Password manager sotto esame: rischi nel modello zero-knowledge

Una recente analisi accademica condotta da un gruppo di ricercatori di ETH Zurigo e dell’Università della Svizzera italiana ha riportato l’attenzione su una categoria di software considerata per anni affidabile al fine della gestione delle credenziali: i password manager. I tre prodotti esaminati — Bitwarden, LastPass e Dashlane — dichiarano di adottare un modello zero-knowledge encryption, secondo cui il fornitore del servizio non è in grado di accedere ai dati degli utenti; inoltre, non possono esservi fughe di dati neppure in caso di compromissione dei server.

La diffusione di questi strumenti è elevata: milioni di utenti li utilizzano quotidianamente per memorizzare password e segreti digitali, spesso in alternativa ai gestori integrati nei browser Apple e Google. La ricerca dimostra però che, in scenari realistici di compromissione dell’infrastruttura, alcune implementazioni possono consentire l’accesso ai dati cifrati o addirittura la loro manipolazione.

Il modello zero-knowledge e le sue implicazioni operative

I password manager moderni funzionano generando sul dispositivo dell’utente una chiave crittografica a partire dalla master password, cioè la password principale che sblocca tutto il vault: questa trasformazione avviene tramite specifiche funzioni di derivazione della chiave, come PBKDF2, Argon2 o scrypt, progettate per rendere molto difficile ricavare la password originale anche con grandi risorse di calcolo.

Le credenziali e gli altri dati sono poi cifrati direttamente sul dispositivo (lato client) usando algoritmi simmetrici, ad esempio AES-256, uno standard di crittografia molto robusto, e solo dopo inviati ai server del servizio, dove sono conservati esclusivamente come dati cifrati (blob cifrati, cioè blocchi di informazioni non leggibili senza la chiave).

Di conseguenza, il fornitore del servizio non dispone della chiave necessaria per decifrare il contenuto del vault e, anche in caso di compromissione dei propri sistemi, non è possibile accedere in chiaro ai dati degli utenti.

Il modello presuppone tuttavia una separazione netta tra logica client e server, e una fiducia limitata nell’infrastruttura remota. In pratica, molti prodotti introducono funzionalità avanzate — sincronizzazione multi-dispositivo, condivisione familiare o aziendale, gestione di organizzazioni e compatibilità retroattiva — che richiedono flussi crittografici più complessi e, talvolta, meccanismi legacy per garantire la migrazione degli utenti. Tali elementi ampliano la superficie di attacco e rendono più articolata la validazione formale delle garanzie di sicurezza.

Metodologia di attacco basata su server malevoli

I ricercatori – Matteo Scarlata, Giovanni Torrisi, Matilda Backendal e Kenneth G. Paterson – hanno adottato un modello sperimentale in cui i server dei fornitori sono simulati come compromessi. In questo scenario, il server può restituire risposte manipolate ai client e indurre comportamenti anomali durante operazioni comuni: login, apertura del vault, sincronizzazione dei dati, rotazione delle chiavi o condivisione delle credenziali. Il modello è coerente con attacchi reali in cui un aggressore ottiene il controllo dell’infrastruttura backend o ne intercetta il traffico.

Le prove condotte hanno evidenziato che, pur non trattandosi di exploit remoti tradizionali, la manipolazione delle risposte server può influenzare il client, portando all’esfiltrazione di password cifrate e talvolta anche alla loro modifica.

Bitwarden è risultato il prodotto con il numero maggiore di vettori di attacco funzionanti, con 12 scenari individuati, di cui 7 portavano alla divulgazione di credenziali. LastPass e Dashlane hanno mostrato rispettivamente 7 e 6 scenari efficaci, con impatti più limitati ma comunque rilevanti.

Downgrade crittografici e compatibilità legacy

Una delle classi di vulnerabilità più significative riguarda la possibilità di forzare un downgrade crittografico. In alcuni casi, il server compromesso può indurre il client a utilizzare schemi di derivazione o cifratura più deboli, supportati per ragioni di retrocompatibilità.

Se la master password è debole o prevedibile, un aggressore può effettuare attacchi di forza bruta offline contro i dati cifrati ottenuti.

Il problema nasce dal fatto che diversi provider mantengono il supporto a versioni precedenti del protocollo di cifratura per evitare la perdita irreversibile dei dati degli utenti esistenti. Tale scelta introduce una complessità elevata nel codice e crea percorsi alternativi che possono essere sfruttati da un server malevolo per indurre il client a operare in modalità meno sicure.

Interazioni utente come vettore di rischio

Molti degli attacchi descritti non richiedono azioni sofisticate da parte dell’utente. Operazioni quotidiane come l’accesso al vault, la visualizzazione delle credenziali o la sincronizzazione periodica possono attivare i flussi vulnerabili. Altri scenari più complessi includono la rotazione delle chiavi, l’adesione a un’organizzazione o la condivisione di password, in cui il server può presentare dialoghi ingannevoli o parametri alterati.

La probabilità che singoli utenti eseguano queste azioni varia, ma su una base installata di milioni di account diventa plausibile che un numero significativo di utenti sia esposto a tali condizioni. Il modello di minaccia si sposta quindi dal singolo exploit verso una combinazione di comportamenti legittimi e infrastruttura compromessa.

Le risposte dei password manager e le misure difensive adottate

I vendor coinvolti hanno risposto in modo costruttivo alle segnalazioni. Dashlane ha rimosso il supporto a schemi legacy responsabili del downgrade e ha corretto una vulnerabilità che, in caso di compromissione completa dei server, avrebbe potuto esporre i vault con master password deboli.

Bitwarden ha sottolineato l’importanza delle valutazioni indipendenti e ha dichiarato di non aver subìto violazioni, mentre LastPass ha avviato interventi di hardening e piani di remediation.

Tra le contromisure raccomandate emergono l’adozione di standard crittografici aggiornati per i nuovi utenti, la migrazione opzionale ma fortemente consigliata per gli utenti esistenti e una comunicazione più precisa sulle garanzie di sicurezza offerte.

Dal punto di vista tecnico, risultano cruciali l’eliminazione dei percorsi legacy, la validazione rigorosa delle risposte del server e l’isolamento delle operazioni sensibili sul versante client.

Limiti dello studio e impatto sull’industria

L’analisi degli accademici di ETH Zurigo e dell’Università della Svizzera italiana non dimostra la presenza di exploit attivi in natura, ma evidenzia come un attaccante con accesso all’infrastruttura backend possa sfruttare lacune logiche nelle implementazioni.

Le conclusioni suggeriscono che le debolezze individuate potrebbero essere diffuse anche in altri prodotti del settore, inclusi quelli meno trasparenti dal punto di vista del codice. L’adozione di pratiche di verifica formale, audit indipendenti e modelli di minaccia ben esplicitati sono passaggi necessari per garantire che le promesse di sicurezza siano effettivamente mantenute.

La ricerca evidenzia la necessità di una comunicazione più chiara verso gli utenti sulle proprietà di sicurezza reali dei password manager. L’uso del termine zero-knowledge non è sufficiente se non accompagnato da una definizione esplicita del modello di minaccia e dei limiti operativi.

Un approccio più trasparente consente agli utenti e alle imprese di valutare consapevolmente il rischio residuo e adottare contromisure aggiuntive, come l’uso di passphrase robuste, l’autenticazione multifattore e la verifica periodica delle impostazioni di sicurezza.