Negli ultimi 15 anni, i gestori di password si sono evoluti da uno strumento di sicurezza di nicchia utilizzato dagli esperti di tecnologia a uno strumento di sicurezza essenziale per il pubblico. ca 94 milioni di adulti statunitensi – ovvero circa il 36% di loro – li hanno adottati. Non solo memorizzano le password per account pensionistici, finanziari ed e-mail, ma spesso memorizzano credenziali di criptovaluta, numeri di carte di pagamento e altri dati sensibili.
Otto importanti gestori di password hanno adottato il termine “conoscenza zero” per descrivere i complessi sistemi di crittografia che utilizzano per proteggere i depositi di dati archiviati dagli utenti sui loro server. Le definizioni variano leggermente da fornitore a fornitore, ma generalmente si riducono a una garanzia coraggiosa: che non vi è alcun modo per gli addetti ai lavori o gli hacker malintenzionati che riescono a compromettere l’infrastruttura cloud di rubare depositi o dati. Queste promesse hanno senso date le precedenti violazioni di LastPass e la ragionevole aspettativa che gli hacker a livello statale abbiano sia l’intento che la capacità di ottenere depositi di password associati a obiettivi di alto valore.
Un’audace assicurazione sfatata
Tra queste affermazioni comuni ci sono Bitwarden, Dashlane e LastPass, che insieme sono utilizzati da circa 60 milioni di persone. bitwarden, Per esempioHa detto che “nemmeno il team di Bitwarden può leggere i tuoi dati (anche se volessimo).” Dashlane, nel frattempo, disse Senza la password principale dell’utente, “gli autori malintenzionati non possono rubare informazioni, anche se i server di Dashlane sono compromessi.” ultimo passaggio disse Nessuno “può accedere ai dati archiviati nella tua cassaforte LastPass, tranne te (nemmeno LastPass).”
Una nuova ricerca mostra che queste affermazioni non sono vere in tutti i casi, soprattutto quando il recupero dell’account o i gestori di password sono impostati per condividere depositi o organizzare gli utenti in gruppi. I ricercatori hanno effettuato il reverse engineering o analizzato attentamente Bitwarden, Dashlane e Lastpass e identificato i modi in cui qualcuno che controlla i server, a livello amministrativo o come risultato di una compromissione, potrebbe effettivamente rubare dati e, in alcuni casi, interi depositi. I ricercatori hanno sviluppato anche altri attacchi che potrebbero indebolire la crittografia in modo tale che il testo cifrato possa essere convertito in testo in chiaro.
