Una ricerca dell'Applied Cryptography Group presso l'ETH Zurich ha valutato la sicurezza di tre gestori di password cloud molto diffusi: Bitwarden, Lastpass e Dashlane. Il team, formato da Matilda Backendal, Matteo Scarlata, Kenneth Paterson e Giovanni Torrisi, segnala che i tre fornitori servono insieme circa 60 milioni di utenti e possiedono il 23% del mercato.
I ricercatori hanno testato il comportamento dei servizi nel caso in cui un server fosse compromesso e agisse in modo malevolo: hanno predisposto server che si comportavano come server violati e hanno assunto un modello di minaccia basato su server malevoli. Il team ha dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane; gli attacchi andavano dall'obiettivo su singole cassaforti utente fino alla compromissione completa di tutte le cassaforti di un'organizzazione. Nella maggior parte dei casi il gruppo è riuscito ad accedere alle password degli utenti e talvolta a modificarle, sfruttando interazioni normali come login, apertura della cassaforte, visualizzazione delle password e sincronizzazione dei dati.
Paterson ha osservato che i gestori di password sono obiettivi probabili per hacker esperti e che attacchi simili si sono verificati in passato. Scarlata ha rilevato un'architettura del codice insolita e ha detto che le funzionalità aggiunte per gli utenti hanno aumentato la superficie d'attacco; il team ha inoltre notato che molti fornitori usano ancora tecnologie crittografiche degli anni '90. I ricercatori hanno seguito la divulgazione responsabile, contattando i fornitori e concedendo 90 giorni per le correzioni: la maggior parte è stata collaborativa, ma non tutti hanno agito rapidamente, anche per timore di far perdere ai clienti l'accesso ai dati.
Le raccomandazioni includono aggiornare i sistemi per nuovi clienti, offrire migrazioni per i clienti esistenti ed essere trasparenti sulla sicurezza. Suggeriscono inoltre di preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default. Come ha detto Paterson: «Vogliamo che il nostro lavoro contribuisca a portare cambiamenti in questo settore.»
Parole difficili
- gestore — programma che salva e organizza password onlinegestori
- cassaforte — spazio sicuro per conservare password o daticassaforti
- superficie d'attacco — insieme di punti vulnerabili sfruttabili
- divulgazione responsabile — comunicare vulnerabilità ai fornitori prima pubblicazione
- crittografia — metodi per proteggere informazioni con codicicrittografiche
- minaccia — possibile azione che provoca danno o rischio
- migrazione — spostamento di dati o account a nuovo sistemamigrazioni
- audit — verifica indipendente della sicurezza e processi
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Quali problemi pratici possono avere i fornitori quando ricevono una segnalazione tramite divulgazione responsabile?
- Perché può essere importante preferire gestori sottoposti ad audit esterni e con crittografia end-to-end abilitata di default?
- Come pensi che la possibilità di migrare nuovi clienti e offrire migrazioni per clienti esistenti influenzi la fiducia degli utenti?
Articoli correlati
Persone con degenerazione maculare stimano l'arrivo delle auto
Uno studio con realtà virtuale ha confrontato adulti con degenerazione maculare legata all'età e adulti con visione normale nella stima del tempo di arrivo di un veicolo. I risultati mostrano performance simili e nessun vantaggio aggiuntivo dalla combinazione vista+suono.
