Die Enkriptering-Illusie
In Desember 2022 het LastPass 'n breuk aangekondig. Die amptelike verklaring het serenoswoorde ingesluit: gebruikers-wagwoorde was "enkripteer." Kluis-data was "beveilig."
By 2025 het meer as €438 miljoen van LastPass-gebruikers gesteel uit hul verondersteld enkripteerde kluise—regs-toe gesteel.
Hoe? LastPass het die sleutels gehou.
Dit is die kritieke onderskeid wat elke onderneming-sekuriteits-span moet verstaan voor enige wolk-gebaseerde hulpmiddel te kies wat sensitiewe data hanteer—insluitend PII-anonimisering-platforms.
Bediener-Kant Enkriptering vs. Nul-Kennis-Argitektuur
Meeste wolk-hulpmiddels wat beweer "jou data te enkripteer" gebruik bediener-kant enkriptering (SSE). Dit is wat dit werklik beteken:
| Eiendom | Bediener-Kant Enkriptering | Nul-Kennis-Argitektuur |
|---|---|---|
| Waar enkriptering gebeur | Op die verskaffer se bediener | Op jou toestel (blaaier/lessenaar) |
| Wie hou die sleutels | Die verskaffer | Slegs jy |
| Verskaffer kan jou data lees | Ja | Nee |
| Bediener-breuk blootstel data | Ja | Nee (Slegs kodemteks) |
| Verskaffer kan deur hof beveel word | Ja | Nee (Hulle het dit nie) |
| Reguleerders/Wet-toepassing-togang | Via verskaffer | Nie moontlik sonder jou sleutel |
LastPass het bediener-kant enkriptering met sleutels wat hulle gekontroleer gebruik. Wanneer aanvallers hul infrastruktuur ingebreek het, het hulle beide die kodemteks en die manier om dit uiteindelik te dekripteer verkry—deur sosiale ingeniering van werknemers, brute-krag van swak meester-wagwoorde...