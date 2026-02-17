Швейцарские исследователи обнаружили, что популярные менеджеры паролей, несмотря на использование доказательства с нулевым разглашением, раскрывали учетные данные для входа.

Для обеспечения эффективной защиты пароли должны быть особенно сложными. Современные менеджеры паролей призваны помогать генерировать безопасные комбинации и централизованно управлять ими. Однако, как сообщает The Register, многие решения не очень безопасны. Исследователи выявили несколько уязвимостей, которые могут быть использованы для взлома даже проверенных менеджеров.

Изображение: нейросеть freepik

Менеджеры паролей от Apple и Google доминируют на рынке. Они интегрированы непосредственно в соответствующие устройства и предлагают многим пользователям простой и бесплатный способ создания и хранения сложных учетных данных для входа. Кроме того, существует множество других поставщиков. Большинство из них рекламируют так называемое доказательство с нулевым разглашением, при котором пароли шифруются непосредственно на устройстве пользователя. Серверы сервисов хранят только зашифрованные данные.

Исследовательская группа изучила три популярных менеджера паролей. Они не имитировали классические удаленные атаки на отдельных пользователей, а проверяли, насколько хорошо системы защищают пароли при компрометации их серверов. Для тестирования исследователи настроили серверы, которые вели себя как модифицированные версии оригинальных серверов. Во многих успешных сценариях им удалось получить зашифрованные пароли и, в некоторых случаях, даже изменить записи. Семь из двенадцати успешных атак на Bitwarden привели к раскрытию паролей. Это произошло в случае трех атак на LastPass и одной на Dashlane.

Все три провайдера рекламируют шифрование с нулевым разглашением. Однако исследование показывает, что ни один из сервисов четко не определяет, от какой конкретной модели угроз должно защищать соответствующее решение.

Одной из возможных причин этого является широко распространенное мнение о том, что менеджеры паролей — это технически простые приложения. В действительности их кодовые базы гораздо сложнее. Многие поставщики избегают фундаментальной переработки кода из-за опасения безвозвратной потери существующих пользовательских данных. Поэтому некоторые компании продолжают поддерживать старые форматы. Это увеличивает сложность программного обеспечения и может создавать дополнительные риски безопасности.