在過去 15 年裡,密碼管理器已經從技術專家使用的小眾安全工具發展成為大眾不可或缺的安全工具,估計有 9,400 萬美國成年人(約佔其中的 36%)採用。它們不僅儲存退休帳戶、金融帳戶和電子郵件帳戶的密碼,而且還經常儲存加密貨幣憑證、支付卡號和其他敏感資料。
所有八家頂級密碼管理器都採用「零知識」一詞來描述他們用來保護使用者儲存在其伺服器上的資料保險庫的複雜加密系統。不同供應商的定義略有不同,但通常都歸結為一個大膽的斷言:惡意內部人員或駭客無法破壞雲端基礎設施來竊取金庫或儲存在其中的資料。考慮到先前的 LastPass 違規事件以及全國範圍內的駭客有動機和能力獲取屬於高價值目標的密碼庫的合理預期,這些承諾似乎是合理的。
大膽的說法已被揭穿
其中包括 Bitwarden、Dashlane 和 LastPass 等公司的聲明,這些產品的用戶總數已接近 6,000 萬人。例如,Bitwarden 說:「即使 Bitwarden 團隊也無法讀取您的資料(即使我們想這樣做)。」與此同時,Dashlane 表示,如果沒有用戶的主密碼,「即使 Dashlane 的伺服器受到損害,惡意行為者也無法竊取資訊。」 LastPass 表示,沒有人可以存取「儲存在 LastPass 保險庫中的資料,除了你甚至 Last Last Last7(甚至 Last)外。
新的研究表明,這些說法並不適用於所有情況,特別是當帳戶恢復正在進行或僱用密碼管理員來共享保管庫或將使用者分組時。研究人員對 Bitwarden、Dashlane 和 LastPass 進行了逆向工程或仔細分析,並確定了控制伺服器的人(無論是透過管理還是透過妥協)竊取數據,在某些情況下甚至竊取整個金庫的方式。研究人員還設計了其他攻擊,可以削弱加密,使密文可以轉換為明文。
發布日期: 2026-02-17 20:43:00
來源連結: arstechnica.com
