Dulkóðun-illúsían
Í desember 2022 tilkynnti LastPass árás. Opinbera yfirlýsingin innihélt ánægðari málfærslur: aðgangsorð voru "dulkóðuð." Vault gögn voru "tryggð."
By 2025, var komið í ljós:
- 30 milljón USD gögn voru stolið
- Aðgangsorðum var breytt á dulkóðun-lyklum sem lékkuðu
- "Dulkóðun" var ekkert sem treystu fyrirtæki gera
LastPass-árásir sýndu endanleg veikleika: dulkóðun án rétta lykla-stjórnunar er ekkert.
Hvað gerðist?
- Árásir komust inn á LastPass-þjóna (2022)
- Þeir stólu dulkóðuðum vault-gögnum
- Þeir fór með dulkóðun-lykilum (geymdur á sama þjóni)
- Þeir dulkóðuðu aðgangsorðum með lékkuðum lyklum
- Þeir gætu endurvinnið allt gögn
Vandamálið var ekki dulkóðunin—það var lykla-stjórnunin.