U posljednjih 15 godina, menadžeri lozinki evoluirali su iz specijaliziranih sigurnosnih alata za tehnološki pismene korisnike u neophodne alate sigurnosti za širu populaciju, s procijenjenih 94 milijuna odraslih u SAD-u koji ih koriste. Oni pohranjuju ne samo lozinke za račune, već i osjetljive podatke poput kriptovaluta i brojeva kreditnih kartica.
Svi vodeći menadžeri lozinki koriste termin “zero knowledge” kako bi opisali složeni sustav enkripcije koji koriste za zaštitu podataka. Međutim, nova istraživanja pokazuju da ovi zahtjevi nisu uvijek točni, posebno kada su uključeni procesi oporavka računa ili kada su lozinke dijeljene među korisnicima. Istraživači su analizirali Bitwarden, Dashlane i LastPass i utvrdili načine na koje napadači mogu ukrasti podatke ili čak cijele trezore.
Jedan od napada na Bitwarden uključuje zamjenu javnog ključa s onim koji je stvorio napadač, što omogućuje dekripciju podataka i pristup cijelom trezoru. Drugi napad omogućuje napadaču da povrati korisničku glavnu lozinku, iskorištavajući značajku koja je namijenjena oporavku računa.
Nadalje, napadi na LastPass također su ciljano usmjereni na sustav oporavka ključevima, posebno kada se glavna lozinka resetira od strane privilegiranog korisnika. Ovi napadi omogućuju napadaču da zamijeni javni ključ superadmina s vlastitim ključem, čime dobiva pristup korisničkim podacima.
Osim toga, postoje i napadi koji omogućuju čitanje i modifikaciju dijeljenih trezora, što može omogućiti napadaču da dobije pristup svim dijeljenim stavkama. Korištenjem ranijih verzija menadžera lozinki, napadači mogu iskoristiti slabosti koje su prisutne zbog podrške starijim, manje sigurnim verzijama.
Istraživači upozoravaju da su ranjivosti brojne, ali većina nije duboka u tehničkom smislu. Unatoč višegodišnjim revizijama sigurnosti, čini se da su mnogi menadžeri lozinki i dalje ranjivi na slične napade. Istraživači su također primijetili da bi mnogi drugi menadžeri lozinki, koji nisu bili podvrgnuti detaljnoj analizi, mogli imati slične slabosti.
U zaključku, dok napadi na infrastrukturu poslužitelja menadžera lozinki mogu biti teški, postoji realna opasnost da sofisticirani napadači, poput onih na razini država, mogu kompromitirati ove sustave. Stoga je važno da korisnici budu svjesni mogućih rizika i da koriste dodatne mjere zaštite.
