क्लाउड पासवर्ड मैनेजर के सुरक्षा खतरे ^{CEFR B1}

ETH Zurich के Applied Cryptography Group ने तीन लोकप्रिय क्लाउड-आधारित पासवर्ड मैनेजर — Bitwarden, LastPass और Dashlane — का अध्ययन किया। टीम में Matilda Backendal, Matteo Scarlata, Kenneth Paterson और Giovanni Torrisi शामिल थे। Backendal और Torrisi वर्तमान में Università della Svizzera italiana, Lugano में काम कर रहे हैं।

शोधकर्ताओं ने एक दुर्भावनापूर्ण सर्वर मॉडल अपनाया और हैक किए गए सर्वरों जैसा व्यवहार करने वाले सर्वर स्थापित किए। परीक्षणों में ऐसे हमले दिखाए गए जो एक विशिष्ट उपयोगकर्ता वॉल्ट से लेकर किसी संगठन के कई वॉल्ट तक जा सकते थे। अधिकांश मामलों में टीम पासवर्ड तक पहुँच बना सकती थी और कुछ स्थितियों में पासवर्ड बदल भी सकती थी। इन हमलों के लिए सामान्य उपयोगकर्ता क्रियाकलाप ही प्रयोग हुए, जैसे लॉगिन, वॉल्ट खोलना और डेटा सिंक करना।

टीम ने प्रदाताओं को पहले सूचित किया और कमजोरियाँ ठीक करने के लिए 90 दिनों का समय दिया। शोध से यह स्पष्ट हुआ कि प्रदाताओं को सिस्टम अपडेट करना, ग्राहकों के लिए माइग्रेशन विकल्प देना और सुरक्षा में पारदर्शिता रखनी चाहिए। उपयोगकर्ताओं को बाहरी ऑडिट और end-to-end एन्क्रिप्शन वाले मैनेजर प्राथमिकता देनी चाहिए।