Novità e trend
Nuovi strumenti per vecchi problemi: nel mirino le password deboli di Windows
di Florian Bodoky
Password manager: il Politecnico di Zurigo scopre le lacune della sicurezza
17.2.2026
Traduzione: tradotto automaticamente
Un'analisi del Politecnico di Zurigo dimostra che i gestori di password in cloud come Bitwarden e LastPass sono talvolta più vulnerabili di quanto dichiarato.
I ricercatori del Politecnico di Zurigo hanno analizzato in modo più approfondito alcuni noti gestori di password e hanno riscontrato significative vulnerabilità. Sono stati sottoposti alla prova i servizi basati sul cloud «Bitwarden», «LastPass» e «Dashlane». Il risultato: la sicurezza promessa non è all'altezza sotto tutti i punti di vista.
Cosa fanno esattamente i gestori di password?
I gestori di password memorizzano i dati di accesso in una cassaforte digitale criptata, per così dire. Si accede con una password principale e si può così accedere a tutti i login memorizzati. Molti servizi sincronizzano i dati tramite il cloud in modo che siano disponibili sul tuo smartphone, laptop o tablet.
La conoscenza zero è una falsa promessa?
I fornitori pubblicizzano il cosiddetto principio della conoscenza zero. Ciò significa che solo gli utenti stessi dovrebbero essere in grado di decriptare le loro password - anche i fornitori sono tenuti fuori dal giro. In teoria, questo sembra promettente.
Tuttavia, l'analisi dell'ETH dimostra che questo non funziona sempre: Alla prova dei fatti, sono riusciti ad aggirare i meccanismi di protezione o a estrarre informazioni sensibili. Per farlo, hanno deliberatamente manipolato la comunicazione tra il programma e il server o hanno simulato un server compromesso.
In un caso, il programma è stato in grado di aggirare i meccanismi di protezione o di estrarre informazioni sensibili.
In un caso, il software ha accettato impostazioni di crittografia non sicure perché il server ha adattato le sue risposte di conseguenza. In altri casi, sono state utilizzate informazioni aggiuntive (i cosiddetti metadati) per trarre conclusioni sui contenuti memorizzati. La crittografia vera e propria era ancora presente, ma l'intero sistema presentava vulnerabilità che potevano essere sfruttate. Secondo il team di ricerca, le aziende colpite sono state informate tempestivamente. Alcuni fornitori avevano già apportato delle modifiche prima che lo studio venisse reso pubblico.
Nell'ambito dello studio è stato sviluppato anche un nuovo strumento di analisi. Questo strumento può essere utilizzato per verificare sistematicamente i processi crittografici dei gestori di password basati sul cloud. I ricercatori hanno reso disponibile lo strumento, chiamato Alla Prova, tramite la piattaforma zkae.io. Gli sviluppatori possono utilizzarlo alla prova se i loro sistemi presentano vulnerabilità simili. In questo modo, i ricercatori dell'ETH vogliono facilitare i test indipendenti e aumentare la trasparenza.
I fornitori promettono di migliorare
Le aziende hanno sottolineato che stanno lavorando costantemente per migliorare «» . Alcuni dei problemi segnalati sono già stati risolti, mentre altri sono ancora in fase di studio. I ricercatori dell'ETH sottolineano che i loro attacchi sono avvenuti in condizioni controllate. Un attacco reale richiederebbe ulteriori prerequisiti, come l'accesso ai server o la capacità di modificare il traffico di dati in modo mirato. Tuttavia, questo non cambia l'ipotetica possibilità di tali attacchi.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
Novità e trend
Dal nuovo iPhone al revival della moda anni '80. La redazione fa chiarezza.
Visualizza tuttiPotrebbero interessarti anche questi articoli
6 commenti
later