Se c’è una categoria software di cui ci dobbiamo fidare in modo quasi religioso è quella dei password manager. A questi strumenti affidiamo le chiavi per accedere a tutti i nostri dati personali, ai nostri conti e ai nostri segreti. Lo facciamo convinti che siano sicuri e inviolabili: dopotutto, è questo il loro compito. E se non fosse proprio così? Uno studio condotto dai ricercatori di ETH Zürich getta un’ombra piuttosto inquietante sulla robustezza di questi tool.
Dubbi sull’affidabilità dei password manager
Hanno messo sotto la lente d’ingrandimento i tre servizi più noti ovvero Bitwarden, LastPass e Dashlane (sommati raggiungono circa 60 milioni di utenti, 23% di market share), scoprendo che nessuno è immune a vulnerabilità e attacchi come vorrebbe far credere. Il problema è da ricercare nei sistemi di crittografia zero-knowledge (a conoscenza zero) impiegati, metodo attraverso cui chi archivia un’informazione non può accedervi: solo il legittimo proprietario è in grado di decifrarla. L’Applied Cryptography Group dell’istituto svizzero ha dimostrato che in presenza di alcune falle nei server, un malintenzionato potrebbe sottrarre i dati o addirittura alterarli.
Lo scenario è al limite dell’apocalittico. Immaginiamo di affidare tutti i nostri codici segreti a un password manager, proprio per poter dormire sonni tranquilli. E poi di vederli esposti o addirittura cambiati a nostra insaputa. Molto peggio di un leak.
I ricercatori hanno allestito un’infrastruttura con server che si comportano in modo anomalo durante l’interruzione di uno scambio con il client, ad esempio mentre si esegue un login o la sincronizzazione delle informazioni. Una situazione ritenuta verosimile. In questo modo sono riusciti a simulare e mettere a segno numerosi attacchi contro i tre servizi elencati in apertura: 12 per Bitwarden, 7 per LastPass e 6 per Dashlane.
Usabilità e sicurezza, serve il giusto equilibrio
Il problema non riguarda solo i password manager, ma per la natura altamente sensibile dei dati trattati lo studio si è concentrato su questa categoria. Per uno degli autori, la causa è da ricercare nella volontà di rendere gli strumenti estremamente accessibili, offrendo funzionalità come quelle per il ripristino dell’account e la condivisione tra i membri della famiglia. Puntare sull’usabilità, dunque, in qualche modo rischia di compromettere la sicurezza. E per le violazioni non servono grandi risorse.
Questi attacchi non richiedono computer o server particolarmente potenti, ma solo piccoli programmi in grado di impersonare il server.
Il team non è sceso troppo nei dettagli tecnici, come da prassi in questi casi, avvisando i gestori dei servizi e concedendo loro 90 giorni di tempo per risolvere le vulnerabilità. Ai provider è giunto anche il consiglio di modernizzare l’infrastruttura: alcuni impiegano ancora metodi crittografici risalenti agli anni ’90, ritenuti ormai obsoleti.
L’obiettivo dello studio non è quello di screditare i password manager e chi li propone, ma di stimolare un cambiamento nel nome della sicurezza e di aumentare la consapevolezza negli utenti a proposito dei potenziali rischi.
Ti potrebbe interessare
18 feb 2026