Током протеклих 15 година, менаџери лозинки израсли су од нишног безбедносног алата који користи технолошка памет у незаменљив безбедносни алат за масе, са процењено 94 милиона одраслих Американаца — или отприлике 36 процената њих — усвојило их је. Они чувају не само лозинке за пензионе, финансијске и налоге е-поште, већ често и акредитиве за криптовалуте, бројеве платних картица и друге осетљиве податке.
Свих осам најбољих менаџера лозинки усвојило је термин „нулто знање“ да опише сложени систем шифровања који користе за заштиту трезора података које корисници чувају на својим серверима. Дефиниције се незнатно разликују од продавца до продавца, али се генерално своде на једно храбро уверавање: да не постоји начин да злонамерни инсајдери или хакери који успеју да угрозе инфраструктуру облака украду трезоре или податке који су у њима ускладиштени. Ова обећања имају смисла, с обзиром на претходна кршења ЛастПасс-а и разумна очекивања да хакери на државном нивоу имају и мотив и способност да прибаве трезоре лозинки који припадају циљевима високе вредности.
Смело уверавање је оповргнуто
Типичне за ове тврдње су оне које износе Битварден, Дасхлане и ЛастПасс, које заједно користи око 60 милиона људи. Битварден, на примеркаже да „чак ни тим у Битвардену не може да прочита ваше податке (чак и да желимо).“ Дасхлане, у међувремену, каже да без главне лозинке корисника „злонамерни актери не могу да украду информације, чак и ако су Дасхланеови сервери компромитовани“. ЛастПасс каже да нико не може да приступи „подацима ускладиштеним у вашем ЛастПасс трезору, осим вас (чак ни ЛастПасс)“.
Ново истраживање показује да ове тврдње нису тачне у свим случајевима, посебно када је опоравак налога успостављен или су менаџери лозинки подешени да деле трезоре или организују кориснике у групе. Истраживачи су извршили реверзни инжењеринг или пажљиво анализирали Битварден, Дасхлане и ЛастПасс и идентификовали начине на које неко ко има контролу над сервером – било административном или резултатом компромиса – може, у ствари, да украде податке и, у неким случајевима, читаве трезоре. Истраживачи су такође осмислили друге нападе који могу ослабити енкрипцију до те мере да се шифровани текст може претворити у обичан текст.
