Penelitian baru dari ETH Zurich dan USI Lugano mengungkap kerentanan pada manajer kata sandi populer, menantang jaminan mereka bahwa server tidak dapat mengakses brankas pengguna. Studi menganalisis Bitwarden, Dashlane, dan LastPass, mengidentifikasi cara penyerang dengan kendali server dapat mencuri atau memodifikasi data, terutama saat fitur seperti pemulihan akun atau berbagi diaktifkan. Perusahaan mulai menambal masalah sambil membela praktik keamanan keseluruhan mereka.
Manajer kata sandi telah menjadi esensial bagi jutaan orang, dengan perkiraan 94 juta orang dewasa AS menggunakannya untuk menyimpan data sensitif seperti kata sandi, kredensial kripto, dan detail pembayaran. Penyedia seperti Bitwarden, Dashlane, dan LastPass mempromosikan model enkripsi 'zero-knowledge', meyakinkan pengguna bahwa bahkan jika server diretas, tidak ada yang bisa mengakses data kecuali pengguna itu sendiri. Bitwarden menyatakan bahwa 'bahkan tim Bitwarden pun tidak bisa membaca data Anda (meskipun kami mau)'. Dashlane mengklaim bahwa tanpa kata sandi utama, 'pelaku jahat tidak bisa mencuri informasi, bahkan jika server Dashlane diretas'. LastPass juga menyatakan bahwa tidak ada yang bisa mengakses brankas 'kecuali Anda (bahkan bukan LastPass)'.</n/nNamun, peneliti dari ETH Zurich dan USI Lugano, dalam makalah yang diterbitkan pada 17 Februari 2026, menunjukkan bahwa janji ini tidak selalu terpenuhi. Dengan reverse-engineering perangkat lunak, mereka mengidentifikasi 25 kerentanan yang memungkinkan penyerang dengan kendali server—melalui peretasan atau akses internal—membaca atau bahkan memodifikasi brankas lengkap. Serangan utamanya mengeksploitasi fitur seperti escrow kunci untuk pemulihan akun dan berbagi brankas. Misalnya, di Bitwarden, saat pendaftaran anggota baru dalam keluarga atau organisasi, penyerang dapat mengganti kunci publik grup dengan miliknya, memungkinkan dekripsi kunci simetris pengguna dan akses ke brankas. Ini bisa menyebar 'seperti cacing' melintasi grup yang tumpang tindih jika pemulihan diaktifkan.</n/nCacat serupa memengaruhi escrow kunci LastPass di versi Teams, di mana penggantian kunci superadmin memungkinkan pencurian brankas saat login melalui ekstensi browser. Dashlane menghadapi risiko di brankas bersama, di mana pasangan kunci tidak terautentikasi memungkinkan penyerang memulihkan kunci simetris bersama untuk membaca dan memodifikasi item. Kompatibilitas mundur dengan versi lama memperkenalkan kelemahan lebih lanjut, seperti serangan padding oracle di Bitwarden dan Dashlane yang bisa mendekripsi brankas seiring waktu. Serangan pada iterasi hashing juga secara dramatis mengurangi kesulitan cracking kata sandi utama.</n/nPeneliti mencatat bahwa masalah ini diabaikan meskipun audit sebelumnya, menyerukan fokus lebih pada skenario server jahat. Mereka menyebutkan 1Password kemungkinan memiliki cacat serupa tapi dianalisis lebih sedikit. Perusahaan merespons dengan menambal banyak kerentanan setelah pemberitahuan pribadi. Bitwarden menekankan bahwa model ancaman mengasumsikan 'kompromi server penuh dan perilaku adversarial di luar asumsi operasional standar'. LastPass menyoroti keamanan berlapisnya, termasuk pengujian penetrasi tahunan dan program bug bounty. Dashlane menegaskan pengujian ketat dan mitigasi cepat. 1Password menyatakan makalah tersebut tidak mengungkap vektor baru di luar risiko terdokumentasinya dan terus mengevaluasi terhadap ancaman canggih.</n/nStudi ini menekankan bahwa meskipun pelanggaran server jarang, mereka tetap merupakan risiko yang kredibel, terutama dari aktor negara, mengingat insiden masa lalu seperti pelanggaran LastPass pada 2015, 2021, dan 2022.
