Twój sejf ma dziurę. Menedżery haseł kłamią w kwestii bezpieczeństwa
Menedżery haseł od lat są przedstawiane jako złoty standard bezpieczeństwa w sieci. Ale co, jeśli właśnie ten standard zaczyna pękać – i to w miejscu, gdzie nikt się tego nie spodziewał?
Twój sejf nie jest szczelny
Badacze z ETH Zurich i USI Lugano przeanalizowali czterech najpopularniejszych menedżerów haseł – Bitwarden, Dashlane, LastPass i 1Password. Wnioski są dość alarmujące. Firmy te od lat obiecują tzw. model "zero knowledge", czyli architekturę, w której nawet one same nie mają dostępu do twoich haseł w odszyfrowanej formie. W praktyce okazuje się, że obietnica ta ma wyraźne rysy, a w niektórych przypadkach – pęka całkowicie.
Badacze łącznie odkryli 27 scenariuszy ataku: 12 na Bitwarden, 7 na LastPass, 6 na Dashlane i 2 na 1Password. W określonych warunkach udało im się uzyskać dostęp do całych sejfów haseł użytkowników, a w niektórych scenariuszach nawet zapisywać do nich dane. Luki nie pojawiają się jednak przy standardowym użytkowaniu – aktywują się dopiero po włączeniu konkretnych funkcji, przede wszystkim mechanizmów tzw. key escrow, które umożliwiają odtworzenie dostępu do sejfu po utracie hasła głównego.
Ważny jest tu kontekst techniczny. Badacze działali w tzw. modelu złośliwego serwera – ich scenariusz zakłada, że atakujący już przejął kontrolę nad infrastrukturą dostawcy. To nie jest luka, którą haker może wykorzystać zdalnie przeciwko twojemu kontu z zewnątrz. Dopiero po kompromitacji serwerów firmy te podatności stają się groźne. Brzmi to jak odległy scenariusz – ale właśnie takie ataki na dostawców już się w przeszłości zdarzały, a LastPass sam padł ofiarą włamania w 2022 roku.
Co niepokoi najbardziej, to nie złożoność odkrytych podatności, lecz ich prostota. Badacze podkreślają, że większość znalezionych błędów była stosunkowo łatwa do wykorzystania – co sugeruje brak wystarczającej weryfikacji kryptograficznych założeń leżących u podstaw całego modelu bezpieczeństwa. Ostrzegają też, że ich wnioski z dużym prawdopodobieństwem dotyczą nie tylko czterech analizowanych aplikacji, ale całej klasy podobnych produktów.
Producenci już reagują. Dashlane usunęło najpoważniejszą podatność w aktualizacji z listopada 2025. Bitwarden naprawił lub aktywnie łata 7 z 12 zidentyfikowanych problemów, LastPass wdrożył doraźne zabezpieczenia, a 1Password uznał swoje dwa przypadki za znane ograniczenia architektoniczne. Co istotne – nie ma żadnych dowodów, że ktokolwiek te luki wykorzystał w praktyce.
Co z tego wynika praktycznie? Menedżer haseł wciąż pozostaje lepszym wyborem niż używanie tych samych trzech haseł wszędzie. Warto jednak wiedzieć, że funkcje odzyskiwania dostępu do sejfu – te, które pozwalają odtworzyć hasła nawet po utracie hasła głównego – działają właśnie dlatego, że dostawca przechowuje kopię twojego klucza szyfrującego. I to tam badacze znajdowali luki. Jeśli tej opcji nie potrzebujesz, rozważ jej wyłączenie dla maksymalnego bezpieczeństwa, aczkolwiek wtedy ryzykujesz całkowitą utratę danych, jeśli zgubisz lub zapomnisz, gdzie masz hasło/klucz dostępu.
Warto też śledzić reakcje producentów oprogramowania, bo badacze opublikowali pełny raport i trudno będzie im te wnioski zbagatelizować.
