Dịch vụ quản lý mật khẩu LastPass đã bị tấn công vào tháng 8 năm 2022 và kẻ tấn công đã đánh cắp mật khẩu được mã hóa của người dùng, theo tuyên bố ngày 23 tháng 12 của công ty. Điều này có nghĩa là kẻ tấn công có thể bẻ khóa một số mật khẩu trang web của người dùng LastPass thông qua đoán mò.
Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8 năm 2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được mã nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện ra rằng kẻ tấn công đã sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó thiết bị này được sử dụng để lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.
Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.
Ngoài ra, một số kho tiền mã hóa của khách hàng đã bị đánh cắp. Các kho tiền này chứa mật khẩu trang web mà mỗi người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho tiền được mã hóa bằng Mật khẩu chính, điều này sẽ ngăn kẻ tấn công đọc được chúng.
Mặc dù vậy, LastPass thừa nhận rằng nếu khách hàng đã sử dụng Mật khẩu chủ yếu, kẻ tấn công có thể sử dụng vũ lực để đoán mật khẩu này, cho phép họ giải mã kho tiền và lấy tất cả mật khẩu trang web của khách hàng.
Theo những người ủng hộ đăng nhập ví tiền điện tử, thông tin đăng nhập mật khẩu truyền thống về cơ bản là không an toàn vì chúng yêu cầu mã băm của mật khẩu phải được lưu giữ trên máy chủ đám mây. Nếu những giá trị băm này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng dựa vào cùng một mật khẩu cho nhiều trang web, thì một mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các mật khẩu khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.
Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những thứ này cũng dựa vào các dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.
Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.
Một ví dụ về trang đăng nhập ví tiền điện tử. Nguồn: Trò chuyện Blockscan
Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.
Tuy nhiên, một Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp một tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.
Nếu tiêu chuẩn này được chấp thuận và triển khai bởi ngành công nghiệp Web3, những người ủng hộ nó hy vọng rằng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.
Lần đầu tiên LastPass tiết lộ vụ vi phạm vào tháng 8 năm 2022 nhưng vào thời điểm đó, có vẻ như kẻ tấn công chỉ lấy được mã nguồn và thông tin kỹ thuật chứ không lấy được bất kỳ dữ liệu nào của khách hàng. Tuy nhiên, công ty đã điều tra và phát hiện ra rằng kẻ tấn công đã sử dụng thông tin kỹ thuật này để tấn công thiết bị của một nhân viên khác, sau đó thiết bị này được sử dụng để lấy khóa dữ liệu khách hàng được lưu trữ trong hệ thống lưu trữ đám mây.
Do đó, siêu dữ liệu khách hàng không được mã hóa đã bị tiết lộ cho kẻ tấn công, bao gồm “tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng đã truy cập dịch vụ LastPass”.
Ngoài ra, một số kho tiền mã hóa của khách hàng đã bị đánh cắp. Các kho tiền này chứa mật khẩu trang web mà mỗi người dùng lưu trữ bằng dịch vụ LastPass. May mắn thay, các kho tiền được mã hóa bằng Mật khẩu chính, điều này sẽ ngăn kẻ tấn công đọc được chúng.
Mặc dù vậy, LastPass thừa nhận rằng nếu khách hàng đã sử dụng Mật khẩu chủ yếu, kẻ tấn công có thể sử dụng vũ lực để đoán mật khẩu này, cho phép họ giải mã kho tiền và lấy tất cả mật khẩu trang web của khách hàng.
Có thể loại bỏ các vụ hack trình quản lý mật khẩu bằng Web3 không?
Khai thác LastPass minh họa cho một tuyên bố mà các nhà phát triển Web3 đã đưa ra trong nhiều năm: rằng hệ thống đăng nhập tên người dùng và mật khẩu truyền thống cần phải được loại bỏ để ưu tiên đăng nhập ví blockchain.Theo những người ủng hộ đăng nhập ví tiền điện tử, thông tin đăng nhập mật khẩu truyền thống về cơ bản là không an toàn vì chúng yêu cầu mã băm của mật khẩu phải được lưu giữ trên máy chủ đám mây. Nếu những giá trị băm này bị đánh cắp, chúng có thể bị bẻ khóa. Ngoài ra, nếu người dùng dựa vào cùng một mật khẩu cho nhiều trang web, thì một mật khẩu bị đánh cắp có thể dẫn đến vi phạm tất cả các mật khẩu khác. Mặt khác, hầu hết người dùng không thể nhớ nhiều mật khẩu cho các trang web khác nhau.
Để giải quyết vấn đề này, các dịch vụ quản lý mật khẩu như LastPass đã được phát minh. Nhưng những thứ này cũng dựa vào các dịch vụ đám mây để lưu trữ các kho mật khẩu được mã hóa. Nếu kẻ tấn công lấy được kho mật khẩu từ dịch vụ quản lý mật khẩu, chúng có thể bẻ khóa kho và lấy được tất cả mật khẩu của người dùng.
Các ứng dụng Web3 giải quyết vấn đề theo một cách khác. Họ sử dụng các ví tiện ích mở rộng của trình duyệt như Metamask hoặc Trustwallet để đăng nhập bằng chữ ký mã hóa, loại bỏ nhu cầu lưu trữ mật khẩu trên đám mây.
Nhưng cho đến nay, phương pháp này chỉ được chuẩn hóa cho các ứng dụng phi tập trung. Các ứng dụng truyền thống yêu cầu máy chủ trung tâm hiện không có tiêu chuẩn thống nhất về cách sử dụng ví tiền điện tử để đăng nhập.
Tuy nhiên, một Đề xuất cải tiến Ethereum (EIP) gần đây nhằm mục đích khắc phục tình trạng này. Được gọi là “EIP-4361”, đề xuất cố gắng cung cấp một tiêu chuẩn chung cho thông tin đăng nhập web hoạt động cho cả ứng dụng tập trung và phi tập trung.
Nếu tiêu chuẩn này được chấp thuận và triển khai bởi ngành công nghiệp Web3, những người ủng hộ nó hy vọng rằng toàn bộ web trên toàn thế giới cuối cùng sẽ loại bỏ hoàn toàn thông tin đăng nhập bằng mật khẩu, loại bỏ nguy cơ vi phạm trình quản lý mật khẩu như đã xảy ra ở LastPass.
Có thể bạn sẽ thích