LastPass, gelişmiş gizlilik ve veri ihlallerine ve yetkisiz erişime karşı koruma sağlamak için kullanıcı kasalarında saklanan URL’leri şifrelemeye başlayacağını duyurdu.
Popüler şifre yöneticisinin satıcısı ayrıca, bu yeni güvenlik özelliğinin, üründe sıfır bilgi mimarisi uygulama taahhüdünü güçlendirmeye yönelik önemli bir adım olduğunu, dolayısıyla bunun yalnızca verileri dış tehditlerden korumak olmadığını belirtiyor.
Şifrelenmiş URL’lerin değeri
Kullanıcılar bir web sitesini ziyaret ettiğinde LastPass, URL’yi kullanıcının şifre kasasındaki bir girişle karşılaştırarak kimlik bilgilerinin saklanıp saklanmadığını belirler ve ardından bunları otomatik olarak girmeyi önerir.
LastPass, sistemin oluşturulduğu 2008 yılında işlem gücündeki kısıtlamalar nedeniyle mühendislerinin bu URL’leri şifrelenmemiş bırakmaya karar verdiğini, böylece CPU’lar üzerindeki yükü azalttığını ve yazılımın enerji tüketimi ayak izini en aza indirdiğini söylüyor.
Geçmişteki donanım performansı kısıtlamalarının çoğu artık kaldırılmış olduğundan, LastPass artık kullanıcı tarayıcı performansında herhangi bir aksaklık fark etmeden, üst düzey veri güvenliğinin keyfini çıkarırken bu URL değerlerini anında şifrelemeye/şifresini çözmeye başlayabilir.
LastPass, bunun kullanıcı güvenliğini artırmak ve şirketin sıfır bilgi mimarisine uyum sağlamak için yapıldığını söylüyor.
Lastpass, “URL’lerin, saklanan kimlik bilgilerinizle (örneğin bankacılık, e-posta, sosyal medya) ilişkili hesapların niteliğine ilişkin ayrıntıları içermesi mümkündür” diye açıklıyor.
“Hesaplarınızla ilişkili URL’lerin, LastPass kasasındaki diğer tüm özel alanlar gibi şifrelenmesi, sıfır bilgi mimarimizi genişletecek ve müşteri gizliliğini geliştirecek, aynı zamanda belirli hizmetlerle veya hesaplarla ilgili URL’lerin içinde kayıtlı olmasını sağlayarak riski daha da azaltmaya yardımcı olacaktır. kasaları özel kalıyor.”
LastPass’ın sıfır bilgi güvenliği, tüm müşteri verilerinin şifrelenmesi ve dolayısıyla hizmetini ihlal edebilecek LastPass ve bilgisayar korsanları tarafından erişilemez olması gerektiği varsayımıyla çalışır.
2022’de LastPass, tehdit aktörlerinin kaynak kodunu, müşteri verilerini ve şifreli parola kasaları da dahil olmak üzere üretim yedeklerini çalmasına olanak tanıyan iki ihlale maruz kaldı.
LastPass CEO’su Karim Toubba, kasaların şifresini çözmek için gereken ana şifreyi yalnızca müşterilerin bildiğini söyledi. Ancak çalınan veriler, LastPass’ın zayıf olmaları halinde şifrelerinin çözülebileceği konusunda uyardığı şifrelenmiş ana şifreleri içeriyordu.
Çalınan veriler aynı zamanda şifre girişleriyle ilişkili şifrelenmemiş URL’leri de içeriyordu; bu da, kripto para borsaları gibi finansal hizmetlere ait kimlik bilgilerini çalmak için hangi şifre kasalarının hedef alınabileceği konusunda değerli bilgiler sağlıyor.
Daha sonra tehdit aktörlerinin bu zayıf ana şifrelerden bazılarının şifresini çözdüğü ve saklanan kimlik bilgilerini kripto para birimi borsalarını ihlal etmek ve 4 milyon doların üzerinde fon çalmak için kullandığı ortaya çıktı.
Şifrelemeyi kullanıma sunma
LastPass, URL’lerin şifrelenmesinin istemci ve arka uç bileşen işlevselliğini yeniden düzenlemelerini gerektirdiğini ve bu çalışmanın halihazırda iyi bir şekilde ilerlediğini söylüyor.
URL şifreleme uygulamasının ilk aşaması önümüzdeki ay (Haziran 2024) gerçekleştirilecek ve tüm mevcut ve yeni hesaplar için birincil URL alanları otomatik olarak şifrelenecek.
Bu aşamada kasadaki yinelenen ve eski URL alanları silinecek, kişisel ve ticari hesaplar ise değişiklikler hakkında kendilerini bilgilendiren e-postalar alacak.
İkinci aşama, LastPass kasalarında depolanan URL ile ilgili kalan altı alanın da otomatik olarak şifreleneceği yılın ikinci yarısında gerçekleşecek.
Bu altı değer, eşdeğer etki alanı URL’leri, joker karakter URL’leri, yönlendirme URL’leri, kullanıcı tanımlı özel URL’ler, kullanıcı notlarında saklanan URL’ler ve geçmiş URL’lerle ilgilidir.
Şu anda kullanıcıların herhangi bir işlem yapmasına gerek yok ancak LastPass, etkilenen hesaplara önümüzdeki ay kullanıma sunulduğunda avantajlardan nasıl yararlanabilecekleri konusunda adım adım talimatları e-postayla gönderecek.