Economie
/
Giurgiu
/
19 feb. 2026, 02:30
Promisiunea gestionării parolelor că nu pot vedea seifurile tale nu este întotdeauna adevărată
În ciuda ceea ce afirmă gestionarii de parole, o compromitere a serverelor poate însemna sfârșitul. Conform arstechnica.com, o cercetare recentă arată că afirmațiile legate de securitatea datelor nu sunt întotdeauna corecte, în special în cazul în care recuperarea contului este activată sau când seifurile sunt partajate între utilizatori. Evoluția și utilizarea largă a gestionarii parolelor În ultimii 15 ani, gestionarii de parole au evoluat de la un instrument de securitate de nișă, folosit de cei pricepuți în tehnologie, la un instrument de securitate indispensabil pentru mase, cu aproximativ 94 de milioane de adulți din SUA, adică aproximativ 36% din populație, care i-au adoptat. Aceștia nu stochează doar parolele pentru pensii, conturi financiare și e-mailuri, ci și acreditivele pentru criptomonede, numerele cardurilor de plată și alte date sensibile. Toate cele opt aplicații populare pentru gestionarea parolelor au adoptat termenul „zero knowledge” pentru a descrie sistemele complexe de criptare utilizate pentru a proteja seifurile de date stocate pe serverele lor. Deși definițiile variază de la furnizor la furnizor, acestea se reduc în general la o asigurare îndrăzneață: nu există nicio modalitate ca insidiosii malițioși sau hackerii care reușesc să compromită infrastructura cloud să fure seifurile sau datele stocate în ele. Aceste promisiuni sunt pertinente, dat fiind breșele anterioare ale LastPass și așteptările rezonabile că hackerii sprijiniți de stat au atât motivația, cât și capacitatea de a obține seifurile de parole ale unor ținte de înaltă valoare. Acuzații de compromis Cercetătorii de la ETH Zurich și USI Lugano au inversat ingineria sau au analizat îndeaproape Bitwarden, Dashlane și LastPass, identificând metode prin care cineva cu control asupra serverului poate, de fapt, fura date și, în unele cazuri, întregi seifuri. Aceștia au descoperit, de asemenea, atacuri care pot slăbi criptarea la un punct în care textul criptat poate fi convertit în text clar. „Vulnerabilitățile pe care le descriem sunt numeroase, dar în general nu sunt profunde dintr-un punct de vedere tehnic”, au scris cercetătorii. Aceste amenințări nu au fost identificate anterior, în ciuda mai mult de un deceniu de cercetare academică asupra gestionării parolelor și a existenței mai multor auditori ai celor trei produse analizate. Acest lucru motivează lucrări suplimentare, atât în teorie, cât și în practică.” În interviuri, cercetătorii au menționat că multe alte aplicații pentru gestionarea parolelor, pe care nu le-au analizat atât de în profunzime, suferă probabil de aceleași defecte. Singura pe care au fost liberi să o numească a fost 1Password. Aproape toate aplicațiile de gestionare a parolelor sunt vulnerabile la atacuri, dar doar când anumite caracteristici sunt activate. Atacuri severe și metode specifice Unele dintre cele mai severe atacuri vizează Bitwarden și LastPass, permițând unui insider sau atacator să citească sau să scrie în conținutul întregului seif. În unele cazuri, acestea profită de slăbiciunile mecanismelor de depozitare a cheilor care permit utilizatorilor să recupereze accesul la conturile lor atunci când își pierd parola principală. Altele se bazează pe slăbiciunile în sprijinul versiunilor mai vechi ale gestionarii de parole. Atacul de furt de seif împotriva Dashlane a permis citirea, dar nu modificarea, elementelor seifului atunci când acestea erau partajate cu alți utilizatori. Atacurile care vizează recuperarea contului Bitwarden pot fi realizate atunci când un utilizator rotește cheile seifului, o opțiune pe care Bitwarden o recomandă dacă utilizatorul crede că parola principală a fost compromisă. O a doua metodă de atac vizează recuperarea contului Bitwarden și poate fi efectuată în momentul în care un utilizator rotește cheile seifului, având în vedere că datele organizației furnizate printr-o operațiune de sincronizare nu sunt autentificate în niciun fel. Aceasta oferă adversarului încă o oportunitate de a obține cheia de utilizator a unei victime. Ultimul atac asupra recuperării contului Bitwarden permite unui adversar să recupereze cheia principală a utilizatorului, abuzând de un feature destinat în principal clienților de afaceri. Breșele de securitate ale LastPass vizează, de asemenea, depozitarea cheilor, în special în versiunile Teams și Teams 5, când cheia principală a unui membru este resetată de un utilizator privilegiat cunoscut sub numele de superadmin. Limitări și răspunsuri ale companiilor Cercetătorii recunosc că compromiterea completă a unui server de gestionare a parolelor este o barieră ridicată. “Atacurile asupra infrastructurii serverului furnizorului pot fi prevenite prin măsuri de securitate operațională bine concepute, dar este bine să presupunem că aceste servicii sunt ținte pentru adversari sofisticați la nivel de state naționale”, au menționat aceștia. Toate cele patru companii au apărat utilizarea termenului „zero knowledge”, care poate fi confundat cu dovezile zero-knowledge, o metodă criptografică complet diferită. „Zero-knowledge pare să aibă înțelesuri diferite pentru diferite persoane”, a spus Matteo Scarlata, autorul principal al lucrării, referindu-se la utilizarea termenului în API-urile lor de securitate. “Din păcate, este doar o promovare de marketing, la fel ca 'criptarea de grad militar'.”
