Исследователи обнаружили уязвимости в популярных менеджерах паролей

Новое исследование специалистов по безопасности из ETH Zurich и Universita della Svizzera Italiana выявило ряд практических уязвимостей в облачных менеджерах паролей, включая LastPass, Bitwarden и Dashlane. Несмотря на заявления о «шифровании с нулевым знанием», исследователи обнаружили «целый ряд практических атак».

Учёные проанализировали и провели реверс-инжиниринг продуктов различных вендоров. В своей работе они отмечают:

«К сожалению, большинство из разработанных нами атак позволяют восстановить пароли — именно то, что менеджеры паролей призваны защищать».

Одна из ключевых проблем была обнаружена в механизмах условного депонирования ключей (key escrow). Например, при приглашении нового участника в общий сейф или сбросе его кода доступа генерируются ключи, которые отправляются клиенту. Исследователи выяснили, что результирующий шифротекст не всегда проверяется на целостность. Это позволяет злоумышленнику подменить один из ключей своим и впоследствии расшифровать данные, получив доступ к общему сейфу или возможность модифицировать его содержимое.

Атаки также затрагивают обратную совместимость с устаревшими версиями программного обеспечения и модель угроз, при которой сервер считается «полностью злонамеренным». Исследователи обнаружили распространённые антипаттерны в проектировании и криптографические заблуждения, ведущие к уязвимостям.

Это означает, что теоретически сотрудник компании-разработчика или злоумышленник, получивший доступ к серверам, может скомпрометировать хранимые пароли. Несмотря на это, эксперты по-прежнему считают менеджеры паролей лучшим способом хранения уникальных учётных данных. Для повышения безопасности рекомендуется использовать для восстановления доступа пароль, не хранящийся в самом менеджере, и обязательно настроить двухфакторную аутентификацию через отдельное приложение.