पासवर्ड प्रबंधन सेवा लास्टपास को अगस्त 2022 में हैक कर लिया गया था और हमलावर ने कंपनी के 23 दिसंबर के बयान के अनुसार उपयोगकर्ताओं के एन्क्रिप्टेड पासवर्ड चुरा लिए थे। इसका मतलब यह है कि हमलावर क्रूर बल अनुमान के माध्यम से लास्टपास उपयोगकर्ताओं के कुछ वेबसाइट पासवर्ड को क्रैक करने में सक्षम हो सकता है।
हालिया सुरक्षा घटना की सूचना - द लास्टपास ब्लॉग#लास्टपासहैक #हैक #लास्ट पास #इन्फोसेक https://t.co/sQALfnpOTy
- थॉमस ज़िकेल (@thomaszickell) दिसम्बर 23/2022
LastPass ने पहली बार अगस्त 2022 में उल्लंघन का खुलासा किया था, लेकिन उस समय, ऐसा प्रतीत हुआ कि हमलावर ने केवल स्रोत कोड और तकनीकी जानकारी प्राप्त की थी, कोई ग्राहक डेटा नहीं। हालांकि, कंपनी ने जांच की और पता चला कि हमलावर ने इस तकनीकी जानकारी का उपयोग किसी अन्य कर्मचारी के डिवाइस पर हमला करने के लिए किया था, जिसका उपयोग क्लाउड स्टोरेज सिस्टम में संग्रहीत ग्राहक डेटा की कुंजी प्राप्त करने के लिए किया गया था।
परिणामस्वरूप, अनएन्क्रिप्टेड ग्राहक मेटाडेटा किया गया है प्रकट हमलावर के लिए, "कंपनी के नाम, अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन नंबर और आईपी पते, जिनसे ग्राहक लास्टपास सेवा तक पहुंच बना रहे थे।"
इसके अलावा, कुछ ग्राहकों के एन्क्रिप्टेड वॉल्ट चोरी हो गए। इन वाल्टों में वे वेबसाइट पासवर्ड होते हैं जिन्हें प्रत्येक उपयोगकर्ता LastPass सेवा के साथ संग्रहीत करता है। सौभाग्य से, वाल्टों को एक मास्टर पासवर्ड के साथ एन्क्रिप्ट किया गया है, जो हमलावर को उन्हें पढ़ने में सक्षम होने से रोकना चाहिए।
लास्टपास के बयान पर जोर दिया गया है कि सेवा अत्याधुनिक एन्क्रिप्शन का उपयोग करती है, जिससे किसी हमलावर के लिए मास्टर पासवर्ड जाने बिना वॉल्ट फ़ाइलों को पढ़ना बहुत मुश्किल हो जाता है:
“ये एन्क्रिप्टेड फ़ील्ड 256-बिट एईएस एन्क्रिप्शन के साथ सुरक्षित रहते हैं और केवल हमारे जीरो नॉलेज आर्किटेक्चर का उपयोग करके प्रत्येक उपयोगकर्ता के मास्टर पासवर्ड से प्राप्त एक अद्वितीय एन्क्रिप्शन कुंजी के साथ डिक्रिप्ट किए जा सकते हैं। एक रिमाइंडर के रूप में, मास्टर पासवर्ड लास्टपास के लिए कभी भी ज्ञात नहीं होता है और लास्टपास द्वारा संग्रहीत या बनाए रखा नहीं जाता है।
फिर भी, लास्टपास स्वीकार करता है कि यदि किसी ग्राहक ने कमजोर मास्टर पासवर्ड का उपयोग किया है, तो हमलावर इस पासवर्ड का अनुमान लगाने के लिए क्रूर बल का उपयोग करने में सक्षम हो सकता है, जिससे उन्हें वॉल्ट को डिक्रिप्ट करने और ग्राहकों के सभी वेबसाइट पासवर्ड प्राप्त करने की अनुमति मिलती है, जैसा कि लास्टपास बताता है:
"यह ध्यान रखना महत्वपूर्ण है कि यदि आपका मास्टर पासवर्ड [कंपनी द्वारा अनुशंसित सर्वोत्तम प्रथाओं] का उपयोग नहीं करता है, तो यह सही ढंग से अनुमान लगाने के लिए आवश्यक प्रयासों की संख्या को काफी कम कर देगा। इस मामले में, एक अतिरिक्त सुरक्षा उपाय के रूप में, आपको अपने द्वारा संग्रहित वेबसाइटों के पासवर्ड बदलकर जोखिम को कम करने पर विचार करना चाहिए।"
क्या पासवर्ड मैनेजर हैक को Web3 से खत्म किया जा सकता है?
लास्टपास एक्सप्लॉइट एक दावे को दर्शाता है जो वेब3 डेवलपर्स वर्षों से बना रहे हैं: कि पारंपरिक उपयोगकर्ता नाम और पासवर्ड लॉगिन सिस्टम को ब्लॉकचैन वॉलेट लॉगिन के पक्ष में समाप्त करने की आवश्यकता है।
के अधिवक्ताओं के अनुसार क्रिप्टो वॉलेट लॉगिन, पारंपरिक पासवर्ड लॉगिन मौलिक रूप से असुरक्षित हैं क्योंकि उन्हें क्लाउड सर्वर पर पासवर्ड के हैश की आवश्यकता होती है। अगर ये हैश चोरी हो जाते हैं, तो इन्हें क्रैक किया जा सकता है। इसके अलावा, यदि कोई उपयोगकर्ता एक से अधिक वेबसाइटों के लिए एक ही पासवर्ड पर निर्भर करता है, तो एक चुराया गया पासवर्ड अन्य सभी का उल्लंघन कर सकता है। दूसरी ओर, अधिकांश उपयोगकर्ता विभिन्न वेबसाइटों के लिए एक से अधिक पासवर्ड याद नहीं रख पाते हैं।
इस समस्या को हल करने के लिए लास्टपास जैसी पासवर्ड प्रबंधन सेवाओं का आविष्कार किया गया है। लेकिन ये एन्क्रिप्टेड पासवर्ड वॉल्ट को स्टोर करने के लिए क्लाउड सेवाओं पर भी निर्भर करते हैं। यदि कोई हमलावर पासवर्ड मैनेजर सेवा से पासवर्ड वॉल्ट प्राप्त करने में सफल हो जाता है, तो वे वॉल्ट को क्रैक करने और उपयोगकर्ता के सभी पासवर्ड प्राप्त करने में सक्षम हो सकते हैं।
Web3 एप्लिकेशन समस्या का समाधान करते हैं भिन्न प्रकार से। वे क्रिप्टोग्राफ़िक हस्ताक्षर का उपयोग करके साइन इन करने के लिए मेटामास्क या ट्रस्टवॉलेट जैसे ब्राउज़र एक्सटेंशन वॉलेट का उपयोग करते हैं, जिससे क्लाउड में पासवर्ड संग्रहीत करने की आवश्यकता समाप्त हो जाती है।
लेकिन अब तक, इस पद्धति को केवल विकेंद्रीकृत अनुप्रयोगों के लिए मानकीकृत किया गया है। पारंपरिक ऐप जिन्हें एक केंद्रीय सर्वर की आवश्यकता होती है, वर्तमान में लॉगिन के लिए क्रिप्टो वॉलेट का उपयोग करने के तरीके के लिए एक सहमत-मानक मानक नहीं है।
संबंधित: ग्राहक डेटा लीक करने के लिए फेसबुक पर 265M यूरो का जुर्माना लगाया गया है
हालाँकि, हाल ही में एथेरियम इम्प्रूवमेंट प्रपोजल (EIP) का उद्देश्य इस स्थिति को दूर करना है। "EIP-4361" कहा जाता है, प्रस्ताव प्रयास करता है प्रदान करना वेब लॉगिन के लिए एक सार्वभौमिक मानक जो केंद्रीकृत और विकेंद्रीकृत दोनों अनुप्रयोगों के लिए काम करता है।
यदि इस मानक पर सहमति व्यक्त की जाती है और वेब3 उद्योग द्वारा इसे लागू किया जाता है, तो इसके समर्थकों को उम्मीद है कि संपूर्ण विश्व व्यापी वेब को अंततः पासवर्ड लॉगिन से पूरी तरह से छुटकारा मिल जाएगा, जिससे पासवर्ड प्रबंधक उल्लंघनों का जोखिम समाप्त हो जाएगा, जैसा कि LastPass पर हुआ है।
स्रोत: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations