ETH Zurich trovas malfortikecojn en Bitwarden, LastPass kaj Dashlane ^{CEFR B2}

Esplorado de la Applied Cryptography Group ĉe ETH Zurich rigardis sekurecon de tri grandaj nuba pasvort-administriloj: Bitwarden, LastPass kaj Dashlane. La teamo, kiu inkluzivis Matilda Backendal, Matteo Scarlata, Kenneth Paterson kaj Giovanni Torrisi, trovis multajn seriozajn malfortikecojn. Backendal kaj Torrisi nun laboras ĉe la Università della Svizzera italiana en Lugano. Kune la tri provizantoj servas ĉirkaŭ 60 millionojn da uzantoj kaj havas 23% merkatparton.

Por testi la riskojn, la esploristoj starigis servilojn kiuj kondutis kiel kompromititaj kaj supozis danĝeran servilan minacmodelon. Ili montris 12 atakojn kontraŭ Bitwarden, 7 kontraŭ LastPass kaj 6 kontraŭ Dashlane. La atakoj intervalis de celado de specifaj uzantaj kaŝejoj ĝis kompleta kompromito de ĉiuj kaŝejoj en organizaĵo. En plej multaj kazoj la teamo povis aliri uzantajn pasvortojn kaj foje eĉ ŝanĝi ilin; ĉiuj atakoj uzis normalajn uzantajn agojn kiel ensaluto, malfermo de la kaŝejo, vidado de pasvortoj aŭ sinkronigo de datumoj.

La esploristoj diris, ke ili surpriziĝis pro la severeco de la malfortikecoj. Scarlata rimarkis neordinaran kodan arkitekturon kaj atentigis, ke uzant-amikaj funkcioj kiel pasvorta retrovo kaj kunhavigo pligrandigis la atakan surfacon. La teamo ankaŭ observis, ke multaj provizantoj daŭre uzas kriptografiajn teknologiojn el la 1990-aj jaroj.

Forta parto de la laboro estis respondeca malkaŝo: la teamo kontaktis la provizantojn antaŭ publikaĵo kaj donis 90 tagojn por ripari la problemojn. Paterson diris, ke plej multaj provizantoj estis kunlaboremaj, sed kelkaj ne reagis rapide, kaj programistoj timas ke ĝisdatigoj eble kaŭzos klientajn perdojn de aliro. Rekomendoj inkluzivas ĝisdatigi sistemojn por novaj klientoj, proponi migradon por ekzistantaj klientoj, esti travideblaj pri sekureco, subteni eksterajn reviziojn kaj defaŭlte ebligi fino-al-finan ĉifradon.