Исследование поставило под сомнение «нулевое разглашение» в популярных менеджерах паролей

Архитектурные уязвимости в популярных хранилищах паролей

Серия недавних исследований выявила серьезные архитектурные недочеты в ряде широко используемых менеджеров паролей, что ставит под сомнение их ключевые гарантии безопасности. Специалисты из Швейцарской высшей технической школы Цюриха (ETH Zurich) и Университетата Лугано (USI Lugano) представили детальный анализ, который показал, что при компрометации сервера провайдера злоумышленник может получить доступ к пользовательским хранилищам, несмотря на заявленный принцип «нулевого разглашения информации» (Zero-Knowledge Encryption, ZKE).

Менеджеры паролей, такие как Bitwarden, LastPass, Dashlane и 1Password, давно стали неотъемлемой частью цифровой гигиены для миллионов пользователей, храня не только логины и пароли, но и критически важные данные, включая финансовую информацию. Их основное преимущество — централизованное управление и обещание, что даже сам сервис не сможет прочитать зашифрованное содержимое, поскольку шифрование происходит исключительно на стороне клиента. Однако работы, опубликованные в феврале 2026 года, продемонстрировали, что эта модель защиты не является абсолютной при определенных условиях.

Модель угроз: «Вредоносный сервер» как реальность

В основе критики лежит модель угроз, которая предполагает, что сервер провайдера может действовать злонамеренно. Исследователи обосновывают ее актуальность не только высокими ставками (ценностью данных), но и тем, что сама индустрия позиционирует ZKE как защиту от взлома инфраструктуры. Ученые смоделировали ситуацию, когда сервер, который пользователь считает надежным, на самом деле контролируется хакером. Для этого они настраивали модифицированные серверы и проверяли реакцию клиентских приложений при стандартных операциях: входе, синхронизации или открытии хранилища.

В результате было идентифицировано 27 различных векторов атак, нацеленных на четыре упомянутых сервиса. Масштаб потенциального ущерба варьировался от нарушения целостности отдельных записей до полной компрометации данных всей организации, использующей корпоративную версию сервиса. Разработчики этих приложений часто заявляли, что их серверы не могут прочитать данные, но тестирование показало, что архитектурные просчеты позволяют серверу отклоняться от ожидаемого поведения и извлекать конфиденциальную информацию.

Конкретные уязвимости и атаки на лидеров рынка

Анализ выявил специфические проблемы в реализации криптографических схем у каждого провайдера. Например, в случае с Bitwarden, где используется шифрование AES-CBC-HMAC, проблема заключалась в том, что поля записи (имя, пароль, URL) шифровались независимо. Это открыло путь для атак типа «вырезание и вставка» (cut-and-paste), позволяющих вредоносному серверу манипулировать данными. Исследователи заявили об успешности 12 таких атак на Bitwarden.

«Уязвимости, которые мы описываем, многочисленны, но большинство из них не являются действительно серьезными с технической точки зрения», — цитировали авторы отчета, подчеркивая, что, тем не менее, риски существуют.

Для LastPass и Dashlane были обнаружены проблемы, связанные с поддержкой устаревших криптографических режимов. В частности, откат к небезопасным режимам, таким как CBC без должной проверки целостности (padding oracle), позволил построить цепочки атак, ведущие к раскрытию паролей. Сообщается об успехе семи атак на LastPass и шести на Dashlane.

В 1Password, который использует более сложную двухфакторную схему с мастер-паролем и секретным ключом, исследователи также обнаружили векторы атак, связанные с метаданными, понижением стойкости функции вывода ключа (KDF) и, в сценариях совместного использования, с неаутентифицированными открытыми ключами.

Роль функций восстановления и совместного доступа

Особую опасность представляют механизмы, которые по замыслу призваны помочь пользователю в случае утери мастер-пароля, а также функции совместного использования данных (sharing). В случаях, когда сервер может участвовать в процессе восстановления доступа (key escrow), он может подменять ключи, которые получает клиент, тем самым получая ключи для дешифрования хранилищ. Эти сценарии часто связаны с тем, что конечные пользователи доверяют процедуре восстановления без глубокого анализа технических нюансов.

Другой фактор, усложняющий картину, — это поэлементное шифрование. Когда менеджер шифрует только отдельные поля, а не весь элемент целиком, сервер может обмануть клиентское приложение. Например, сервер может подставить зашифрованный пароль в поле, которое клиент ожидает увидеть как URL для иконки, заставляя приложение расшифровать пароль, думая, что выполняет рутинную операцию.

Реакция индустрии и дальнейшие шаги

Компании-разработчики, комментируя результаты, зачастую заявляли, что описанные угрозы исходят из преувеличенного предположения о полной компрометации сервера. Они подчеркивают, что регулярно проводят внутренние аудиты и имеют программы Bug Bounty. В 1Password, например, отметили, что не обнаружили принципиально новых векторов атак, выходящих за рамки их внутренней документации, хотя и признали теоретическую возможность подмены ключей.

Bitwarden, Dashlane и LastPass сообщили, что уже работают над внедрением мер по снижению выявленных рисков. Dashlane, по данным источников, уже устранила проблему, связанную с понижением уровня шифрования.

Исследователи, подводя итоги, не призывают полностью отказываться от удобных инструментов, которыми пользуются миллионы. Однако они настаивают, что термин «нулевое разглашение» в текущем виде является скорее маркетинговым заявлением, нежели четкой, универсальной технической гарантией. Главный автор работы отметил, что разные компании вкладывают в это понятие различное значение, что и вносит путаницу в ожидания пользователей. В качестве рекомендаций пользователям в будущем предлагается обращать внимание на прозрачность сервисов, наличие независимых аудитов и использование новейших схем сквозного шифрования по умолчанию.