在過去的15年間,密碼管理器從主要供技術愛好者使用的小眾工具演變為大眾的重要安全工具。美國約9400萬成人,也就是大約36%,現在使用這些工具,不僅保護金融、退休金和電子郵件帳戶的密碼,還保護加密貨幣憑證、支付卡號碼和其他敏感信息。
所有八大領先的密碼管理器都採用了「零知識」這個術語來描述其旨在保護存儲在其服務器上的數據保管庫的複雜加密系統。儘管每個供應商的定義略有不同,但他們都承諾一個堅定的保障:惡意內部人員或泄露雲基礎設施的駭客無法訪問保管庫或其中包含的數據。鑑於以往如 LastPass 的泄密事件以及國家級駭客針對高價值帳戶的可信風險,這些保證至關重要。
一個大膽的保證被揭穿
值得注意的是,像 Bitwarden、Dashlane 和 LastPass 等公司,總計服務約6000萬用戶,也提出了類似的聲明。例如,Bitwarden 聲稱「就連 Bitwarden 團隊都無法閱讀您的數據(即便我們想要)。」。Dashlane 主張沒有用戶的主密碼,「即便 Dashlane 的服務器被攻破,惡意行為者也無法竊取信息。」。LastPass 表示,數據存儲在用戶的保管庫中僅限於用戶訪問,就連 LastPass 自身也無法訪問。
然而,新的研究表明,這些聲明在某些情況下可能不成立,尤其是當帳戶恢復功能啟用或配置密碼管理器以分享保管庫或組織用戶組時。研究人員通過反向工程或仔細分析 Bitwarden、Dashlane 和 LastPass,發現了一些潛在的方法,如何控制服務器的人——無論是通過管理訪問還是攻破的噸穿——能夠提取數據,甚至在某些情況下提取整個保管庫。此外,研究人員開發了其他方法,可能削弱加密,潛在地將密文轉換為明文。