การโจมตีแบบ Brute-Force บน Dashlane ดาวน์โหลดคลังข้อมูลเข้ารหัสของผู้ใช้ 20 ราย
ผู้จัดการรหัสผ่าน Dashlane เปิดเผยแคมเปญ brute-force แบบเจาะจงเป้าหมายที่สามารถเลี่ยงการป้องกันการยืนยันตัวตนสองปัจจัย (2FA) ในบัญชีส่วนบุคคลจำนวนเล็กน้อย ผู้โจมตีดาวน์โหลดคลังข้อมูลเข้ารหัสที่เป็นของผู้ใช้ไม่ถึง 20 ราย ก่อนที่การบุกรุกจะถูกยับยั้ง Dashlane ยืนยันว่าระบบภายในไม่ถูกโจมตี แต่เหตุการณ์นี้ฉายสปอตไลท์คมชัดไปที่ภัยคุกคามเฉพาะที่ผู้จัดการรหัสผ่านเผชิญ และขีดจำกัดของ 2FA ในฐานะมาตรการป้องกันเดี่ยว สำหรับใครก็ตามที่พึ่งพาผู้จัดการรหัสผ่านเพื่อปกป้องข้อมูลเข้าสู่ระบบที่ละเอียดอ่อน การโจมตีแบบ brute force ต่อผู้จัดการรหัสผ่านครั้งนี้ ทำให้เกิดคำถามที่ควรทำความเข้าใจอย่างถี่ถ้วน
เกิดอะไรขึ้น: ผู้โจมตีเลี่ยง 2FA ของ Dashlane ได้อย่างไร
การโจมตีมีรูปแบบที่พบได้บ่อยขึ้นเรื่อยๆ กับบริการเก็บข้อมูลประจำตัวที่มีมูลค่าสูง แทนที่จะมุ่งเป้าไปที่โครงสร้างพื้นฐานของ Dashlane โดยตรง แคมเปญนี้ดูเหมือนจะมุ่งเน้นไปที่บัญชีผู้ใช้รายบุคคล วนลูปความพยายามยืนยันตัวตน เพื่อเอาชนะชั้น 2FA ที่ปกป้องแต่ละคลังข้อมูล
การโจมตีแบบ brute-force ต่อ 2FA มักใช้ประโยชน์จากจุดอ่อนไม่กี่ประการ ได้แก่: หน้าต่างเวลาของรหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ที่มีอายุสั้นๆ, การดักรับ SMS, หรือการโจมตีแบบ replay อัตโนมัติที่แข่งกับการหมดอายุของโทเค็น Dashlane ยังไม่ได้เปิดเผยรายละเอียดกลไกที่แน่ชัดที่ใช้ แต่ข้อเท็จจริงที่มีบัญชีได้รับผลกระทบไม่ถึง 20 บัญชี ชี้ให้เห็นถึงแนวทางที่วางแผนเป็นขั้นตอนและมุ่งเป้า มากกว่าที่จะเป็นแคมเปญหว่านแหแบบกว้างๆ
ที่สำคัญ โครงสร้างพื้นฐานหลักของ Dashlane ยังคงไม่เสียหาย นี่ไม่ใช่การเจาะเซิร์ฟเวอร์หรือข้อมูลรั่วไหลจากฐานข้อมูล ผู้โจมตียืนยันตัวตนผ่านช่องทางเข้าสู่ระบบปกติ แล้วจึงดึงไฟล์คลังข้อมูลออกไป ซึ่งเป็นข้อแตกต่างที่มีความหมายต่อการประเมินความเสี่ยงจริงของผู้ใช้
“คลังข้อมูลเข้ารหัสถูกดาวน์โหลด” หมายความว่าอย่างไรจริงๆ สำหรับผู้ใช้ที่ได้รับผลกระทบ
วลี “คลังข้อมูลเข้ารหัสถูกดาวน์โหลด” อาจฟังดูน่าตกใจ แต่ความเสี่ยงในทางปฏิบัติขึ้นอยู่กับสถาปัตยกรรมการเข้ารหัสอย่างมาก Dashlane ใช้โมเดล zero-knowledge หมายความว่ารหัสผ่านหลักไม่เคยออกจากอุปกรณ์ของผู้ใช้ และ Dashlane เองก็ไม่สามารถถอดรหัสเนื้อหาคลังข้อมูลได้ หากถูกนำไปใช้อย่างถูกต้อง คลังข้อมูลที่ดาวน์โหลดไปก็เป็นเพียงกลุ่มข้อมูลเข้ารหัสที่ไร้ประโยชน์ในทางคำนวณหากไม่มีรหัสผ่านหลักที่ถูกต้อง
อย่างไรก็ตาม การป้องกันนั้นแข็งแกร่งเท่ากับตัวรหัสผ่านหลักเองเท่านั้น หากผู้ใช้ที่ได้รับผลกระทบใช้รหัสผ่านหลักที่อ่อนแอ หรือถูกเปิดเผยมาก่อนหน้านี้ ผู้โจมตีสามารถพยายามถอดรหัสแบบ brute-force ต่อคลังข้อมูลที่ดาวน์โหลดไปได้แบบออฟไลน์ตามความเร็วของตนเอง โดยไม่มีข้อจำกัดอัตราจากเซิร์ฟเวอร์ของ Dashlane นี่คือความเสี่ยงตกค้างที่สำคัญที่สุดสำหรับผู้ใช้ที่ได้รับผลกระทบไม่ถึง 20 ราย
สำหรับใครก็ตามที่ใช้รหัสผ่านหลักที่แข็งแกร่ง ไม่ซ้ำใคร และไม่เคยปรากฏในฐานข้อมูลการรั่วไหลที่รู้จัก คลังข้อมูลที่ดาวน์โหลดไปก็มีความเสี่ยงในทางปฏิบัติที่ต่ำมาก ความกังวลนั้นมีอยู่จริงแต่เจาะจงเฉพาะบางราย ไม่ใช่กับทุกคน คุณสามารถเรียนรู้เพิ่มเติมว่าสุขอนามัยข้อมูลประจำตัวและการเข้ารหัสทำงานร่วมกันอย่างไรได้ใน อภิธานศัพท์ความปลอดภัยรหัสผ่าน ของเรา
เหตุใดผู้จัดการรหัสผ่านจึงเป็นเป้าหมาย Brute-Force มูลค่าสูง
ผู้จัดการรหัสผ่านอยู่ในลำดับสูงสุดของรายการเป้าหมายของผู้โจมตีด้วยเหตุผลที่ตรงไปตรงมา: การเจาะระบบสำเร็จเพียงครั้งเดียวจะไขข้อมูลประจำตัวทั้งหมดที่เหยื่อเก็บไว้ได้ ความไม่สมมาตรเช่นนี้ทำให้แม้แต่พื้นผิวการโจมตีที่แคบก็ยังคุ้มค่าที่จะทุ่มโจมตีอย่างหนัก
พลวัตนี้สะท้อนแรงกดดันต่อผู้ให้บริการ VPN ซึ่งการบุกรุกที่สำเร็จสามารถเปิดเผยบันทึกการจราจร ข้อมูลระบุตัวตน หรือข้อมูลประจำตัวการยืนยันตัวตนในบัญชีนับพันๆ ได้ ในทั้งสองกรณี ความหนาแน่นของมูลค่าของสิ่งที่ถูกปกป้องหมายความว่า ฝ่ายตรงข้ามยินดีทุ่มเวลาและทรัพยากรจำนวนมากในการหาจุดอ่อน
ผู้จัดการรหัสผ่านยังเผชิญความท้าทายเชิงโครงสร้าง: พวกเขาต้องสร้างสมดุลระหว่างความปลอดภัยกับความง่ายในการใช้งาน จุดเสียดทานเพิ่มเติมทุกจุดในขั้นตอนการเข้าสู่ระบบ เช่น การจำกัดอัตราที่เข้มงวดขึ้น ข้อกำหนดโทเค็นฮาร์ดแวร์ หรือการตรวจจับความผิดปกติของเซสชัน ล้วนลดการยอมรับจากผู้ใช้ ผู้โจมตีเข้าใจความตึงเครียดนี้และตรวจสอบรอยต่อที่ให้ความสำคัญกับความสะดวกมากกว่าความเข้มงวด
รีวิว Dashlane โดยละเอียด ของเรา ครอบคลุมสถาปัตยกรรมความปลอดภัยและเปรียบเทียบกับตัวเลือกชั้นนำอื่นๆ ซึ่งเป็นบริบทที่ควรค่าต่อการย้อนกลับมาดูหลังจากเหตุการณ์เช่นนี้
การป้องกันเชิงลึก: ความเข้มงวดด้านความปลอดภัยที่เครื่องมือความเป็นส่วนตัวทุกตัวต้องการ
เหตุการณ์ Dashlane แสดงให้เห็นว่าเหตุใดการป้องกันเชิงลึกจึงไม่ใช่แค่คำศัพท์สวยหรู แต่เป็นความจำเป็นในการปฏิบัติงานสำหรับบริการใดๆ ที่จัดการข้อมูลผู้ใช้ที่ละเอียดอ่อน การพึ่งพาชั้นความปลอดภัยเพียงชั้นเดียว แม้จะเป็นชั้นที่ออกแบบมาอย่างดีอย่าง 2FA ก็ตาม ก็สร้างท่าทีที่เปราะบาง เมื่อชั้นนั้นถูกเอาชนะ ก็จะไม่มีอะไรเหลืออยู่ระหว่างผู้โจมตีกับข้อมูล
แนวทางแบบเป็นชั้นสำหรับผู้จัดการรหัสผ่านควรประกอบด้วย การตรวจจับความผิดปกติที่แจ้งเตือนตำแหน่งหรือความถี่การเข้าสู่ระบบที่ผิดปกติ การรองรับคีย์ความปลอดภัยฮาร์ดแวร์เป็นทางเลือก 2FA ที่แข็งแกร่งกว่า TOTP หรือ SMS กลไก canary ที่แจ้งเตือนผู้ใช้เมื่อคลังข้อมูลของตนถูกเข้าถึงจากอุปกรณ์ใหม่ และการจำกัดอัตราอย่างเข้มข้น พร้อมนโยบายล็อคบัญชีที่ทำให้การยัดข้อมูลประจำตัว (credential stuffing) ไม่คุ้มทุนในเชิงเศรษฐกิจ
สำหรับผู้ใช้ ภาคปฏิบัติที่เทียบเท่ากับการป้องกันเชิงลึกหมายถึง การใช้รหัสผ่านหลักที่แข็งแกร่งและสร้างแบบสุ่มซึ่งไม่นำไปใช้ซ้ำที่ไหน การเปิดใช้ตัวเลือก 2FA ที่แข็งแกร่งที่สุดที่มี (คีย์ฮาร์ดแวร์ในที่ที่รองรับ) และการเฝ้าดูการแจ้งเตือนกิจกรรมของบัญชีอย่างตื่นตัว ไม่ใช่เชิงรับ
ทางเลือกแบบโอเพนซอร์สที่เผยแพร่การตรวจสอบความปลอดภัยต่อสาธารณะ จะให้ชั้นการตรวจสอบเพิ่มเติมแก่ผู้ใช้ ตัวอย่างเช่น รีวิว Bitwarden ของเรา ครอบคลุมว่าโค้ดเบสแบบโอเพนซอร์สช่วยให้นักวิจัยอิสระสามารถตรวจสอบการใช้งานการเข้ารหัสได้โดยตรง ซึ่งเพิ่มรูปแบบของความรับผิดชอบที่เครื่องมือแบบปิดไม่สามารถเทียบเคียงได้
สิ่งนี้มีความหมายต่อคุณอย่างไร
หากคุณเป็นผู้ใช้แผนส่วนบุคคลของ Dashlane โปรดตรวจสอบว่าคุณได้รับการแจ้งเตือนเกี่ยวกับบัญชีของคุณหรือไม่ หากคุณเป็นหนึ่งในผู้ใช้ไม่ถึง 20 รายที่ได้รับผลกระทบ การเปลี่ยนรหัสผ่านหลักทันที และการตรวจสอบข้อมูลประจำตัวที่เก็บไว้ว่ามีการใช้ซ้ำหรือไม่ คือขั้นตอนเร่งด่วนที่สุด
สำหรับผู้ใช้ผู้จัดการรหัสผ่านทุกคน เหตุการณ์นี้เป็นเครื่องเตือนใจที่มีประโยชน์ ให้ทบทวนความแข็งแกร่งของรหัสผ่านหลัก ยืนยันว่าวิธี 2FA ของคุณแข็งแกร่งที่สุดเท่าที่จะเป็นไปได้ และตรวจสอบว่าบริการของคุณเผยแพร่รายงานการตรวจสอบความปลอดภัยหรือรายงานความโปร่งใสหรือไม่ ผู้จัดการรหัสผ่านที่เงียบเฉยต่อเหตุการณ์ด้านความปลอดภัยเป็นเรื่องน่ากังวล การเปิดเผยของ Dashlane แม้จะไม่สบายใจ แต่ก็สะท้อนถึงแนวปฏิบัติที่ควรคาดหวังได้จากเครื่องมือความเป็นส่วนตัวใดๆ
หากเหตุการณ์นี้ทำให้คุณต้องประเมินเครื่องมือปัจจุบันของคุณอีกครั้ง ให้เปรียบเทียบตัวเลือกต่างๆ อย่างรอบคอบ ดูที่สถาปัตยกรรมการเข้ารหัส ประวัติการตรวจสอบ ตัวเลือก 2FA และประวัติการตอบสนองต่อเหตุการณ์ เป้าหมายไม่ใช่การหาผลิตภัณฑ์ที่สัญญาว่าจะสมบูรณ์แบบด้านความปลอดภัย แต่เป็นผลิตภัณฑ์ที่แสดงให้เห็นว่ามันจริงจังกับภัยคุกคามการโจมตีผู้จัดการรหัสผ่านแบบ brute force ผ่านแนวปฏิบัติที่ตรวจสอบได้ ไม่ใช่แค่สำนวนการตลาด
