Európai akadémiai kutatók súlyos biztonsági hibákat azonosítottak több vezető, felhőalapú jelszókezelő szolgáltatásban. A vizsgálatot az ETH Zurich és az Università della Svizzera italiana (USI) szakértői végezték.
Az érintett platformok:
- Bitwarden
- LastPass
- Dashlane
- 1Password
A kutatók összesen 27 különböző támadási forgatókönyvet dolgoztak ki, amelyek közül több képes volt:
- jelszavak visszafejtésére
- titkosított trezor tartalmának módosítására
- teljes vállalati vault kompromittálására
A tanulmány 2026. február 16-án jelent meg, és bemutatásra kerül az augusztusi USENIX Security Symposium konferencián.
🔐 A „Zero-Knowledge” modell kihívás előtt
A jelszókezelők évek óta a „zero-knowledge encryption” modellt hirdetik, amely szerint még a szolgáltató sem fér hozzá a felhasználói adatokhoz.
A kutatás azonban azt mutatja, hogy:
- implementációs hibák alááshatják a kriptográfiai ígéreteket
- a szerveroldali bizalom túlzott
- egyes onboarding és recovery folyamatok manipulálhatók
🧠 Azonosított kriptográfiai gyengeségek
A kutatók négy fő hibakategóriát azonosítottak:
1️⃣ Key Escrow támadások
Account recovery mechanizmusok kihasználása.
- 4 sikeres exploit (Bitwarden, LastPass)
2️⃣ Vault titkosítási hibák
Item-szintű titkosítás manipulálása.
- 11 sikeres exploit (mind a négy platform érintett)
3️⃣ Megosztási mechanizmus hibái
Gyenge publikus kulcs-hitelesítés.
- 5 sikeres exploit
4️⃣ Visszafelé kompatibilitási downgrade támadások
Legacy titkosítás visszaerőltetése brute-force céljából.
- 7 sikeres exploit (Dashlane, Bitwarden főként)
📊 Platformonkénti érintettség
- Bitwarden: 12 forgatókönyv
- LastPass: 7 forgatókönyv
- Dashlane: 6 forgatókönyv
- 1Password: 2 forgatókönyv
🛡 1Password relatív ellenállóképessége
Az 1Password erősebb védelmet mutatott, főként a magas entrópiájú „Secret Key” miatt, amely a master jelszóval kombinálva jelentősen megnehezíti brute-force támadást.
A kutatók szerint normál körülmények között az ilyen támadás „gyakorlatilag kivitelezhetetlen”.
🚨 Bitwarden „Malicious Auto-Enrolment” támadás
Az egyik legsúlyosabb forgatókönyv a Bitwarden szervezeti onboarding folyamatát érintette.
Támadás menete:
- Szerverkommunikáció manipulálása
- Automatikus account recovery engedélyezése
- Publikus kulcs cseréje támadó kulcsára
- Master key titkosítása támadó kulccsal
- Teljes vault hozzáférés megszerzése
Mivel a kliens implicit módon megbízik a szerver válaszaiban, a felhasználó nem érzékeli a kompromittálást.
🏢 Vállalati kockázatok
Különösen veszélyeztetettek:
- megosztott vaulttal működő cégek
- centralizált recovery policy-t használó szervezetek
- nagyvállalati onboarding rendszerek
Egyetlen kompromittált kulcs teljes szervezeti jelszótárolót érinthet.
🧪 Aktív kihasználás?
A kutatók szerint:
- nincs bizonyíték aktív támadásra
- koordinált 90 napos disclosure történt
- javítási folyamat folyamatban
Az érintett szolgáltatók megerősítették a remediation munkát.
👤 Mit tegyenek a felhasználók?
Egyéni felhasználóknak:
✅ Erős, egyedi master jelszó
✅ Multi-Factor Authentication (MFA)
✅ Szolgáltatói frissítések követése
Szervezeteknek:
✅ Független audit kérése
✅ Kulcs-hitelesítési mechanizmus vizsgálata
✅ Shared vault governance újraértékelése
✅ Recovery policy ellenőrzése
❓ Kérdések szolgáltatók felé
- Hogyan validálják a publikus kulcsokat?
- Van-e ciphertext integrity check?
- Lehetséges-e silent vault módosítás?
- Downgrade támadások ellen van-e védelem?
📌 Iparági ébresztő
A kutatás rámutat arra, hogy:
A kriptográfia önmagában nem elég.
Az implementáció dönt.
Ahogy a jelszókezelők egyre kritikusabb infrastruktúrává válnak, az átlátható audit és a formális verifikáció elkerülhetetlenné válik.
A bizalom nem marketing kérdés.
Hanem matematikai és implementációs valóság.
