'LassPass' พาสเวิร์ดเมเนเจอร์ดัง ถูก Hack ขโมยพาสเวิร์ด - หรือสุดท้าย Web3 จะเป็นทางออก?
แม้แต่ LassPass ผู้ให้บริการ Password manager ชื่อดังยังถูก Hack เอาพาสเวิร์ดลูกค้าไปได้! จนเกิดคำถาม หรือสุดท้ายแล้ว Web3 จะเป็นคำตอบ?
แม้แต่ LassPass ผู้ให้บริการ Password manager ชื่อดังยังถูก Hack เอาพาสเวิร์ดลูกค้าไปได้! จนเกิดคำถาม หรือสุดท้ายแล้ว Web3 จะเป็นคำตอบ?
หลังจากที่ ‘LassPass’ ผู้ให้บริการ Password manager ชื่อดังประกาศว่าตนถูกแฮกเกอร์โจมตีพร้อมขโมยข้อภายในบริษัทไปในเดือนสิงหาคมที่ผ่านมา สร้างความตื่นตระหนกให้กับผู้ใช้อย่างหนัก
อย่างไรก็ตามในวันที่ 22 ธันวาคมที่ผ่านมาบริษัทก็อัปเดตกรณีดังกล่าวอีกครั้ง หลังพบว่าข้อมูลส่วนตัวรวมไปถึง ‘Password’ ของลูกค้าที่ถูกเข้ารหัสไว้ก็ถูกขโมยไปด้วยเช่นกัน
โดยผลที่ตามมาก็คือข้อมูลที่ไม่ได้ถูกเข้ารหัสไว้ อาทิ ชื่อ, ที่อยู่, สถานที่ทำงาน, อีเมล, เบอร์โทร และ IP Address ของลูกค้าก็ถูกขโมยไปด้วยซึ่งเป็นข้อมูลที่สามารถใช้งานได้ทันที เนื่องจากไม่ได้ถูกเข้ารหัสไว้
อย่างไรก็ตามข้อมูลที่เข้ารหัสไว้ก็ถูกขโมยไปเช่นกัน ซึ่งก็รวมไปถึงที่ทุกคนกลัวกันอย่าง ‘Password’ ของเว็บไซต์ต่างๆ แต่ยังโชคดีที่สหัสผ่านดังกล่าวยังถูกเข้ารหัสไว้ และ Password หลักที่เอาไว้ถอดรหัสก็ยังคงอยู่กับตัวผู้ใช้เอง แต่ก็ปฏิเสธไม่ได้ว่าเป็นที่น่ากังวลอยู่ดีที่ผู้ให้บริการ Password manager แถวหน้าของโลกยังถูกโจมตีและขโมยข้อมูลส่วนตัวลูกค้าไปได้
ข้อมูลเข้ารหัสของเรายังคงปลอดภัยด้วยการเข้ารหัสแบบ 256-bit AES และจะสามารถถอดรหัสได้จาก Master password ของผู้ใช้เท่านั้นจากสถาปัตยกรรมแบบ Zero Knowledge ของเรา และ Master password ก็ถูกเก็บไว้กับผู้ใช้เองเท่านั้น ซึ่งไม่ได้ถูกเก็บไว้กับ LassPass
Web3 จะช่วยแก้ปัญหาของ LassPass หรือไม่?
แน่นอนว่า LassPass ก็คือบริการหนึ่งที่ถูกจัดอยู่ในประเภท ‘Web2’ ที่เป็นการใช้งานอินเตอร์เน็ตทั่วไป ไม่ได้มีการเกี่ยวข้องกับคริปโตหรือบล็อกเชนใดๆ
บทความที่เกี่ยวข้อง - วอลเล็ตคริปโต (Crypto Wallet) และ Web 3 คืออะไร?
และการใช้ Username และ Password ก็เป็นมาตรการด้านความปลอดภัยสุดคลาสสิคที่ถูกใช้กันมายาวนานกว่าหลายทศวรรษ พร้อมกับช่องโหว่มากมายที่ทำให้ใครที่ไม่ระมัดระวังพอถูกแฮกกันมาตลอด
แต่ไม่ใช่กับ Web3 ที่ระบบมาตรการด้านความปลอดภัยมารตฐานกลับเป็น ‘Private key’ หรือ ‘Seed phase’ ที่ไม่ได้เป็นการเก็บพาสเวิร์ดไว้ในเซิร์ฟเวอร์ใด อย่างเว็บไซต์ทั่วๆ ไปหรือแม้แต่ผู้ให้บริการจัดการพาสเวิร์ดอย่าง LassPass แต่ใช้การเข้ารหัสผ่านบล็อกเชนแทนโดยการใช้ Private key กับ Public Key แทน ซึ่งไม่ได้ถูกจัดเก็บไว้ในที่ใดๆ ดังนั้นจะปลอดภัยหรือไม่ก็อยู่ที่ตัวผู้ใช้เอง ไม่ได้อยู่กับผู้ให้บริการ
