Avertisment pentru utilizatorii de servicii de gestionare a parolelor din cloud: vulnerabilități majore descoperite în sistemele de criptare zero-knowledge
Un studiu recent, publicat în februarie 2026, aduce în prim-plan o serie de vulnerabilități grave în serviciile de gestionare a parolelor bazate pe criptarea zero-knowledge (ZKE). Analiza, realizată de cercetători de la ETH Zurich și Università della Svizzera italiana, evidențiază modalități prin care chiar și cei mai populari și considerați siguri manageri de parole, precum Bitwarden, LastPass și Dashlane, pot fi expuși riscului de a fi victimele unor atacuri sofisticate. Vorbim despre 25 de scenarii distincte în care aceste platforme pot fi compromise, unele chiar în condiții mai simple decât s-ar fi crezut până acum, iar consecințele sunt alarmante: furtul de parole și, în cele mai grave cazuri, compromiterea completă a întregii infrastructuri digitale gestionate de companii.
Vulnerabilitățile în modul de stocare a datelor și metoda zero-knowledge
Criptarea zero-knowledge promite utilizatorilor că furnizorul serviciului nu are acces la datele de autentificare, fiind stocate într-o formă criptată, care poate fi decriptată doar de utilizator cu cheia personală. Acest model pare a fi un garanție de confidențialitate, însă cercetarea a scos la iveală câteva lacune grave. Spre deosebire de criptarea end-to-end, în cazul ZKE accentul se pune pe stocarea sigură a datelor pe server. Dacă însă infrastructura server-ului, care găzduiește aceste date, este compromisă sau acționează abuziv, vulnerabilitățile devin evidente.
Pentru a testa această teorie, cercetătorii au analizat mai multe scenarii în care sistemele pot fi compromise de un server malițios. În urma acestor teste, au identificat 12 vulnerabilități pentru Bitwarden, șapte pentru LastPass și șase pentru Dashlane, cele mai utilizate servicii de gestionare a parolelor din lume, cu peste 60 de milioane de utilizatori și aproximativ 125.000 de companii. Problemele sunt grupate în patru categorii principale: exploatarea mecanismelor de recuperare a conturilor (așa-numitul „key escrow”); vulnerabilități legate de criptarea la nivel de elemente individuale; riscuri din funcțiile de partajare a datelor între utilizatori; și atacuri de tip downgrade, care profită de compatibilitatea cu tehnologii criptografice mai vechi.
Ce pățesc marii jucați din domeniu și cum răspund aceștia
Reacțiile companiilor au fost rapide, însă nu toate au reușit să ofere soluții definitive. „1Password este vulnerabil la anumite atacuri ce țin de criptarea la nivel de elemente și funcțiile de partajare”, recunoaște reprezentanța companiei, adăugând însă că aceste vulnerabilități sunt cunoscute și documentate deja dinainte, fără să fi fost exploatate până acum în practică. În plus, compania a subliniat că metoda de autentificare utilizată, protocolul Secure Remote Password (SRP), reduce semnificativ riscurile, fiind astfel un factor de protecție în fața atacurilor asupra serverului.
Celelalte servicii, precum Dashlane, au anunțat implementarea rapidă a unor măsuri de atenuare a riscurilor detectate. Spre exemplu, Dashlane a eliminat suportul pentru metodele criptografice învechite în versiunea recentă a extensiei, pentru a evita atacurile de tip downgrade. La rândul lor, Bitwarden și LastPass au declarat că majoritatea vulnerabilităților au fost deja remediate sau sunt în curs de rezolvare, și că unele modificări ale arhitecturii sunt necesare pentru a asigura o securitate mai solidă, mai ales în scenariile în care infrastructura serverelor nu poate fi considerată de încredere.
Deși, din fericire, până acum nu există dovezi ce ar indica exploatarea acestor vulnerabilități în atacuri reale, cercetarea aduce în prim-plan o problemă tot mai acută în lumea digitală: complexitatea și provocările asociate implementării corecte a criptării zero-knowledge. În condițiile în care serverele pot deveni ținte pentru hackeri avansați, evaluarea constantă a vulnerabilităților și adoptarea celor mai bune practici în domeniu devin esențiale pentru siguranța datelor personale și corporative. În timp ce industria se adaptează rapid pentru a contracara aceste riscuri, rămâne de urmărit dacă noi vulnerabilități vor fi descoperite și în viitorul apropiat sau dacă soluțiile de securitate vor evolua spre o protecție total integrată și mai fiabilă.
