Un studiu recent, publicat în februarie 2026, aduce în prim-plan potențiale vulnerabilități ale unor dintre cele mai populare manageri de parole stocate în cloud. În timp ce aceste servicii sunt considerate piloni ai securității digitale, cercetarea evidențiază faptul că anumite implementări ale criptării de tip „zero-knowledge” (ZKE) pot fi vulnerabile în condiții specifice, ceea ce poate duce la riscuri majore pentru milioane de utilizatori și companii din întreaga lume.
Criptarea zero-knowledge: o soluție aparent sigură, dar nu infailibilă
Criptarea „zero-knowledge” a fost introdusă pentru a oferi utilizatorilor un control complet asupra datelor lor, fără ca furnizorul serviciului să aibă acces la conținutul acestora. În teorie, acest model asigură că doar utilizatorii pot debloca datele stocate, deoarece dețin cheia necesară. În practică, însă, cercetătorii au descoperit că anumite breșe de securitate pot apărea în scenarii în care infrastructura furnizorului este compromisă sau acționează din proprie inițiativă pentru a exploata vulnerabilități.
Vulnerabilități detectate în principalele servicii de gestionare a parolelor
Studiul a identificat un set de 25 de scenarii diferite de atacuri asupra populației de utilizatori a trei dintre cele mai cunoscute servicii: Bitwarden, LastPass și Dashlane. Lexicografic vorbind, aceste vulnerabilități se împart în patru categorii principale, iar cele mai grave permit recuperarea parolelor, precum și compromiterea completă a seifurilor digitale ale utilizatorilor, în special în organizații sau medii corporative.
Printre cele mai importante riscuri se numără exploatarea mecanismelor de recuperare a conturilor, bazate pe „key escrow”, care pot afecta confidențialitatea, dar și vulnerabilitatea metadatelor necriptate sau neautentificate, ce pot fi manipulate sau exploit-ate pentru a accesa informații sensibile. De asemenea, funcțiile de partajare și compatibilitatea cu metode criptografice vechi deschid alte porți de intrare pentru atacatori.
Reacția companiilor și măsurile de remediere
Reprezentanții principalelor servicii de gestionare a parolelor au fost prompti în reacție. 1Password, de exemplu, a precizat că anumite limitări arhitecturale au fost deja documentate și nu reprezintă noutăți față de informațiile publice existente. Ei subliniază că utilizează protocolul Secure Remote Password (SRP), care permite autentificarea fără a transmite cheile de criptare către servere, astfel reducând riscul anumitor tipuri de atacuri.
Dashlane a anunțat că a eliminat suportul pentru metode criptografice vechi în cele mai recente versiuni, pentru a preveni vulnerabilitățile de tip downgrade. Bitwarden afirmă că majoritatea problemelor au fost deja remediat sau sunt în curs de remediere, iar unele sunt considerate decizii de design necesare pentru a păstra funcționalitatea platformei. În cazul LastPass, echipa de securitate lucrează la consolidarea garanțiilor de integritate criptografică, pentru a lega mai strâns elementele din seifuri și a preveni exploitările.
Deși, până în prezent, nu există dovezi concrete că aceste vulnerabilități au fost exploatate în atacuri reale, studiul arată cât de dificil este ca implementarea criptării ZKE să fie complet sigură. Specialiștii subliniază importanța unei evaluări continue a arhitecturii acestor servicii, mai ales în scenarii în care serverele nu pot fi considerate de încredere totală.
Privind în perspectivă, aceste descoperiri ar putea impulsiona o nouă etapă în domeniul securității cibernetice, determinând companiile să își revizuiască și să își întărească infrastructura pentru gestionarea cheilor și protejarea utilizatorilor. Într-un context în care probabilitatea unor atacuri sofisticate continuă să crească, următorii ani vor fi decisive pentru stabilirea unor standarde mai riguroase în domeniul criptării și al autentificării digitale.
