Un team dell'Applied Cryptography Group presso l'ETH Zurich ha analizzato tre popolari gestori di password cloud: Bitwarden, Lastpass e Dashlane. I tre fornitori coprono insieme circa 60 milioni di utenti e detengono il 23% del mercato.
I ricercatori hanno costruito server che si comportavano come se fossero violati e hanno adottato un modello di minaccia basato su server malevoli. Hanno dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane. Gli attacchi andavano da obiettivi su singole cassaforti utente alla compromissione completa di tutte le cassaforti di un'organizzazione. In molti casi il team è riuscito ad accedere alle password e talvolta a modificarle.
Il gruppo ha osservato che funzionalità user-friendly, come il recupero delle password e la condivisione, hanno aumentato la complessità del codice e la superficie d'attacco. I ricercatori hanno seguito la divulgazione responsabile e hanno dato 90 giorni ai fornitori per correggere i problemi. Tra le raccomandazioni: aggiornare i sistemi, offrire migrazione ai clienti esistenti e usare audit esterni e crittografia end-to-end attiva per default.
Parole difficili
- analizzare — esaminare attentamente per trovare problemi o errorianalizzato
- gestore — servizio che salva e organizza le password degli utentigestori
- server — computer che fornisce servizi e dati su una rete
- minaccia — possibile pericolo che può compromettere la sicurezza
- cassaforte — spazio protetto dove si conservano password o daticassaforti
- divulgazione — comunicazione controllata di problemi di sicurezza ai fornitori
- crittografia — tecnica che rende i dati illeggibili per estranei
- migrazione — spostamento dei clienti a un nuovo sistema o servizio
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Preferisci un gestore di password con molte funzionalità user-friendly o uno più semplice e sicuro? Perché?
- Se il tuo gestore di password fosse violato, cosa faresti subito?
- Pensi che le aziende dovrebbero attivare la crittografia end-to-end per default? Spiega brevemente.
Articoli correlati
Uganda: riforme per scienza e innovazione
Un rapporto nazionale chiede riforme nei sistemi di scienza, tecnologia e innovazione in Uganda per aiutare il paese a diventare a reddito medio. Segnala lacune di genere, finanziamenti deboli e la necessità di collegare ricerca, governo e imprese.
In Ecuador rilanciata una sezione di Hacks Hackers contro la disinformazione
Un gruppo in Ecuador ha rilanciato una sezione locale di Hacks Hackers per affrontare la disinformazione elettorale con strumenti tecnologici. Hanno organizzato una conferenza e un hackathon e tre progetti hanno ricevuto premi e mentoring.
Tagli agli aiuti e rischio per i servizi sanitari nel 2025
Nel 2025 grandi tagli agli aiuti internazionali hanno ridotto servizi sanitari e umanitari in molti paesi a basso e medio reddito. La sospensione di fondi da parte degli USA e tagli di altri paesi hanno causato interruzioni immediate e vulnerabilità diffuse.