टेक

हाल ही का लास्टपास हैक वेब2 की सुरक्षा सीमाओं को प्रदर्शित करता है... यहां जानिए क्या बदलने की जरूरत है

02/22/2023
बिटकॉइन एथेरियम समाचार

The Recent LastPass hack showcases Web2’s security limitations… Here’s what needs to change

विज्ञापन


 

 

लोकप्रिय पासवर्ड प्रबंधन सेवा लास्टपास का खुलासा 23 दिसंबर को हुआ कथन कि यह पिछले अगस्त में एक बड़े हैक का शिकार हुआ था। नतीजतन, बदमाश कई एन्क्रिप्टेड पासवर्ड में अपना रास्ता बनाने में सक्षम थे, जो संभावित रूप से संवेदनशील उपभोक्ता डेटा तक पहुंच प्रदान करते हुए 'ब्रूट फ़ोर्स गेसिंग' नामक तकनीक के माध्यम से क्रैक किया जा सकता था।

छवि

जब घटना शुरू में सामने आई, लास्टपास के एक प्रतिनिधि ने यह कहते हुए मामले को खत्म करने की कोशिश की कि हमलावर केवल परिधीय तकनीकी जानकारी प्राप्त कर सकता है और कोई निजी ग्राहक डेटा नहीं। हालांकि, इस मामले की एक लंबी जांच के बाद, यह पता चला कि हैकर ने एक कर्मचारी के उपकरण तक पहुंच प्राप्त करने के लिए जानकारी का उपयोग किया था, जो बाद में क्लाउड स्टोरेज सिस्टम में संग्रहीत ग्राहक डेटा के ढेरों तक पहुंच प्रदान करता था।

इसके कारण, अनएन्क्रिप्टेड क्लाइंट मेटाडेटा को हमलावर के सामने प्रकट किया गया, जिसमें नियोक्ता के नाम, अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन नंबर और उन ग्राहकों के आईपी पते शामिल थे, जिन्होंने लास्टपास तक पहुंच बनाई थी। कुछ ग्राहकों के वेबसाइट पासवर्ड वाले एन्क्रिप्टेड वॉल्ट भी चोरी हो गए।

वेब3 दर्ज करें

लास्टपास जैसे पासवर्ड प्रबंधकों के शोषण ने Web3 डेवलपर्स के बीच लंबे समय से दावा किया है कि पारंपरिक उपयोगकर्ता नाम और पासवर्ड लॉगिन सिस्टम पूरी तरह से सुरक्षित नहीं हैं और इसलिए, ब्लॉकचैन-आधारित डेटा गोपनीयता सिस्टम द्वारा प्रतिस्थापित किया जाना चाहिए।

विस्तृत करने के लिए, Web3 सुरक्षा प्रणालियों के अधिवक्ताओं ने बार-बार नोट किया है कि पारंपरिक पासवर्ड-आधारित लॉगिन सिस्टम असुरक्षित हैं क्योंकि वे क्लाउड सर्वर पर संग्रहीत हैश किए गए पासकोड पर निर्भर हैं। यदि इन हैश का उल्लंघन किया जाता है, तो उन्हें डिकोड किया जा सकता है, और एक चोरी किया गया पासवर्ड एक ही पासवर्ड का उपयोग करने वाले सभी खातों से समझौता कर सकता है।

विज्ञापन


 

 

इस संबंध में, Web3 अनुप्रयोगों की तरह ShareRing एक वैकल्पिक समाधान प्रदान करें जो उपयोगकर्ताओं को एक विकेंद्रीकृत प्लेटफ़ॉर्म तक पहुंचने की अनुमति देता है जो बदलता है कि कैसे व्यक्तियों का डेटा - जैसे पासवर्ड - विभिन्न ऑनलाइन अनुप्रयोगों में साझा किया जाता है। यह पेशकश उपयोगकर्ताओं को अपनी व्यक्तिगत विकेन्द्रीकृत पहचान (डीआईडी) के साथ आने की अनुमति देती है, जिससे उन्हें अपने डेटा पर पूर्ण नियंत्रण मिलता है।

विस्तृत करने के लिए, ShareRing की आगामी नई सुविधा इसके लोकप्रिय ShareRing Vault मॉड्यूल के भीतर लोगों को बिना किसी जोखिम के उपयोगकर्ता नाम और पासवर्ड संग्रहीत करने की अनुमति देती है। वास्तव में, इस 'पासवर्ड मैनेजर' में संग्रहीत सभी डेटा को क्लाउड पर संग्रहीत करने के बजाय सीधे उपयोगकर्ता की शेयररिंग वॉल्ट निजी कुंजी में एन्क्रिप्ट किया जाता है। नतीजतन, यह केवल शेयररिंग आईडी धारक के लिए सुलभ है। लास्टपास हैक पर अपने विचार देते हुए, शेयररिंग के सीईओ टिम बोस मत था:

“कंपनी ने ग्राहकों को समझाने की कोशिश की है कि उनकी लॉगिन जानकारी सुरक्षित है। सुरक्षा विशेषज्ञ असहमत हैं। सुरक्षा शोधकर्ता व्लादिमिर पलंत का एक लेख पारदर्शिता की कमी के लिए कंपनी की आलोचना करता है। वह बताते हैं कि कंपनी ने लंबे समय से URL जैसे डेटा को एन्क्रिप्ट करने के लिए कॉल की अनदेखी की है, जिसका अर्थ है कि अब आगे बढ़ने वाली फर्म पर भरोसा करना मुश्किल है। लास्टपास जैसे क्लाउड-आधारित पासवर्ड प्रबंधकों के साथ कई सुरक्षा मुद्दे हैं। सबसे महत्वपूर्ण मुद्दों में से एक यह है कि उपयोगकर्ताओं की एन्क्रिप्शन कुंजियाँ कहाँ संग्रहीत की जाती हैं और फर्म इस वातावरण को कितनी अच्छी तरह से सुरक्षित करती है।

आगे देख रहे हैं

हालांकि लास्टपास जैसी परियोजनाओं की आलोचना करना आसान है, तथ्य यह है कि पासवर्ड मैनेजर आज के दिन और उम्र में बेहद महत्वपूर्ण हो गए हैं। ऐसा इसलिए है क्योंकि वे उपयोगकर्ताओं को उनके पास मौजूद हर लॉगिन विवरण के लिए बेहद मजबूत और अद्वितीय पासवर्ड याद रखने की अनुमति देते हैं।

हालाँकि, पासवर्ड चोरी और अन्य समान डेटा उल्लंघनों के बढ़ने के मुद्दों के साथ, नए वेब3 समाधानों की शक्ति का उपयोग करना महत्वपूर्ण है जो उपभोक्ता जानकारी को अपने गैर-स्थानीय डिज़ाइन/ऑपरेशनल फ्रेमवर्क के लिए पूरी तरह से सुरक्षित रखने में सक्षम हैं। अब तक, ShareRing का पासवर्ड मैनेजर अपने उपयोगकर्ताओं की जानकारी को 2% सुरक्षित रखने के लिए विकेंद्रीकृत स्टोरेज का लाभ उठाते हुए वेब3 और वेब100 एप्लिकेशन पर काम करता है। 

इसलिए, जैसा कि हम वेब3 प्रौद्योगिकियों द्वारा संचालित भविष्य की ओर बढ़ रहे हैं, यह अत्यंत महत्वपूर्ण है कि दुनिया भर के लोग अपने संवेदनशील डेटा को केंद्रीकृत सर्वर पर संग्रहीत करने के नकारात्मक पक्ष के बारे में खुद को शिक्षित करते रहें, इस प्रकार उन्हें ब्लॉकचेन पारिस्थितिकी तंत्र की क्षमता का उपयोग करने की अनुमति मिलती है। सही मायने में।

स्रोत: https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/