Le service de gestion de mots de passe populaire LastPass révélé dans un article du 23 décembre déclaration qu'il avait été victime d'un piratage majeur en août dernier. En conséquence, les malfaiteurs ont pu se frayer un chemin dans plusieurs mots de passe cryptés, qui pourraient potentiellement être déchiffrés grâce à une technique appelée "devinette par force brute", leur donnant accès à des données sensibles sur les consommateurs.
Lorsque l'incident a été révélé pour la première fois, un représentant de LastPass a tenté de balayer l'affaire, déclarant que l'attaquant ne pouvait obtenir que des informations techniques périphériques et non des données privées sur les clients. Cependant, après une longue enquête sur l'affaire, il a été découvert que le pirate avait utilisé les informations pour accéder à l'appareil d'un employé, ce qui a ensuite permis à l'individu d'accéder à une pléthore de données client stockées dans un système de stockage en nuage.
Pour cette raison, des métadonnées client non chiffrées ont été révélées à l'attaquant, y compris les noms d'employeur, les noms d'utilisateur final, les adresses de facturation, les adresses e-mail, les numéros de téléphone et les adresses IP des clients qui avaient accédé à LastPass. Les coffres-forts chiffrés de certains clients contenant les mots de passe des sites Web ont également été volés.
Entrez Web3
L'exploitation de gestionnaires de mots de passe tels que LastPass a déclenché une affirmation de longue date parmi les développeurs Web3 selon laquelle les systèmes traditionnels de connexion par nom d'utilisateur et mot de passe ne sont pas entièrement sécurisés et, par conséquent, devraient être remplacés par des systèmes de confidentialité des données basés sur la blockchain.
Pour élaborer, les défenseurs des systèmes de sécurité Web3 ont noté à plusieurs reprises que les systèmes de connexion traditionnels basés sur un mot de passe sont vulnérables car ils reposent sur des mots de passe hachés stockés sur des serveurs cloud. Si ces hachages sont violés, ils peuvent être décodés et un seul mot de passe volé peut compromettre tous les comptes qui utilisent le même mot de passe.
À cet égard, les applications Web3 comme PartagerRing offrent une solution alternative permettant aux utilisateurs d'accéder à une plate-forme décentralisée qui modifie la façon dont les données des individus - telles que les mots de passe - sont partagées entre diverses applications en ligne. L'offre permet aux utilisateurs de créer leurs identités personnelles décentralisées (DID), ce qui leur donne un contrôle total sur leurs données.
Pour élaborer, la nouvelle fonctionnalité à venir de ShareRing dans son module populaire ShareRing Vault permet aux utilisateurs de stocker des noms d'utilisateur et des mots de passe sans aucun risque. En fait, toutes les données stockées dans ce 'Gestionnaire de mots de passe' sont directement cryptées avec la clé privée ShareRing Vault de l'utilisateur au lieu d'être stockées sur le cloud. Par conséquent, il n'est accessible qu'au détenteur de l'ID ShareRing. Donnant son avis sur le piratage de LastPass, le PDG de ShareRing, Tim Bos opiné:
"La société a essayé de convaincre les clients que leurs informations de connexion sont sécurisées. Les experts en sécurité ne sont pas d'accord. Un article du chercheur en sécurité Wladimir Palant critique l'entreprise pour son manque de transparence. Il souligne que l'entreprise a longtemps ignoré les appels pour crypter des données telles que les URL, ce qui signifie qu'il est désormais difficile de faire confiance à l'entreprise à l'avenir. Il existe de nombreux problèmes de sécurité avec les gestionnaires de mots de passe basés sur le cloud tels que LastPass. L'un des problèmes les plus importants est l'endroit où les clés de chiffrement des utilisateurs sont stockées et la manière dont l'entreprise sécurise cet environnement.
Regard vers l'avenir
S'il est facile de critiquer des projets comme LastPass, le fait est que les gestionnaires de mots de passe sont devenus extrêmement importants de nos jours. En effet, ils permettent aux utilisateurs de se souvenir de mots de passe extrêmement forts et uniques pour chaque détail de connexion qu'ils peuvent avoir.
Cependant, avec l'augmentation des problèmes de vol de mots de passe et d'autres violations de données similaires, il est important d'exploiter la puissance des nouvelles solutions Web3 qui sont capables de garder les informations des consommateurs en toute sécurité grâce à leurs cadres de conception/opérationnels non locaux. À ce stade, le gestionnaire de mots de passe de ShareRing fonctionne sur les applications Web2 et Web3 tout en tirant parti du stockage décentralisé pour sécuriser à 100 % les informations de ses utilisateurs.
Par conséquent, alors que nous nous dirigeons vers un avenir guidé par les technologies Web3, il est de la plus haute importance que les individus du monde entier continuent de se renseigner sur les inconvénients du stockage de leurs données sensibles sur des serveurs centralisés, leur permettant ainsi d'exploiter le potentiel de l'écosystème blockchain. vraiment.
Source : https://zycrypto.com/the-recent-lastpass-hack-showcases-web2s-security-limitations-heres-what-needs-to-change/