LastPass hiện đang mã hóa URL trong kho lưu trữ của người dùng để bảo mật tốt hơn

Nhà cung cấp trình quản lý mật khẩu phổ biến cũng lưu ý rằng tính năng bảo mật mới này là một bước quan trọng nhằm củng cố cam kết triển khai tính năng mới, do đó nó không chỉ để bảo vệ dữ liệu khỏi các mối đe dọa bên ngoài.

Giá trị của URL được mã hóa

Khi người dùng truy cập một trang web, LastPass so sánh URL với mục nhập trong kho mật khẩu của người dùng để xác định xem họ có lưu trữ thông tin xác thực hay không và sau đó đề nghị nhập thông tin tự động.

Windows 11 24H2 hiện đang được cho Người dùng nội bộ xem trước bản phát hành vì LastPass cho biết do những hạn chế về khả năng xử lý vào năm 2008, khi hệ thống đó được tạo ra, các kỹ sư của họ đã quyết định không mã hóa các URL đó để giảm bớt gánh nặng cho CPU và giảm thiểu mức tiêu thụ năng lượng của phần mềm.

Với hầu hết các hạn chế về hiệu suất phần cứng trước đây đã được dỡ bỏ, giờ đây LastPass có thể bắt đầu mã hóa/giải mã các giá trị URL đó một cách nhanh chóng mà người dùng không nhận thấy bất kỳ trục trặc nào về hiệu suất trình duyệt trong khi vẫn bảo đảm độ bảo mật dữ liệu tối ưu.

LastPass cho biết điều này được thực hiện để tăng cường bảo mật người dùng và tuân thủ kiến trúc không có trong sản phẩm của công ty.

Lastpass giải thích: “Các URL có thể chứa thông tin chi tiết của các tài khoản được liên kết với thông tin xác thực được lưu trữ của người dùng (ví dụ: ngân hàng, email, mạng xã hội)”.

"Mã hóa các URL được liên kết với tài khoản của bạn, giống như mọi trường riêng tư khác trong kho LastPass, sẽ mở rộng tính năng của sản phẩm chúng tôi và nâng cao quyền riêng tư của khách hàng, đồng thời giúp giảm thiểu rủi ro hơn nữa bằng cách đảm bảo rằng các URL liên quan đến các dịch vụ hoặc tài khoản cụ thể được lưu trong tài khoản của họ vẫn được giữ kín."

Tính năng bảo mật của LastPass hoạt động dựa trên tiền đề rằng tất cả dữ liệu của khách hàng phải được mã hóa và do đó LastPass và những tin tặc cố ý tấn công dịch vụ của họ không thể truy cập được.

Năm 2022, LastPass đã gặp phải hai vụ tấn công mà cuối cùng các tác nhân đe dọa đánh cắp mã nguồn, dữ liệu khách hàng và bản sao lưu sản xuất, bao gồm cả kho mật khẩu được mã hóa.

Giám đốc điều hành LastPass Karim Toubba cho biết vào thời điểm đó chỉ có khách hàng mới biết mật khẩu chính cần thiết để giải mã. Tuy nhiên, dữ liệu bị đánh cắp bao gồm mật khẩu chính được mã hóa mà LastPass cảnh báo có thể bị giải mã nếu chúng bảo mật yếu.

Dữ liệu bị đánh cắp cũng bao gồm các URL không được mã hóa liên quan đến các mục nhập mật khẩu, cung cấp thông tin chi tiết có giá trị về những kho mật khẩu nào có thể được nhắm mục tiêu để đánh cắp thông tin xác thực cho các dịch vụ tài chính, như sàn giao dịch tiền điện tử.

Sau đó, thông tin tiết lộ rằng các tác nhân đe dọa đã giải mã một số mật khẩu chính yếu hơn và sử dụng thông tin xác thực được lưu trữ để vi phạm các sàn giao dịch tiền điện tử và đánh cắp hơn 4 triệu đô la tiền.

Triển khai mã hóa

LastPass nói rằng việc mã hóa các URL yêu cầu họ phải cấu trúc lại chức năng của máy khách và thành phần phụ trợ.

Giai đoạn đầu tiên của quá trình triển khai mã hóa URL sẽ diễn ra vào tháng tới (tháng 6 năm 2024), tự động mã hóa các trường URL chính cho tất cả tài khoản hiện có và tài khoản mới.

Trong giai đoạn này, các trường URL trùng lặp và URL cũ trong vault sẽ bị xóa, và tài khoản cá nhân và doanh nghiệp sẽ nhận được email thông báo về những thay đổi.

Giai đoạn thứ hai sẽ diễn ra vào nửa cuối năm khi sáu trường liên quan đến URL còn lại được lưu trữ trong kho LastPass cũng sẽ được mã hóa tự động.

Sáu trường này liên quan đến URL tên miền tương đương (equivalent domain URLs), URL ký tự đại diện (wildcard URLs), URL chuyển hướng (redirect URLs), URL tùy chỉnh do người dùng xác định (user-defined custom URLs), URL được lưu trữ trong ghi chú người dùng (URLs stored in user notes) và URL lịch sử (historical URL).

Hiện tại, người dùng không cần thực hiện bất kỳ hành động nào, LastPass sẽ gửi email hướng dẫn từng bước cho các tài khoản bị ảnh hưởng về cách họ có thể tận dụng khi quá trình triển khai bắt đầu vào tháng tới.

Nguồn: bleepingcomputer.com