Molto probabilmente da tempo stai utilizzando un gestore di credenziali con la certezza che tutti i dati in esso contenuti siano completamente al sicuro, meglio di una cassaforte. Purtroppo però sembra non essere più così o forse non lo è mai stato. Infatti, i ricercatori del Politecnico Federale di Zurigo hanno recentemente scoperto gravi vulnerabilità di sicurezza in tre famosi password manager.
“Il team ha condotto uno studio per analizzare l’architettura di sicurezza di tre noti provider di password manager: Bitwarden, LastPass e Dashlane“, si legge nel comunicato stampa. “Gli attacchi spaziavano da violazioni dell’integrità che colpivano specifici vault utente mirati alla compromissione completa di tutti i vault all’interno di un’organizzazione che utilizzava il servizio. Nella maggior parte dei casi, i ricercatori sono riusciti ad accedere alle password e persino a modificarle“.
Kenneth Paterson, del Gruppo di Crittografia Applicata dell’ETH di Zurigo, ha spiegato: “Siamo rimasti sorpresi dalla gravità delle vulnerabilità di sicurezza. Dato che la crittografia end-to-end è ancora relativamente nuova nei servizi commerciali, sembra che nessuno l’avesse mai esaminata in dettaglio prima“.
Il tuo password manager è sicuro?
Le tue credenziali potrebbero essere in pericolo se tali attacchi fossero mossi da parte di cybercriminali contro il tuo password manager. Questo anche perché, come spiega Matteo Scarlata, dottorando presso l’Applied Cryptography Group, “attacchi di questo tipo non richiedono computer o server particolarmente potenti, ma solo piccoli programmi in grado di impersonare il server“.
Il team di ricerca ha contattato i fornitori di questi servizi mostrando la situazione: “Per la maggior parte, i fornitori si sono dimostrati collaborativi e riconoscenti, ma non tutti sono stati altrettanto rapidi nel risolvere le vulnerabilità di sicurezza“, ha affermato Paterson.
I fornitori di gestori di password non dovrebbero fare false promesse ai propri clienti in termini di sicurezza, ma piuttosto comunicare in modo più chiaro e preciso quali garanzie di sicurezza le loro soluzioni effettivamente offrono. Vogliamo che il nostro lavoro contribuisca a cambiare questo settore.
