Przejdź na

Menedżery haseł z lukami. Mogą poznać dane poufne

Naukowcy z ETH Zurich i USI Lugano opisali 25 technik ataku na Bitwarden, LastPass i Dashlane. W określonych scenariuszach serwer może odzyskać lub osłabić zawartość sejfów, podważając obietnicę "zero wiedzy".

Według BIK co dziesiąty Polak korzysta z jednego hasła do wszystkich urządzeń i aplikacjiUważaj na tych menedżerów haseł
Źródło zdjęć: © Adobe Stock | KHUNKORN
Aleksandra Dąbrowska
oprac.  Aleksandra Dąbrowska

Zespół badaczy wskazał, że przy kontroli nad serwerem możliwe jest odzyskanie kluczy lub obniżenie ochrony. Najpoważniejsze wektory dotyczą Bitwarden i LastPass przy odzyskiwaniu konta i udostępnianiu, a w Dashlane – przy współdzieleniu. Opisano łącznie 25 technik.

Wszystkie trzy usługi promują "zero wiedzy", czyli brak dostępu chmury do treści sejfów. Analiza pokazuje wyjątki wynikające m.in. z depozytu kluczy i zgodności wstecznej. Te mechanizmy otwierają drogę do ingerencji w kryptografię i osłabienia zabezpieczeń.

Krytyczne scenariusze: Bitwarden i LastPass

W Bitwarden brak weryfikacji integralności kluczy przy dołączaniu do organizacji pozwala podmienić klucz publiczny grupy. Atakujący może odzyskać klucz użytkownika, a następnie czytać i modyfikować cały sejf nowego członka. Podobną lukę opisano przy rotacji kluczy.

W LastPass problem dotyczy kluczy superadminów w zespołach. Po resecie hasła master lista kluczy jest pobierana przy każdym logowaniu rozszerzeniem. Brak ich uwierzytelnienia umożliwia podmianę i przechwycenie nowego klucza użytkownika.

Reklama Galaxy S26 pod ostrzałem. Użytkownicy wytykają AI w nocnym klipie
Reklama Galaxy S26 pod ostrzałem. Użytkownicy wytykają AI w nocnym klipie

Współdzielenie wpisów i degradacja kryptografii

W Bitwarden, LastPass i Dashlane pary kluczy do udostępniania wpisów nie są uwierzytelniane. Podmiana kluczy otwiera dostęp do wspólnych danych, a czasem ich modyfikację. To uderza w prywatność współdzielonych sejfów.

Google Home po aktualizacji. Nowości w smart home
Google Home po aktualizacji. Nowości w smart home

Zgodność wsteczna potrafi osłabić szyfrowanie. W Bitwarden możliwa jest degradacja do CBC i atak typu "padding oracle" prowadzący do odczytu. W Dashlane łańcuch degradacji jest złożony, ale pozwala na długotrwałą ekstrakcję danych.

Słaby parametr KDF i podatność pól wpisów

We wszystkich trzech usługach serwer podaje liczbę iteracji haszowania hasła master bez twardego minimum. Obniżenie z 600 tys. do 2 drastycznie ułatwia łamanie skrótu po wycieku. To znacząco osłabia odporność na ataki offline.

Pendolino jak samolot. PKP testuje nowości w podróży
Pendolino jak samolot. PKP testuje nowości w podróży

Badacze opisują też "zmienność" pól wpisów. Podmiana zaszyfrowanego URL na zaszyfrowane hasło sprawia, że klient odszyfruje hasło i wyśle je po ikonę strony. Jednolity klucz dla pól wzmacnia ten wektor; rozdzielenie kluczy lub jednorazowe szyfrowanie całego wpisu ogranicza ryzyko.

Reakcje firm i definicja "zero wiedzy"

Firmy podkreślają wysoki próg modelu zagrożeń i audyty. Bitwarden mówi o stałych ulepszeniach i tym, że scenariusz zakłada złośliwy serwer. LastPass wskazuje wielowarstwowe testy. Dashlane zapewnia o szybkim łagodzeniu. 1Password przyznaje w dokumentacji, że złośliwy serwer mógłby podać nieuczciwe klucze publiczne.

Badacze oceniają, że termin "zero wiedzy" bywa hasłem marketingowym. Kluczowe ryzyka to: brak uwierzytelniania kluczy przy współdzieleniu, degradacja kryptografii przez zgodność wsteczną oraz możliwość osłabienia parametrów KDF przez serwer.

Misja AI
Misja AI © Cyfrowi Bezpieczni

Aleksandra Dąbrowska, dziennikarka Wirtualnej Polski

Wybrane dla Ciebie
Ziemia drży pod Polską. Setki sygnałów w jednym miesiącu
Ziemia drży pod Polską. Setki sygnałów w jednym miesiącu
Przenieśli przeglądarkę ze smartfonów. Teraz skorzystasz z niej na komputerze
Przenieśli przeglądarkę ze smartfonów. Teraz skorzystasz z niej na komputerze
Iwan Rogow, czyli rosyjski Mistral. Rosja buduje największy okręt od czasów ZSRR
Iwan Rogow, czyli rosyjski Mistral. Rosja buduje największy okręt od czasów ZSRR
Kości zostały rzucone. Ukraina ich nie otrzyma
Kości zostały rzucone. Ukraina ich nie otrzyma
Eliminują rosyjskie drony snopem światła. Nowa tajemnicza broń w użyciu
Eliminują rosyjskie drony snopem światła. Nowa tajemnicza broń w użyciu
Anomalia grawitacyjna na Marsie. Czerwona planeta przyspiesza
Anomalia grawitacyjna na Marsie. Czerwona planeta przyspiesza
Gemini w samochodzie. Kierowcy wciąż czekają na nową funkcję
Gemini w samochodzie. Kierowcy wciąż czekają na nową funkcję
Uchodzą za mocarstwo. Ich lotnictwo ma amunicji na trzy dni walk
Uchodzą za mocarstwo. Ich lotnictwo ma amunicji na trzy dni walk
Narodziny planet przy gwieździe WISPIT 2. Tak powstają nowe światy
Narodziny planet przy gwieździe WISPIT 2. Tak powstają nowe światy
Nowa fala oszustw. Cyberprzestępcy uderzają w klientów PGE
Nowa fala oszustw. Cyberprzestępcy uderzają w klientów PGE
Najstarsze DNA psa znalezione w Turcji. Nowe dane zmieniają historię
Najstarsze DNA psa znalezione w Turcji. Nowe dane zmieniają historię
Saturn, jakiego jeszcze nie widziałeś. To dzieło Hubble'a i Webba
Saturn, jakiego jeszcze nie widziałeś. To dzieło Hubble'a i Webba
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯