Gdzie hasła mają być bezpieczne? Jedną z najpopularniejszych odpowiedzi na to pytanie jest: w menedżerze haseł. A jednym z najpopularniejszych jest LastPass. Aplikacja została jednak zhakowana w sierpniu 2022 r. Firma dopiero teraz, dokładnie 23 grudnia, wydała oświadczenie na temat incydentu.

Atakujący ukradł zaszyfrowane hasła użytkowników. Oznacza to, że cyberprzestępca może być w stanie złamać niektóre hasła do witryn internetowych użytkowników LastPass poprzez zgadywanie ich metodą brute-force.

LastPass tłumaczy, że wydawało mu się, że w sierpniu 2022 r. atakujący uzyskał jedynie kod źródłowy i informacje techniczne, a nie dane klientów. Jednak firma zbadała i odkryła, że haker wykorzystał te informacje techniczne do zaatakowania urządzenia innego pracownika, polegając na starym poczciwym phishingu. Pracownik następnie udostępnił odpowiednie dane hakerowi, a ten wykorzystał je do pozyskania kluczy do danych klientów przechowywanych w systemie pamięci masowej w chmurze.

W rezultacie atakującemu udało się zdobyć niezaszyfrowane metadane klientów, w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass.

Ponadto skradziono zaszyfrowane skarbce niektórych klientów. Te skarbce zawierają hasła do stron internetowych, które każdy użytkownik przechowuje w usłudze LastPass. Na szczęście skarbce są zaszyfrowane hasłem głównym (master password), co powinno uniemożliwić atakującemu ich odczytanie.

LastPass wydało oświadczenie

W oświadczeniu LastPass podkreśla się, że usługa wykorzystuje najnowocześniejsze szyfrowanie, aby bardzo utrudnić atakującemu odczytanie plików ze skarbców bez znajomości hasła głównego. Czytamy w nim: "Te zaszyfrowane pola pozostają zabezpieczone 256-bitowym szyfrowaniem AES i można je odszyfrować tylko za pomocą unikalnego klucza szyfrującego uzyskanego z hasła głównego każdego użytkownika, przy użyciu naszej architektury Zero Knowledge. Przypominamy, że hasło główne nigdy nie jest znane LastPass i nie jest przechowywane ani utrzymywane przez LastPass".

Mimo to LastPass przyznaje, że jeśli klient użył słabego hasła głównego, osoba atakująca może użyć metody brute-force, aby odgadnąć to hasło. To pozwoli jej odszyfrować skarbiec i uzyskać wszystkie hasła do witryn klientów.

Czy Web3 zapewni lepsze standardy bezpieczeństwa?

Fani Web3 od lat przekonują, że tradycyjny system logowania za pomocą nazwy użytkownika i hasła należy odrzucić na rzecz logowania do portfela blockchain. Dlaczego? Przekonują, że logowanie kryptograficzne, wykorzystujące rozszerzenia do przeglądarek (popularny portfel to MetaMask i Trustwallet), loguje się przy użyciu podpisu kryptograficznego. To eliminuje potrzebę przechowywania hasła w chmurze danego usługodawcy.

Metody Web3 są jednak stosowane, póki co, tylko w aplikacjach zdecentralizowanych. Tradycyjne aplikacje, które wymagają centralnego serwera, nie mają obecnie uzgodnionego standardu dla używania portfeli kryptograficznych do logowania.

Trwają jednak odpowiednie prace. Najnowsza propozycja Ethereum, o oznaczeniu EIP-4361, dotyczy właśnie tego - ma celu zapewnienie uniwersalnego standardu logowania do sieci, który działa zarówno w przypadku aplikacji scentralizowanych, jak i zdecentralizowanych. Jeśli ten standard zostanie wdrożony przez branżę Web3, jego zwolennicy mają nadzieję, że cała światowa sieć ostatecznie całkowicie pozbędzie się logowania za pomocą hasła. W ten sposób udałoby się wyeliminować ryzyko naruszeń menedżera haseł, takich jak to, które miało miejsce w LastPass.