LastPass, gelişmiş gizlilik ve veri ihlallerine karşı koruma ve yetkisiz erişime karşı koruma için kullanıcı tonozlarında depolanan URL'leri şifrelemeye başlayacağını duyurdu.
Popüler şifre yöneticisinin satıcısı ayrıca, bu yeni güvenlik özelliğinin üründe sıfır bilgi mimarisinin uygulanmasına olan bağlılığını güçlendirmek için önemli bir adım olduğunu belirtiyor, bu nedenle verileri sadece dış tehditlerden korumak değil.
Kullanıcılar bir web sitesini ziyaret ettiklerinde, LastPass, kimlik bilgilerini saklamış olup olmadıklarını belirlemek için URL'yi kullanıcının şifre kasasındaki bir girişle karşılaştırır ve ardından otomatik olarak girmeyi teklif eder.
LastPass, bu sistemin oluşturulduğu 2008'deki işleme gücündeki kısıtlamalar nedeniyle, mühendislerinin bu URL'leri şifrelenmeden bırakmaya karar verdiğini, CPU'lar üzerindeki gerginliği azaltmaya ve yazılımın enerji tüketimi ayak izini en aza indirmeye karar verdiğini söylüyor.
Geçmişin donanım performans kısıtlamalarının çoğu şimdi kaldırıldı, LastPass artık kullanıcı, nihai veri güvenliğinin tadını çıkarırken tarayıcı performansında herhangi bir hıçkırık fark etmeden bu URL değerlerini anında şifrelemeye/şifreye almaya başlayabilir.
LastPass, bunun kullanıcı güvenliğini artırmak ve şirketin sıfır bilgi mimarisine uymak için yapıldığını söylüyor.
LastPass, "URL'lerin depolanan kimlik bilgilerinizle (örneğin bankacılık, e -posta, sosyal medya) ilişkili hesapların doğası hakkında ayrıntılar içermesi mümkündür."
"Hesaplarınızla ilişkili URL'lerin şifrelemesi, tıpkı LastPass kasasındaki diğer tüm özel alanlar gibi, sıfır bilgi mimarimizi genişletecek ve müşteri gizliliğini artıracak ve aynı zamanda içinde kaydedilen belirli hizmetlerle veya hesaplarla ilgili URL'lerin daha da azaltılmasına yardımcı olacak. Kasaları özel kalıyor. "
LastPass 'sıfır bilgi güvenliği, tüm müşteri verilerinin şifrelenmesi gerektiği ve böylece hizmetini ihlal edebilecek LastPass ve bilgisayar korsanlarına erişilemeyeceği öncülünde çalışır.
2022'de LastPass, sonuçta tehdit aktörlerinin kaynak kodu, müşteri verileri ve şifreli şifre tonozları da dahil olmak üzere üretim yedeklemelerini çalmasına izin veren iki ihlal geçirdi.
LastPass CEO'su Karim Toubba, o zaman sadece müşterilerin tonozları şifresini çözmek için gereken ana şifreyi bildiğini söyledi. Bununla birlikte, şifreler zayıfsa, şifrelenmiş içeriğe erişmek için potansiyel olarak kaba olabilirler.
Çalınan veriler, şifre girişleriyle ilişkili şifrelenmemiş URL'leri de içeriyordu ve şifre kasalarının kripto para birimi borsaları gibi finansal hizmetlere kimlik bilgilerini çalmayı hedefleyebileceği değerli bilgiler sağladı.
Daha sonra, tehdit aktörlerinin bu zayıf ana şifrelerin bazılarını şifresini çözdüğü ve kripto para birimi borsalarını ihlal etmek ve 4 milyon doların üzerinde fon çalmak için saklanan kimlik bilgilerini kullandıkları ortaya çıktı.
LastPass, URL'lerin şifrelemesinin istemci ve arka uç bileşen işlevselliğini yeniden düzenlemelerini gerektirdiğini söylüyor, bu da zaten iyi ilerleyen bir çalışma.
URL şifreleme uygulamasının ilk aşaması gelecek ay (Haziran 2024) gerçekleşecek ve birincil URL alanlarını mevcut ve yeni hesaplar için otomatik olarak şifreleyecek.
Bu aşamada, kasadaki kopya ve eski URL alanları silinirken, kişisel ve iş hesapları değişiklikler hakkında onları bilgilendiren e -postalar alacaktır.
İkinci aşama, LastPass kasalarında depolanan altı URL ile ilgili altı alanın da otomatik olarak şifreleneceği yılın ikinci yarısında gerçekleşecek.
Bu altı değer ilgili:
Şu anda, kullanıcıların herhangi bir işlem yapmasına gerek yok, ancak LastPass, önümüzdeki ay başladığında, etkilenen hesaplara adım adım nasıl avantaj sağlayabileceklerine dair adım adım talimatları e-postayla gönderecek.
GÜNCELLEME 5/23/24: Bu makale, çalınan şifre tonozları için zayıf şifrelerin kabarık olduğu zaman, ana şifrelerin çalındığını söyledi.
Yeni Saldırı, Rogue DHCP sunucularını kullanarak VPN trafiğini sızdırıyor
Bitwarden, iOS, Android için yeni MFA Authenticator uygulamasını başlattı
CISA, yazılım geliştiricilerini ot yolunu geçiş güvenlik açıklarını ayıklamaya çağırıyor
Microsoft, hatalı yanlış Bitlocker şifreleme hatalarının arkasındaki hatayı düzeltiyor
Google Meet, Google olmayan kullanıcılara istemci tarafı şifreli aramaları açar
Kaynak: Bleeping Computer