Ilusi Enkripsi
Pada Desember 2022, LastPass mengumumkan pelanggaran. Pernyataan resmi menyertakan bahasa yang menenangkan: sandi pengguna "terenkripsi." Data vault "aman."
Pada 2025, lebih dari $438 juta telah dicuri dari pengguna LastPass—drained langsung dari vault mereka yang seharusnya terenkripsi.
Bagaimana? LastPass memegang kuncinya.
Ini adalah perbedaan kritis yang harus dipahami setiap tim keamanan perusahaan sebelum memilih alat berbasis cloud yang menangani data sensitif—termasuk platform anonimisasi PII.
Enkripsi Sisi-Server vs. Arsitektur Zero-Knowledge
Alat cloud paling yang mengklaim "mengenkripsi data Anda" menggunakan enkripsi sisi-server (SSE). Inilah apa artinya sebenarnya:
| Properti | Enkripsi Sisi-Server | Arsitektur Zero-Knowledge |
|---|---|---|
| Tempat enkripsi terjadi | Server vendor | Di perangkat Anda (browser/desktop) |
| Siapa yang memegang kunci | Vendor | Hanya Anda |
| Vendor dapat membaca data Anda | Ya | Tidak |
| Pelanggaran server mengekspos data | Ya | Tidak (hanya ciphertext) |
| Vendor dapat dipaksa menghasilkan data | Ya | Tidak (mereka tidak memilikinya) |
| Akses regulator/penegakan hukum | Melalui vendor | Tidak mungkin tanpa kunci Anda |
LastPass menggunakan enkripsi sisi-server dengan kunci yang mereka kontrol. Ketika penyerang melanggar infrastruktur mereka, mereka memperoleh keduanya ciphertext dan sarana untuk akhirnya mendekripsinya—melalui social engineering karyawan, brute-forcing master password yang lemah...