بحث جديد من ETH Zurich وUSI Lugano يكشف ثغرات في مديري كلمات المرور الشائعين، مشككًا في ضماناتهم بأن الخوادم لا تستطيع الوصول إلى خزائن المستخدمين. درس البحث Bitwarden وDashlane وLastPass، محددًا طرقًا يمكن للمهاجمين ذوي السيطرة على الخادم سرقة أو تعديل البيانات، خاصة عند تفعيل ميزات مثل استعادة الحساب أو المشاركة. بدأت الشركات في تصحيح المشكلات مع الدفاع عن ممارساتها الأمنية العامة.
أصبح مديرو كلمات المرور أساسيين لملايين، مع تقدير 94 مليون بالغ أمريكي يستخدمونهم لتخزين بيانات حساسة مثل كلمات المرور وبيانات مصادقة العملات المشفرة وتفاصيل الدفع. يروج مزودون مثل Bitwarden وDashlane وLastPass لنموذج تشفير 'المعرفة الصفرية'، مضمونين للمستخدمين أنه حتى لو تم اختراق الخوادم، لا يمكن لأحد سوى المستخدم الوصول إلى البيانات. يقول Bitwarden إن 'حتى فريق Bitwarden لا يمكنه قراءة بياناتك (حتى لو أردنا ذلك)'. تدعي Dashlane أنه بدون كلمة المرور الرئيسية، 'لا يمكن للأطراف الضارة سرقة المعلومات، حتى لو تم اختراق خوادم Dashlane'. يؤكد LastPass أن أحدًا لا يمكنه الوصول إلى الخزنة 'إلا أنت (حتى LastPass لا)'.</n/nومع ذلك، أظهر باحثون من ETH Zurich وUSI Lugano، في ورقة نشرت في 17 فبراير 2026، أن هذه الوعود لا تحمل دائمًا. من خلال الهندسة العكسية للبرمجيات، حددوا 25 ثغرة تسمح لخصم يسيطر على الخادم—سواء بالاختراق أو الوصول الداخلي—بقراءة أو تعديل خزنات كاملة. تستغل الهجمات بشكل أساسي ميزات مثل حفظ المفاتيح لاستعادة الحساب ومشاركة الخزنات. على سبيل المثال، في Bitwarden، أثناء تسجيل عضو جديد في عائلة أو منظمة، يمكن للمهاجم استبدال مفتاح المجموعة العام بمفتاحه الخاص، مما يمكن فك تشفير المفتاح التماثلي للمستخدم والوصول إلى الخزنة. يمكن أن ينتشر هذا 'كدودة' عبر مجموعات متداخلة إذا تم تفعيل الاستعادة.</n/nعيوب مشابهة تؤثر على حفظ المفاتيح في LastPass في إصدارات Teams، حيث يسمح استبدال مفتاح المدير الفائق بسرقة الخزنة عند تسجيل الدخول عبر امتداد المتصفح. تواجه Dashlane مخاطر في الخزنات المشتركة، حيث تسمح أزواج مفاتيح غير مصادقة للمهاجمين استعادة المفاتيح التماثلية المشتركة لقراءة وتعديل العناصر. التوافق الخلفي مع الإصدارات القديمة يقدم ضعفًا إضافيًا، مثل هجمات أوراكل الحشو في Bitwarden وDashlane التي يمكن أن تفك التشفير للخزنات مع الوقت. الهجمات على تكرارات الهاش تقلل أيضًا بشكل كبير من صعوبة كسر كلمة المرور الرئيسية.</n/nلاحظ الباحثون أن هذه المشكلات تم تجاهلها رغم التدقيقات السابقة، داعين إلى التركيز أكثر على سيناريوهات الخوادم الضارة. ذكروا أن 1Password يشارك على الأرجح عيوبًا مشابهة لكنهم حللوه بشكل أقل عمقًا. ردت الشركات بتصحيح العديد من الثغرات بعد إخطارات خاصة. أكد Bitwarden أن نموذج التهديد يفترض 'اختراق كامل للخادم وسلوك عدائي يتجاوز الافتراضات التشغيلية القياسية'. سلط LastPass الضوء على أمانه متعدد الطبقات، بما في ذلك اختبارات الاختراق السنوية وبرامج مكافآت الأخطاء. أكدت Dashlane على اختبارات صارمة وتخفيف سريع. قالت 1Password إن الورقة لم تكشف متجهات جديدة خارج مخاطرها الموثقة وتواصل التقييم ضد التهديدات المتقدمة.</n/nيؤكد الدراسة أنه بينما اختراقات الخوادم نادرة، فهي لا تزال مخاطرة موثوقة، خاصة من قبل فاعلين دوليين، نظرًا لحوادث سابقة مثل اختراقات LastPass في 2015 و2021 و2022.
