회사의 2022월 23일 성명에 따르면 암호 관리 서비스 LastPass는 XNUMX년 XNUMX월에 해킹을 당했으며 공격자는 사용자의 암호화된 암호를 훔쳤습니다. 이는 공격자가 무작위 대입 추측을 통해 LastPass 사용자의 일부 웹사이트 암호를 해독할 수 있음을 의미합니다.
최근 보안 사고 공지 – The LastPass Blog#lastpasshack #마구 자르기 #마지막패스 #인포섹 https://t.co/sQALfnpOTy
— 토마스 지켈(@thomaszickell) 2022 년 12 월 23 일
LastPass는 2022년 XNUMX월에 위반 사항을 처음 공개했지만 당시 공격자는 고객 데이터가 아닌 소스 코드와 기술 정보만 얻은 것으로 나타났습니다. 그러나 회사는 공격자가 이 기술 정보를 사용하여 다른 직원의 장치를 공격한 다음 클라우드 스토리지 시스템에 저장된 고객 데이터에 대한 키를 얻는 데 사용되었음을 조사하고 발견했습니다.
그 결과 암호화되지 않은 고객 메타데이터가 공개 공격자에게 "회사 이름, 최종 사용자 이름, 청구 주소, 이메일 주소, 전화번호 및 고객이 LastPass 서비스에 액세스하는 IP 주소"를 포함합니다.
또한 일부 고객의 암호화된 볼트가 도난당했습니다. 이 볼트에는 각 사용자가 LastPass 서비스와 함께 저장하는 웹사이트 암호가 포함되어 있습니다. 다행스럽게도 금고는 공격자가 읽을 수 없도록 마스터 암호로 암호화되어 있습니다.
LastPass의 성명서는 서비스가 최첨단 암호화를 사용하여 공격자가 마스터 암호를 모르고 볼트 파일을 읽는 것을 매우 어렵게 만든다고 강조합니다.
“이러한 암호화된 필드는 256비트 AES 암호화로 보안이 유지되며 Zero Knowledge 아키텍처를 사용하여 각 사용자의 마스터 암호에서 파생된 고유한 암호화 키로만 해독할 수 있습니다. 참고로 마스터 암호는 LastPass에 알려지지 않으며 LastPass에 의해 저장되거나 유지되지 않습니다.”
그럼에도 불구하고 LastPass는 고객이 취약한 마스터 암호를 사용한 경우 공격자가 무차별 대입을 사용하여 이 암호를 추측할 수 있음을 인정하고 LastPass는 다음과 같이 설명합니다.
“마스터 암호가 [회사에서 권장하는 모범 사례]를 사용하지 않으면 암호를 올바르게 추측하는 데 필요한 시도 횟수가 크게 줄어듭니다. 이 경우 추가 보안 조치로 저장한 웹 사이트의 비밀번호를 변경하여 위험을 최소화하는 것이 좋습니다.”
Web3로 암호 관리자 해킹을 제거할 수 있습니까?
LastPass 익스플로잇은 Web3 개발자가 수년 동안 주장해 온 주장을 보여줍니다.
지지자들에 따르면 암호 지갑 로그인, 기존 암호 로그인은 클라우드 서버에 암호 해시를 보관해야 하기 때문에 근본적으로 안전하지 않습니다. 이러한 해시가 도난당하면 크랙될 수 있습니다. 또한 사용자가 여러 웹사이트에서 동일한 암호를 사용하는 경우 하나의 암호를 도난당하면 다른 모든 암호가 침해될 수 있습니다. 반면에 대부분의 사용자는 여러 웹사이트의 여러 비밀번호를 기억하지 못합니다.
이 문제를 해결하기 위해 LastPass와 같은 암호 관리 서비스가 발명되었습니다. 그러나 이들은 또한 암호화된 암호 저장소를 저장하기 위해 클라우드 서비스에 의존합니다. 공격자가 암호 관리자 서비스에서 암호 저장소를 획득한 경우 저장소를 크랙하고 사용자의 모든 암호를 얻을 수 있습니다.
Web3 애플리케이션이 문제를 해결합니다. 다른 방법으로. Metamask 또는 Trustwallet과 같은 브라우저 확장 지갑을 사용하여 암호화 서명을 사용하여 로그인하므로 암호를 클라우드에 저장할 필요가 없습니다.
그러나 지금까지 이 방법은 분산 응용 프로그램에 대해서만 표준화되었습니다. 중앙 서버가 필요한 기존 앱에는 현재 로그인에 암호화 지갑을 사용하는 방법에 대한 합의된 표준이 없습니다.
관련 : 페이스북, 고객 데이터 유출로 265억XNUMX만 유로 벌금
그러나 최근 EIP(Ethereum Improvement Proposal)는 이러한 상황을 해결하는 것을 목표로 합니다. "EIP-4361"이라고 하는 이 제안서는 다음을 시도합니다. 제공 중앙 집중식 및 분산식 응용 프로그램 모두에서 작동하는 웹 로그인을 위한 범용 표준입니다.
이 표준이 Web3 업계에서 동의하고 구현되면 지지자들은 결국 전체 월드 와이드 웹이 암호 로그인을 완전히 제거하여 LastPass에서 발생한 것과 같은 암호 관리자 위반의 위험을 제거하기를 희망합니다.
출처: https://cointelegraph.com/news/lastpass-attacker-stole-password-vault-data-showing-web2-s-limitations