Layanan manajemen kata sandi populer LastPass terungkap pada 23 Desember pernyataan bahwa itu telah menerima peretasan besar Agustus lalu. Akibatnya, penjahat dapat membuat jalan mereka ke beberapa kata sandi terenkripsi, yang berpotensi dapat dipecahkan melalui teknik yang disebut 'menebak dengan paksa', memberi mereka akses ke data konsumen yang sensitif.
Ketika insiden tersebut awalnya terungkap, perwakilan LastPass mencoba mengabaikan masalah tersebut, menyatakan bahwa penyerang hanya dapat memperoleh informasi teknis periferal dan bukan data pribadi pelanggan. Namun, setelah penyelidikan panjang atas masalah ini, diketahui bahwa peretas telah menggunakan info tersebut untuk mendapatkan akses ke perangkat karyawan, yang kemudian memberikan akses individu ke sejumlah besar data pelanggan yang disimpan dalam sistem penyimpanan cloud.
Karena itu, metadata klien yang tidak terenkripsi terungkap kepada penyerang, termasuk nama pemberi kerja, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP pelanggan yang telah mengakses LastPass. Beberapa brankas terenkripsi milik pelanggan yang berisi kata sandi situs web juga dicuri.
Masuk ke Web3
Eksploitasi pengelola kata sandi seperti LastPass telah memicu klaim lama di antara pengembang Web3 bahwa sistem login nama pengguna dan kata sandi tradisional tidak sepenuhnya aman dan, oleh karena itu, harus diganti dengan sistem privasi data berbasis blockchain.
Lebih jelasnya, pendukung sistem keamanan Web3 telah berulang kali mencatat bahwa sistem login berbasis kata sandi tradisional rentan karena mereka bergantung pada kode sandi hash yang disimpan di server cloud. Jika hash ini dilanggar, mereka dapat didekodekan, dan satu kata sandi yang dicuri dapat membahayakan semua akun yang menggunakan kata sandi yang sama.
Dalam hal ini, aplikasi Web3 suka ShareRing menawarkan solusi alternatif yang memungkinkan pengguna mengakses platform terdesentralisasi yang mengubah cara data individu — seperti kata sandi — dibagikan di berbagai aplikasi online. Penawaran ini memungkinkan pengguna untuk membuat identitas terdesentralisasi pribadi (DID), memberi mereka kendali penuh atas data mereka.
Lebih jelasnya, fitur baru ShareRing yang akan datang dalam modul ShareRing Vault yang populer memungkinkan orang untuk menyimpan nama pengguna dan kata sandi tanpa risiko apa pun. Faktanya, semua data yang disimpan di 'Pengelola Kata Sandi' ini langsung dienkripsi ke kunci pribadi Vault ShareRing pengguna alih-alih disimpan di cloud. Akibatnya, ini hanya dapat diakses oleh pemegang ID ShareRing. Memberikan pemikirannya tentang peretasan LastPass, CEO ShareRing Tim Bos berpendapat:
“Perusahaan telah mencoba meyakinkan pelanggan bahwa informasi login mereka aman. Pakar keamanan tidak setuju. Sebuah artikel oleh peneliti keamanan Wladimir Palant mengkritik perusahaan karena kurangnya transparansi. Dia menunjukkan perusahaan telah lama mengabaikan panggilan untuk mengenkripsi data seperti URL, yang berarti sekarang sulit untuk mempercayai perusahaan di masa mendatang. Ada banyak masalah keamanan dengan pengelola kata sandi berbasis cloud seperti LastPass. Salah satu masalah paling signifikan adalah di mana kunci enkripsi pengguna disimpan dan seberapa baik perusahaan mengamankan lingkungan ini.”
Menatap ke Depan
Meskipun mudah untuk mengkritik proyek seperti LastPass, faktanya tetap bahwa pengelola kata sandi telah menjadi sangat penting di zaman sekarang ini. Ini karena mereka memungkinkan pengguna untuk mengingat kata sandi yang sangat kuat dan unik untuk setiap detail login yang mungkin mereka miliki.
Namun, dengan meningkatnya masalah pencurian kata sandi dan pelanggaran data serupa lainnya, penting untuk memanfaatkan kekuatan solusi Web3 yang lebih baru yang mampu menjaga informasi konsumen benar-benar aman berkat kerangka kerja desain/operasional non-lokal mereka. Sampai saat ini, pengelola kata sandi ShareRing bekerja di aplikasi web2 dan web3 sambil memanfaatkan penyimpanan terdesentralisasi untuk menjaga keamanan informasi penggunanya 100%.
Oleh karena itu, saat kita menuju masa depan yang didorong oleh teknologi Web3, sangat penting bagi individu di seluruh dunia untuk terus mendidik diri mereka sendiri tentang kerugian menyimpan data sensitif mereka di server terpusat, sehingga memungkinkan mereka untuk memanfaatkan potensi ekosistem blockchain. sungguh-sungguh.
Sumber: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/