Una ricerca dell'Applied Cryptography Group presso l'ETH Zurich ha valutato la sicurezza di tre gestori di password cloud molto diffusi: Bitwarden, Lastpass e Dashlane. Il team, formato da Matilda Backendal, Matteo Scarlata, Kenneth Paterson e Giovanni Torrisi, segnala che i tre fornitori servono insieme circa 60 milioni di utenti e possiedono il 23% del mercato.
I ricercatori hanno testato il comportamento dei servizi nel caso in cui un server fosse compromesso e agisse in modo malevolo: hanno predisposto server che si comportavano come server violati e hanno assunto un modello di minaccia basato su server malevoli. Il team ha dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane; gli attacchi andavano dall'obiettivo su singole cassaforti utente fino alla compromissione completa di tutte le cassaforti di un'organizzazione. Nella maggior parte dei casi il gruppo è riuscito ad accedere alle password degli utenti e talvolta a modificarle, sfruttando interazioni normali come login, apertura della cassaforte, visualizzazione delle password e sincronizzazione dei dati.
Paterson ha osservato che i gestori di password sono obiettivi probabili per hacker esperti e che attacchi simili si sono verificati in passato. Scarlata ha rilevato un'architettura del codice insolita e ha detto che le funzionalità aggiunte per gli utenti hanno aumentato la superficie d'attacco; il team ha inoltre notato che molti fornitori usano ancora tecnologie crittografiche degli anni '90. I ricercatori hanno seguito la divulgazione responsabile, contattando i fornitori e concedendo 90 giorni per le correzioni: la maggior parte è stata collaborativa, ma non tutti hanno agito rapidamente, anche per timore di far perdere ai clienti l'accesso ai dati.
Le raccomandazioni includono aggiornare i sistemi per nuovi clienti, offrire migrazioni per i clienti esistenti ed essere trasparenti sulla sicurezza. Suggeriscono inoltre di preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default. Come ha detto Paterson: «Vogliamo che il nostro lavoro contribuisca a portare cambiamenti in questo settore.»
Parole difficili
- gestore — programma che salva e organizza password onlinegestori
- cassaforte — spazio sicuro per conservare password o daticassaforti
- superficie d'attacco — insieme di punti vulnerabili sfruttabili
- divulgazione responsabile — comunicare vulnerabilità ai fornitori prima pubblicazione
- crittografia — metodi per proteggere informazioni con codicicrittografiche
- minaccia — possibile azione che provoca danno o rischio
- migrazione — spostamento di dati o account a nuovo sistemamigrazioni
- audit — verifica indipendente della sicurezza e processi
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Quali problemi pratici possono avere i fornitori quando ricevono una segnalazione tramite divulgazione responsabile?
- Perché può essere importante preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default?
- Come pensi che la possibilità di migrare nuovi clienti e offrire migrazioni per clienti esistenti influenzi la fiducia degli utenti?
Articoli correlati
Sfide della creator economy in Africa
Un rapporto presentato al Africa Creators Summit di Lagos nel gennaio 2026 mostra una crescita del settore, ma molti creatori africani guadagnano poco. Problemi principali: pagamenti incerti, limiti dei sistemi di pagamento e sfide legate a dati e intelligenza artificiale.
Violenza digitale contro giornaliste e attiviste in Indonesia
Negli ultimi cinque anni la violenza digitale contro giornaliste e attiviste in Indonesia è aumentata. Le vittime subiscono doxing, foto manipolate, attacchi DDoS e molestie; le risposte istituzionali e delle piattaforme restano spesso insufficienti.
El Salvador e l'intelligenza artificiale nella sanità pubblica
Il governo di El Salvador promuove l'uso dell'intelligenza artificiale per modernizzare i servizi pubblici. DoctorSV, un'app di telemedicina sostenuta dal CAF e da Google, entra nella seconda fase ad aprile 2026, ma ci sono preoccupazioni su licenziamenti, privacy e sicurezza.
Un metodo per rendere l'AI più sostenibile
Ricercatori propongono Federated Carbon Intelligence (FCI) per ridurre le emissioni dei data center e proteggere i server, collegando dati ambientali e stato delle macchine. Simulazioni mostrano riduzioni importanti e ora si punta a test reali.
Tubi metallici che non affondano
Ricercatori della University of Rochester hanno creato tubi di alluminio trattati che restano vuoti d'acqua grazie a una superficie superidrofobica. Il metodo, pubblicato su Advanced Functional Materials, può aiutare navi, boe e piattaforme galleggianti.