Un team dell'Applied Cryptography Group presso l'ETH Zurich ha analizzato tre popolari gestori di password cloud: Bitwarden, Lastpass e Dashlane. I tre fornitori coprono insieme circa 60 milioni di utenti e detengono il 23% del mercato.
I ricercatori hanno costruito server che si comportavano come se fossero violati e hanno adottato un modello di minaccia basato su server malevoli. Hanno dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane. Gli attacchi andavano da obiettivi su singole cassaforti utente alla compromissione completa di tutte le cassaforti di un'organizzazione. In molti casi il team è riuscito ad accedere alle password e talvolta a modificarle.
Il gruppo ha osservato che funzionalità user-friendly, come il recupero delle password e la condivisione, hanno aumentato la complessità del codice e la superficie d'attacco. I ricercatori hanno seguito la divulgazione responsabile e hanno dato 90 giorni ai fornitori per correggere i problemi. Tra le raccomandazioni: aggiornare i sistemi, offrire migrazione ai clienti esistenti e usare audit esterni e crittografia end-to-end attiva per default.
Parole difficili
- analizzare — esaminare attentamente per trovare problemi o errorianalizzato
- gestore — servizio che salva e organizza le password degli utentigestori
- server — computer che fornisce servizi e dati su una rete
- minaccia — possibile pericolo che può compromettere la sicurezza
- cassaforte — spazio protetto dove si conservano password o daticassaforti
- divulgazione — comunicazione controllata di problemi di sicurezza ai fornitori
- crittografia — tecnica che rende i dati illeggibili per estranei
- migrazione — spostamento dei clienti a un nuovo sistema o servizio
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Preferisci un gestore di password con molte funzionalità user-friendly o uno più semplice e sicuro? Perché?
- Se il tuo gestore di password fosse violato, cosa faresti subito?
- Pensi che le aziende dovrebbero attivare la crittografia end-to-end per default? Spiega brevemente.
Articoli correlati
L'intelligenza artificiale nei tribunali indiani
I tribunali indiani hanno un grande arretrato di cause e stanno adottando tecnologie come AI, e-Courts, SUPACE, SUVAS e Adalat.AI. Le innovazioni promettono vantaggi ma sollevano rischi legati a errori, pregiudizi e protezione dei dati.
Strumento riduce l'ostilità nel feed di X
Ricercatori hanno creato un'estensione che usa un grande modello linguistico per riordinare il feed di X, declassando contenuti antidemocratici. In test con volontari durante le elezioni del 2024, l'atteggiamento verso l'altro partito è migliorato.
I 10 migliori studi del 2025 secondo Futurity
Futurity ha pubblicato la classifica dei dieci migliori articoli di ricerca del 2025, con studi su animali, energia, archeologia, neuroscienze, nutrizione, materiali e salute ambientale. L'invito è a tornare nel 2026 per altri aggiornamenti.