Ny forskning från ETH Zurich och USI Lugano avslöjar sårbarheter i populära lösenordshanterare, vilket utmanar deras försäkringar om att servrar inte kan komma åt användarnas valv. Studien analyserade Bitwarden, Dashlane och LastPass, och identifierade sätt som angripare med serverkontroll kunde stjäla eller ändra data, särskilt när funktioner som kontonåterställning eller delning är aktiverade. Företagen har börjat patcha problemen samtidigt som de försvarar sina övergripande säkerhetsrutiner.
Lösenordshanterare har blivit oumbärliga för miljontals, med uppskattningsvis 94 miljoner amerikanska vuxna som använder dem för att lagra känslig data som lösenord, kryptovalutainloggningsuppgifter och betalningsdetaljer. Leverantörer som Bitwarden, Dashlane och LastPass marknadsför en 'nollkunskap'-krypteringsmodell, och försäkrar användare om att även om servrar komprometteras kan ingen annan än användaren komma åt datan. Bitwarden anger att 'inte ens teamet på Bitwarden kan läsa din data (även om vi ville)'. Dashlane hävdar att utan huvudlösenordet 'kan skadliga aktörer inte stjäla informationen, även om Dashlanes servrar komprometteras'. LastPass hävdar likaså att ingen kan komma åt valvet 'utom du (inte ens LastPass)'.</n/nForskare från ETH Zurich och USI Lugano visade dock i en artikel publicerad den 17 februari 2026 att dessa löften inte alltid håller. Genom att reverse-engineera mjukvaran identifierade de 25 sårbarheter som tillåter en angripare med serverkontroll – genom kompromettering eller intern åtkomst – att läsa eller till och med ändra hela valv. Attackerna utnyttjar främst funktioner som nyckeldeposition för kontonåterställning och valvdelning. Till exempel i Bitwarden kan en angripare under ny medlemsregistrering i familj eller organisation ersätta gruppens publika nyckel med sin egen, vilket möjliggör dekryptering av användarens symmetriska nyckel och åtkomst till valvet. Detta kan spridas 'masklikt' över överlappande grupper om återställning är aktiverad.</n/nLiknande brister drabbar LastPass nyckeldeposition i Teams-versioner, där superadmin-nyckelbyte tillåter valvstöld vid inloggning via webbläsartillägg. Dashlane riskerar i delade valv, där oautentiserade nyckelpar låter angripare återställa delade symmetriska nycklar för att läsa och ändra objekt. Bakåtkompatibilitet med äldre versioner introducerar ytterligare svagheter, som padding-orakelattacker i Bitwarden och Dashlane som kunde dekryptera valv över tid. Attacker mot hash-iterationer minskar också dramatiskt svårigheten att knäcka huvudlösenordet.</n/nForskarna noterade att dessa problem förbisetts trots tidigare revisioner, och efterlyser mer fokus på skadliga server-scenarier. De nämnde att 1Password troligen delar liknande brister men analyserades mindre djupt. Företagen svarade med att patcha många sårbarheter efter privata meddelanden. Bitwarden betonade att hotmodellen förutsätter 'full serverkompromettering och fientligt beteende bortom standard driftsantaganden'. LastPass framhöll sin flerskiktade säkerhet, inklusive årliga penetrationstester och bug bounties. Dashlane bekräftade rigorösa tester och snabb åtgärd. 1Password angav att artikeln inte avslöjade nya vektorer utöver dokumenterade risker och fortsätter utvärdera mot avancerade hot.</n/nStudien understryker att även om serverintrång är sällsynta förblir de ett trovärdigt hot, särskilt från statsaktörer, med tanke på tidigare incidenter som LastPass intrång 2015, 2021 och 2022.
