16 მილიარდი პაროლის გაჟონვა: რა მოხდა სინამდვილეში? 2025 წლის ივნისში, კიბერუსაფრთხოების მკვლევრებმა Cybernews-მა გამოავლინა ერთ-ერთი ყველაზე მასშტაბური მონაცემების გაჟონვა უცნობი დროის განმავლობაში: ონლაინ სერვერებზე განთავსებული დაახლოებით 30 დიდი მონაცემთა ნაკრებისგან განაწილებული 16 მილიარდზე მეტი შესვლის სამ retraალმსა და დეტალს ნუსხული იყო თავისუფლად ხელმისაწვდომი. ამ გაჟონვამ გამოიწვია არა ერთჯერადი დარღვევა, არამედ იწარმოებოდა წლების განმავლობაში, როცა ინფოსტილერი მავნვარეული დისტანციურად ინფიცირებას ახდენდა მოწყობილობებზე და ყველა მონაცემს ადიანდებოდა — პაროლებიდან Cookies-მდე და აქტიური სესიის ტოკენებიდან ვებ-ლოგინების ისტორიამდე. დღესაც ბევრი ასეთი სარწმუნოება რჩება მოქმედი, ის გავლენას ახდენს ისეთ მრავალრიცხოვან პლატფორმებზე, როგორიცაა Google, Apple, Facebook, Telegram, GitHub და სხვა სახელმწიფო სისტემებიც. რამდენიმე მონაცემთა ნაკრები შეიცავდა დაახლოებით 3, 5 მილიარდ ჩანაწერს, როცა გარკვეული პერიოდის განმავლობაში, ეს მონაცემები საჯაროდ ხელმისაწვდომი იყო სერვერებზე, სადაც ჰაკერული უნარები აღარ იყო საჭირო. 2024 წელს alone, ინფოსტილერი მავნვარეული დაიტაცა 2. 1 მილიარდი გატაცებული სარწმუნოება, რაც თითქმის ორ მესამედს წარმოადგენს ყველა ასეთ ხელსაწყოს მიერ გატაცებულ სარწმუნოებას, ნათელს ჰფენს მზარდ საფრთხეს. რატომ უჩვენებს 16 მილიარდი პაროლის გაჟონვა ტრადიციული შესვლის სისტემების შეზღუდვებს ეს დარღვევა ხაზს უსვამს ტრადიციული იდენტობის სისტემების ძირითად დაუცველობას, რომლებიც ჯერ კიდევ ფართოდ გამოიყენება. პაროლების გამეორება ძალიან გავრცელებულია, ამიტომ ერთ ანგარიში თუ გაუმართლა, ჰაკერები სხვა სერვისებსაც უწვდიან წვდომას კრედენშუელად. ამ გაჟონვებში განლაგებული სესიის ტოკენები — ციფრული გასაღებები ავტორიზირებულ ანგარიშებზე — კიდევ უფრო ავითარებს პრობლემას. მასშტაბური მავნვარეულის ხელსაწყოების ხელმისაწვდომობის პირობებში, ჰაკერები შეძლებენ იყიდონ მოიპოვებული მონაცემები და ავტომატურად ითვალიწინებენ ანგარიშების დაპატიჟებას, საერთოდ რომ არ იძებნიდნენ სამიზნეებს. ამ ფაქტორებს ქმნიან იდეალურ პირობებს იდენტობის მოპოვებას, ფინანსურ თაღლიანი მოქმედებების და პირადობის გატეხვისთვის, რაც მიუთითებს, რომ ორი ფუნქციის დამადასტურებელ (2FA) დაცვა და პაროლების მენეჯერები მხოლოდ საკმარისი არ არის. შესაბამისად, ყურადღება გადადის ისტორიული, ფუნდამენტური გადაწყვეტებისკენ, როგორიცაა ბლოქჩეინზე დაფუძნებული ციფრული იდენტობის სისტემები, რომლებიც პაროლებზე არ არიან დამოკიდებული. პიროლის გარეშე ავტორიზაციის და ბლოქჩეინის საჭიროება ამგვარი მასშტაბის დარღვევების შემდეგ, კვლავ იჩენს თავს გავრცელებული რჩევა: გამოიყენეთ მყარი, უნიკალური პაროლები; გამოიყენეთ პაროლების მენეჯერები, ისეთი აპლიკაციები როგორადაც არის 1Password ან Bitwarden; გააქტიურდით 2FA; გადასხით ბარათი ბიომეტრიის გამოყენებით; და მონიტორინგი გაუშვით დარტყმულებით დარეკული სერვერებისა და დ dark web-ის სკანერებით. მაგრამ ეს არის დროებითი გამოკეთების ზომები სისტემისთვის, რომელსაც არ აქვს მასიური მდგრადობა.

მომხმარებლები კვლავ დარჩებიან ფიშინგის, მავნვარეულის და მოწყობილობებზე მოწყობილი ზიანის ქვეშ. როგორც დარღვევა სიდიდისა და სიღრმის მხრივ მატულობს, ექსპერტები მეტად მიიჩნევენ Web3-ის იდენტობის მართვის სისტემების დანერგვას, რათა გაუკეთოს საიმედო დაზღვევა. ბლოქჩეინზე დაფუძნებული პაროლათმოძრაობით, კიბერუსაფრთხოების მოდელი შეიძლება მიგვიყვანოს რეაგირების სისტემიდან პრევენციულ, ინფრასტრუქტურული დაცვის დონეზე — ნამდვილი ველს რომ ჩაანაცვლოს დამპალი სისტემა. მსგავსი მონაცემთა დაცულობისთვის, კომპიუტერულ პაროლებზე სისტემები თავიანთი საწყისი ფორმირება იღებს 1960-იან წლებში MIT-ის კომპატაბლ ტაიმშარინგ სისტემიდან, სადაც თავდაპირველად უკვე ამ კითხვები იყო დასმული, რაც მიუთითებს, რომ პაროლების სიფხიუ ახალი არ არის. მიძლია ბლოქჩეინზე დაფუძნებული ციფრული იდენტობა გამოსავალი იყოს? რანსాద్ მეორესთან გამოსვლაში, რამდენიმე მილიარდი გაჟონილი პაროლით, კითხვაა — რატომ გრძელდება პაროლების გამოყენება. მრავალი დეველოპერი, ინსტიტუცია და პირადიlife უსაფრთხოების პროფესიონალი ახლა შეეცადა როგორც ბლოქჩეინზე დაფუძნებული ციფრული იდენტობის მყარი ალტერნატივით. რა სარგებლობს ბლოქჩეინზე დაფუძნებული ციფრული იდენტობით ბლოქჩეინზე აგებული დეცენტრალიზებული იდენტობის სისტემა აპირისპირებს ტრადიციულ მოდელს, როდესაც ციფრული იდენტობები გადაეცემა და იშოვება მომხმარებლის საკუთრებაში და კონტროლში, თვითსამართლებრივი იდენტობის (SSI) საშუალებით. ცენტრალიზებული მონაცემთა ბაზებისაგან, რომლებიც მოწყობილობის გატეხვის საფრთხის ქვეშ დგანან, ბლოქჩეინი იყენებს დეცენტრალიზებულ იდენტიფიკატორებს (DIDs) — უნიკალურ პერსონალურ გასაღებს, რომლებითაც თავის ორგანოსთან დაკავშირებული სერვერებია ჩაწერილი, და არა ცენტრალური სერვერი, რომლის მუხრუჭის გადატოლება ვეღარ ხერხდება. ძირითადი სარგებელი მოიცავს: - ერთიანი წერტილის სუსტი წერტილი არ არის: საპირისპიროდ ცენტრალიზებული სისტემების, რომლებშიც მილიონობით სარწმუნოება ინახება, ბლოქჩეინ იდენტობებს არ აქვს ერთიანი სერვერის დანარჩენი გაჟონვის საშიშროება. - მინიმალური მონაცემთა გამჟღავნება: Verifiable Credentials ეხმარება მომხმარებელს დაადასტუროს კონკრეტული ფრაგმენტები (მაგალითად, ასაკი ან განათლების დონე) უახლესი, სრული პირადობის მასალის გაზიარების გარეშე. მოწინავე Zero Knowledge Proof-ები იძლევიან შესაძლებლობას დაადასტუროს სხვა მტკიცებები („მე ვარ 18-ის ზემოთ“), ჯიუტად არ გამოაშკარავებს საფუძვლიან მონაცემებს. - გლუვობა და აუდიტობა: მისაცემი სერთიფიკატები იდენტაციის ციფრულ ტომშია ხელმოწერილი, კრიპტოგრაფიულად დამოწმებული და დროს ეტიკეტირებული, რათა გაუმჯობესდეს შემდგომი შეცდომის აღმოფხვრა ან ყალბობის გამორიცხვა. ეს მოდელი— თვითსამართლებრივი იდენტობა— საფუძვლობრივად ცვლის დღეს არსებული სუსტი იდენტობის ინფრასტრუქტურას. ვინ განავითარებს ბლოქჩეინზე დაფუძნებულ იდენტურ სისტემებს? მიუხედავად განვითარების დასაწყისისა, Web3-ის იდენტობის მართვა უკვე აგროვებს პროგრესს. ევროპის კავშირი ახორციელებს eIDAS 2. 0-ს და ევროპის ბლოქჩეინ სერვისების ინფრასტრუქტურას (EBSI), რათა მისცეს მოლიდულ მიცემულობას განძის ბაზა, სადაც დეზინფექცია გაუქმებული იქნება. გერმანიასა და სამხრეთ კორეაში ტესტავს ბლოქჩეინზე დაფუძნებულ ციფრულ იდენტობას, რომელიც შესაძლოა საყოველთაოდ შეცვალოს სახიფათო ამოცანები, არა მხოლოდ სამთავრობო, არამედ ეროვნულ დონეზე. ამ დროისთვის, სტარტაპები როგორიცაა Dock Labs, Polygon ID და TrustCloud მუშაობენ პლატფორმებზე, რომლებიც საშუალებას იძლევა პირებს შექმნან, მართონ და არჩევითი გავრცელებით გამოიყენონ სერთიფიკატები მთავრობის, საბანკო, განათლების და სხვა სამსახურებში. შეჯამებით, 16 მილიარდი პაროლის გაჟონვა ერთხმად ამჩნევს ვიწრო ძალაუფლებად ნაკლებ და ხელმისაწვდომ სისტემებს და ხაზს უსვამს აუცილებლობას ახალი, ბლოქჩეინზე დაფუძნებული ციფრული იდენტობის სისტემების შესაქმნელად, რომლებიც უზრუნველყოფენ უფრო უსაფრთხოებას, კონფიდენციალობას და მომხმარებლის კონტროლს.