- Ερευνητές του ETH Ζυρίχης ανακάλυψαν ευπάθειες σε τρεις δημοφιλείς cloud-based διαχειριστές κωδικών: Bitwarden, LastPass και Dashlane.
- Οι επιθέσεις απαιτούν πλήρη παραβίαση της υποδομής διακομιστών, γεγονός που καθιστά τον κίνδυνο μεσαίο έως χαμηλό σύμφωνα με τους κατασκευαστές.
- Οι περισσότερες ευπάθειες έχουν ήδη διορθωθεί και κανένα exploit δεν έχει εντοπιστεί σε πραγματικές συνθήκες μέχρι σήμερα.
Ερευνητές πληροφορικής του ETH Ζυρίχης εξέτασαν διεξοδικά ευρέως διαδεδομένους διαχειριστές κωδικών πρόσβασης και ανακάλυψαν, μεταξύ άλλων, τρόπους με τους οποίους θα μπορούσε κάποιος να αποκτήσει πρόσβαση στους αποθηκευμένους κωδικούς.
Τι ακριβώς ανακάλυψαν οι ερευνητές
Οι ερευνητές ασφάλειας πληροφορικής του ETH Ζυρίχης εξέτασαν τρεις δημοφιλείς διαχειριστές κωδικών πρόσβασης με μεγάλη λεπτομέρεια και εντόπισαν αρκετά κενά ασφαλείας σε αυτούς.
Εν τούτοις, η εκμετάλλευση αυτών των ευπαθειών προϋποθέτει πλήρη παραβίαση των διακομιστών, γι’ αυτό και ο κίνδυνος αξιολογείται από μεσαίος έως χαμηλός σύμφωνα με την εκτίμηση ενός κατασκευαστή. Πολλά από αυτά τα κενά φαίνεται ότι έχουν καλυφθεί εδώ και αρκετό καιρό.
Η έρευνα πρόκειται να παρουσιαστεί στο συνέδριο Usenix Security 2026, ένα από τα πλέον αναγνωρισμένα ακαδημαϊκά συνέδρια κυβερνοασφάλειας παγκοσμίως.
Λεπτομέρειες των επιθέσεων ανά πλατφόρμα
Στην ερευνητική τους εργασία, οι Ελβετοί ερευνητές περιγράφουν αναλυτικά πώς δοκίμασαν το Bitwarden με δώδεκα επιθέσεις (αρχικά δέκα, αργότερα χωρίστηκαν σε δώδεκα), το LastPass με επτά και το Dashlane με έξι διαφορετικές επιθέσεις.
Η επιλογή αυτών των τριών πλατφορμών έγινε με βάση τον αριθμό χρηστών τους.
Επισκόπηση ευπαθειών ανά πλατφόρμα
| Πλατφόρμα | Αριθμός επιθέσεων | Κατάσταση διόρθωσης |
|---|---|---|
| Bitwarden | 12 (αρχικά 10) | 7 διορθώθηκαν, 3 αποδεκτές σχεδιαστικές επιλογές |
| LastPass | 7 | Μερική διόρθωση, βελτιώσεις σε εξέλιξη |
| Dashlane | 6 | Διορθώσεις από έκδοση 6.2544.1 (05/11/2025) |
Συνολικά, αυτοί οι τρεις διαχειριστές κωδικών πρόσβασης έχουν πάνω από 60 εκατομμύρια χρήστες και κατέχουν μερίδιο αγοράς περίπου 23 τοις εκατό.
Οι ερευνητές εξήγησαν ότι η σοβαρότητα των επιθέσεων κυμαίνεται από παραβιάσεις της ακεραιότητας στοχευμένων θησαυροφυλακίων χρηστών έως την πλήρη παραβίαση όλων των θησαυροφυλακίων που συνδέονται με έναν οργανισμό.
Στις περισσότερες επιθέσεις, οι κωδικοί πρόσβασης μπορούσαν να ανακτηθούν, κάτι που σπάει την αρχή zero-knowledge και την κρυπτογράφηση από άκρο σε άκρο (E2EE), επιτρέποντας έτσι τη μη εξουσιοδοτημένη πρόσβαση σε κωδικούς πρόσβασης.
Οι επιθέσεις απαιτούν, εκτός από πλήρως παραβιασμένη υποδομή διακομιστών, κατά κανόνα και αλληλεπίδραση με τον χρήστη, γεγονός που μειώνει σημαντικά την πιθανότητα εκμετάλλευσης στην πράξη.
Η διαδικασία υπεύθυνης αποκάλυψης
Τον Ιανουάριο του περασμένου έτους, οι αναλυτές ασφάλειας πληροφορικής ενημέρωσαν τους κατασκευαστές για τα ευρήματά τους και τους παραχώρησαν ένα χρονικό περιθώριο 90 ημερών για υπεύθυνη αποκάλυψη (responsible disclosure).
Ωστόσο, οι πάροχοι χρειάστηκαν περισσότερο χρόνο για να διορθώσουν τις ευπάθειες, ενώ ορισμένοι δεν τις θεωρούν καν πρόβλημα που χρήζει αντιμετώπισης.
Πως αντέδρασαν οι κατασκευαστές
Bitwarden
Το Bitwarden δήλωσε σε ανάρτηση στο blog του ότι «όλα τα ζητήματα που εντοπίστηκαν στην αναφορά έχουν επιλυθεί από την ομάδα του Bitwarden».
Οι προγραμματιστές συνέταξαν επίσης μια πλήρη αναφορά 35 σελίδων με περίληψη, δική τους ανάλυση και τις λύσεις στα αναφερθέντα προβλήματα, εκ των οποίων εννέα σελίδες αφορούν τη δική τους ανάλυση.
Σύμφωνα με τους προγραμματιστές, επτά ζητήματα διορθώθηκαν ή βρίσκονται σε ενεργή φάση διόρθωσης, ενώ τρία εξ αυτών θεωρούνται ως συνειδητές σχεδιαστικές αποφάσεις που είναι απαραίτητες για τη λειτουργικότητα του προϊόντος.
Dashlane
Το Dashlane ανέφερε σε ανάρτηση blog ότι οι προγραμματιστές εξέτασαν επίσης τα ερευνητικά ευρήματα και «διένειμαν διορθώσεις σφαλμάτων όπου αυτό ήταν κατάλληλο». Η διόρθωση διανεμήθηκε στις 5 Νοεμβρίου 2025 από την έκδοση 6.2544.1 της επέκτασης Dashlane και μετά.
Συμπλήρωσαν ότι η εκμετάλλευση αυτού του προβλήματος θα απαιτούσε πλήρη παραβίαση των διακομιστών ενός διαχειριστή κωδικών πρόσβασης, σε συνδυασμό με εξαιρετικά ικανούς επιτιθέμενους που θα μπορούσαν να εκτελέσουν κρυπτογραφικές επιθέσεις, καθώς και ένα εξαιρετικά μεγάλο χρονικό διάστημα.
LastPass
Το LastPass αντέδρασε επίσης με ανάρτηση blog, σύμφωνα με την οποία οι προγραμματιστές έχουν ήδη διορθώσει ένα πρόβλημα με τη διαχείριση εικονιδίων και URL και εργάζονται αυτή τη στιγμή σε βελτιώσεις της ισχύος κωδικών πρόσβασης. Περαιτέρω αλλαγές σχεδιάζονται για την ανάκτηση λογαριασμών και τον διαμοιρασμό κωδικών πρόσβασης.
Επίσης, η ακεραιότητα των θησαυροφυλακίων κωδικών πρόσβασης και η προστασία των μεταδεδομένων βρίσκονται στη λίστα εκκρεμοτήτων, σύμφωνα με τα αναφερόμενα.
Κανένα exploit σε πραγματικές συνθήκες
Όλοι οι κατασκευαστές τονίζουν ότι πρόκειται για ένα υποθετικό σενάριο και ότι δεν έχουν παρατηρηθεί τέτοια exploits σε πραγματικές συνθήκες μέχρι σήμερα.
Δεν υπάρχει επίσης καμία άμεση συγκεκριμένη ανάγκη δράσης από πλευράς χρηστών, ενώ ευχαρίστησαν ομόφωνα τους ερευνητές πληροφορικής για την εργασία τους και τα αποτελέσματα που τους κοινοποίησαν.
Η γερμανική BSI (Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών) εξέτασε επίσης τον περασμένο Δεκέμβριο τους διαχειριστές κωδικών πρόσβασης και, αν και βρήκε περιθώρια βελτίωσης, κατέληξε ότι δεν υπάρχει λόγος αποφυγής της χρήσης τους.
Πρακτικές συμβουλές και ανάλυση για τους χρήστες
Παρά τις ευπάθειες που εντοπίστηκαν, η χρήση ενός διαχειριστή κωδικών πρόσβασης παραμένει μία από τις πιο αποτελεσματικές πρακτικές ψηφιακής ασφάλειας για τον μέσο χρήστη.
Η εναλλακτική, δηλαδή η χρήση αδύναμων ή επαναλαμβανόμενων κωδικών σε πολλαπλές υπηρεσίες, εγκυμονεί πολύ μεγαλύτερους κινδύνους από ένα θεωρητικό σενάριο που απαιτεί πλήρη παραβίαση διακομιστών.
Βήματα ενίσχυσης της ασφάλειας
Υπάρχουν ωστόσο ορισμένα μέτρα που μπορεί να λάβει κάθε χρήστης προκειμένου να μεγιστοποιήσει την προστασία των δεδομένων του, ανεξάρτητα από τον διαχειριστή κωδικών που χρησιμοποιεί:
- Ενεργοποιήστε πάντα τον έλεγχο ταυτότητας δύο παραγόντων (2FA) στον λογαριασμό του διαχειριστή κωδικών, κατά προτίμηση με κλειδί ασφαλείας υλικού (hardware key) αντί για SMS.
- Επιλέξτε έναν ισχυρό κύριο κωδικό πρόσβασης (master password) τουλάχιστον 16 χαρακτήρων, ιδανικά ως φράση πρόσβασης (passphrase) με τυχαίες λέξεις.
- Διατηρείτε πάντα ενημερωμένες τις επεκτάσεις του browser και τις εφαρμογές του διαχειριστή κωδικών στην τελευταία έκδοση.
- Ελέγχετε τακτικά την αναφορά υγείας κωδικών (password health report) που προσφέρουν οι περισσότερες πλατφόρμες για να εντοπίζετε αδύναμους ή παραβιασμένους κωδικούς.
Σύγκριση μοντέλων ασφάλειας
| Χαρακτηριστικό | Cloud-based διαχειριστής | Τοπικός διαχειριστής (offline) |
|---|---|---|
| Συγχρονισμός συσκευών | Αυτόματος | Χειροκίνητος |
| Επιφάνεια επίθεσης | Μεγαλύτερη (διακομιστές) | Μικρότερη (τοπική συσκευή) |
| Ευκολία χρήσης | Υψηλή | Μέτρια |
| Παραδείγματα | Bitwarden, LastPass, Dashlane | KeePassXC, KeePass |
Για χρήστες που προτιμούν ακόμα μεγαλύτερο έλεγχο, εναλλακτικές λύσεις όπως το KeePassXC αποθηκεύουν τη βάση δεδομένων κωδικών αποκλειστικά τοπικά, εξαλείφοντας πλήρως τον κίνδυνο παραβίασης διακομιστών. Το μειονέκτημα είναι ότι ο συγχρονισμός μεταξύ συσκευών πρέπει να γίνεται χειροκίνητα μέσω ασφαλών υπηρεσιών αποθήκευσης.
Η παρούσα έρευνα αναδεικνύει ότι ακόμα και τα εργαλεία που βασίζονται στην αρχή zero-knowledge δεν είναι αλάνθαστα σε επίπεδο σχεδίασης.
Η κρυπτογραφική αρχιτεκτονική ενός password manager πρέπει να αντέχει σε σενάρια πλήρους παραβίασης του backend, κάτι που αποτελεί υψηλό πήχη αλλά εντελώς απαραίτητο για προϊόντα που φιλοξενούν ευαίσθητα δεδομένα εκατομμυρίων ανθρώπων σε ολόκληρο τον κόσμο.
Τέλος, αξίζει να σημειωθεί ότι η τακτική δημοσίευση ανεξάρτητων ελέγχων ασφαλείας (security audits) αποτελεί θετικό σημάδι για οποιονδήποτε πάροχο.
Πριν επιλέξετε διαχειριστή κωδικών, ελέγξτε αν δημοσιεύει τακτικά αποτελέσματα ελέγχων τρίτων και αν ανταποκρίνεται γρήγορα στις αναφορές ευπαθειών, καθώς αυτά αποτελούν σαφείς ενδείξεις ωριμότητας και υπευθυνότητας.
