。 「EIP-4361」と呼ばれるこの提案は、 提供します 集中型アプリケーションと分散型アプリケーションの両方で機能する Web ログインの普遍的な標準です。
この標準が Web3 業界によって合意され、実装された場合、その支持者は最終的に全世界の Web からパスワード ログインが完全に取り除かれ、LastPass で発生したようなパスワード マネージャー違反のリスクが排除されることを望んでいます。
ソース: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations