Studiu de securitate: vulnerabilități majore identificate în serviciile de gestionare a parolelor bazate pe criptarea zero-knowledge

Un studiu recent, publicat în februarie 2026, scoate la iveală vulnerabilități surprinzătoare în serviciile populare de gestionare a parolelor din cloud, precum Bitwarden, LastPass și Dashlane. Analiza efectuată de cercetători de la ETH Zurich și Universitatea din Italia evidențiază posibilitatea unor atacuri care, în anumite condiții, pot compromite grav securitatea acestor platforme, cunoscute pentru promisiunea criptării „zero-knowledge”. Dacă aceste descoperiri se confirmă, sfârșitul unei protecții de încredere ar putea fi aproape pentru milioane de utilizatori și companii din întreaga lume.

Noțiunea de criptare zero-knowledge și implicațiile vulnerabilităților

Criptarea zero-knowledge (ZKE) reprezintă un model în care furnizorul serviciului nu are acces la datele utilizatorilor, cele din urmă având control total asupra cheilor de decriptare. Spre deosebire de criptarea end-to-end, care protejează datele în tranzit, ZKE își propune să asigure confidențialitatea datelor stocate, chiar și în cazul unui atac asupra infrastructurii. În practică, aceasta înseamnă că dacă serverul devine ținta unui compromit, datele ar trebui să rămână inviolabile.

Însă, cercetătorii au analizat ipoteza unui server malițios, adică în scenariul în care infrastructura furnizorului este compromisă, fie din motive de abuz, fie din cauza unor breșe de securitate anterioare. Rezultatele au fost alarmante: au fost descoperite 12 vulnerabilități la Bitwarden, 7 la LastPass și 6 la Dashlane, toate service-uri care gestionează, cumulativ, datele a peste 60 de milioane de utilizatori și circa 125.000 de companii. Vulnerabilitățile se încadrează în patru categorii principale, cele mai periculoase fiind exploatarea mecanismelor de recuperare a parolei și slăbiciunile criptografice.

Reacțiile companiilor și măsurile de remediere

Reprezentanții celor trei mari jucători din piață au reacționat rapid. Dashlane, de exemplu, a anunțat că a eliminat suportul pentru metode criptografice vechi în noua versiune a extensiei, lansată în noiembrie 2025, pentru a preveni atacurile de downgrade. Bitwarden a declarat că majoritatea vulnerabilităților au fost déjà remediate sau sunt în proces de remediere, menționând însă că anumite decizii de proiectare au fost luate pentru a menține funcționalitatea serviciului. În privința LastPass, compania stă acum în proces de consolidare a garanțiilor de integritate criptografică, pentru a lega mai strâns toate elementele din seifurile digitale ale utilizatorilor.

Reprezentanții 1Password, un alt serviciu popular, au precizat că vulnerabilitățile identificate în studiu sunt cunoscute și legate de limitările arhitecturale deja documentate. În plus, compania utilizează protocolul Secure Remote Password (SRP), menit să reducă riscurile anumitor atacuri server-side, asigurând un plus de siguranță pentru utilizatori.

Ce urmează în domeniul securității serviciilor de gestionare a parolelor?

Desigur, până în prezent, nu există dovezi concrete că aceste vulnerabilități au fost exploatate în atacuri reale, însă descoperirile scot în evidență o problemă de fond: complexitatea ridicată a implementării corecte a criptării zero-knowledge. Pe măsură ce tehnologia avansează și numărul de utilizatori crește, fiind tot mai dependenți de aceste platforme pentru a-și proteja datele, este clar că necesitatea unor reevaluate constante ale arhitecturii de securitate devine vitală.

Totodată, cercetările recente aduc în prim-plan importanța colaborării între specialiștii în cybersecurity și companiile de tehnologie pentru a identifica și corecta în prealabil vulnerabilitățile. În timp ce noile măsuri și actualizări sunt implementate, utilizatorii trebuie să fie conștienți că, oricât de robuste păreau inițial, aceste servicii pot avea în continuare puncte slabe dacă nu sunt gestionate corespunzător. Într-un peisaj digital din ce în ce mai vulnerabil, protecția datelor devine o responsabilitate comună, iar firmele de securitate trebuie să fie în permanență cu un pas înaintea infractorilor cibernetici.