密码管理神器 LastPass 在 2022 年 8 月遭到黑客攻击，据公司 12 月 23 日的声明，黑客窃取了用户的加密密码。这意味着黑客可能会通过暴力破解猜测来破解 LastPass 用户的一些网站密码。

最新安全事件通知 - LastPass 博客#lastpasshack #hack #lastpass #infosec https://t.co/sQALfnpOTy

LastPass 首次在 2022 年 8 月披露此次违规，但当时看起来攻击者只获得了源代码和技术信息，没有获取任何客户数据。然而，公司经过调查发现，攻击者利用这些技术信息攻击了另一名员工的设备，然后使用该设备获取了存储在云存储系统中的客户数据密钥。

结果，未加密的客户元数据被透露给攻击者，包括“公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。”

此外，一些客户的加密保险库也被窃取。这些保险库包含了每个用户通过 LastPass 服务存储的网站密码。幸运的是，这些保险库都是由主密码加密的，这应该可以防止攻击者读取它们。

LastPass 的声明强调，该服务使用尖端加密技术，使得攻击者很难在没有知道主密码的情况下读取保险库文件，声明中写道：

即使如此，LastPass 承认，如果客户使用了弱主密码，攻击者可能会通过暴力破解猜测这个密码，从而解开保险库，并获得所有客户的网站密码，如 LastPass 解释的那样：

Web3 能否消除密码管理器的漏洞？

LastPass 的利用展示了 Web3 开发者多年来一直提出的论点：传统的用户名和密码登录系统需要被废弃，取而代之的是区块链钱包登录。

根据加密钱包登录的倡导者，传统的密码登录在本质上是不安全的，因为它们需要在云服务器上保存密码的散列。如果这些散列被窃取，它们可能会被破解。此外，如果用户在多个网站上使用相同的密码，一旦一个密码被盗，可能会导致所有其他密码被泄露。另一方面，大多数用户无法记住不同网站上的多个密码。

为了解决这个问题，像 LastPass 这样的密码管理服务被发明出来。但它们也依赖于云服务来存储加密的密码保险库。如果攻击者设法从密码管理器服务中获取密码保险库，他们可能能够破解保险库并获取所有用户的密码。

Web3 应用以不同的方式解决这个问题。它们使用浏览器扩展钱包，如 MetaMask 或 Trustwallet，使用密码学签名登录，从而消除了在云中存储密码的需要。

但到目前为止，这种方法只为去中心化应用进行了标准化。需要中央服务器的传统应用目前还没有一个统一的行业标准来使用加密钱包进行登录。

相关：Facebook 因泄露客户数据被罚款 2.65 亿欧元

相关：Facebook 因泄露客户数据被罚款 2.65 亿欧元

但是，最近的一个以太坊改进提案（EIP）旨在解决这个问题。被称为 EIP-4361，该提案试图提供一个适用于集中式和非集中式应用的通用登录标准。

如果这个标准被 Web3 行业采纳并实施，其支持者希望全球互联网最终将彻底摆脱密码登录，消除 LastPass 发生过的这类漏洞的风险。