Una ricerca dell'Applied Cryptography Group presso l'ETH Zurich ha valutato la sicurezza di tre gestori di password cloud molto diffusi: Bitwarden, Lastpass e Dashlane. Il team, formato da Matilda Backendal, Matteo Scarlata, Kenneth Paterson e Giovanni Torrisi, segnala che i tre fornitori servono insieme circa 60 milioni di utenti e possiedono il 23% del mercato.
I ricercatori hanno testato il comportamento dei servizi nel caso in cui un server fosse compromesso e agisse in modo malevolo: hanno predisposto server che si comportavano come server violati e hanno assunto un modello di minaccia basato su server malevoli. Il team ha dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane; gli attacchi andavano dall'obiettivo su singole cassaforti utente fino alla compromissione completa di tutte le cassaforti di un'organizzazione. Nella maggior parte dei casi il gruppo è riuscito ad accedere alle password degli utenti e talvolta a modificarle, sfruttando interazioni normali come login, apertura della cassaforte, visualizzazione delle password e sincronizzazione dei dati.
Paterson ha osservato che i gestori di password sono obiettivi probabili per hacker esperti e che attacchi simili si sono verificati in passato. Scarlata ha rilevato un'architettura del codice insolita e ha detto che le funzionalità aggiunte per gli utenti hanno aumentato la superficie d'attacco; il team ha inoltre notato che molti fornitori usano ancora tecnologie crittografiche degli anni '90. I ricercatori hanno seguito la divulgazione responsabile, contattando i fornitori e concedendo 90 giorni per le correzioni: la maggior parte è stata collaborativa, ma non tutti hanno agito rapidamente, anche per timore di far perdere ai clienti l'accesso ai dati.
Le raccomandazioni includono aggiornare i sistemi per nuovi clienti, offrire migrazioni per i clienti esistenti ed essere trasparenti sulla sicurezza. Suggeriscono inoltre di preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default. Come ha detto Paterson: «Vogliamo che il nostro lavoro contribuisca a portare cambiamenti in questo settore.»
Parole difficili
- gestore — programma che salva e organizza password onlinegestori
- cassaforte — spazio sicuro per conservare password o daticassaforti
- superficie d'attacco — insieme di punti vulnerabili sfruttabili
- divulgazione responsabile — comunicare vulnerabilità ai fornitori prima pubblicazione
- crittografia — metodi per proteggere informazioni con codicicrittografiche
- minaccia — possibile azione che provoca danno o rischio
- migrazione — spostamento di dati o account a nuovo sistemamigrazioni
- audit — verifica indipendente della sicurezza e processi
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Quali problemi pratici possono avere i fornitori quando ricevono una segnalazione tramite divulgazione responsabile?
- Perché può essere importante preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default?
- Come pensi che la possibilità di migrare nuovi clienti e offrire migrazioni per clienti esistenti influenzi la fiducia degli utenti?
Articoli correlati
AI e disinformazione nelle elezioni in Bangladesh
Il 12 febbraio il Bangladesh ha tenuto un'elezione dopo una grande sollevazione studentesca del luglio 2024. Durante la campagna l'intelligenza artificiale ha generato immagini e video falsi che hanno diffuso notizie e citazioni inventate.
