密码管理器“零知识”加密承诺被质疑
瑞士苏黎世联邦理工学院与意大利卢加诺大学联合发布研究称,主流密码管理器宣称的“零知识”加密机制并非绝对安全。针对Bitwarden、Dashlane和LastPass的25项漏洞分析显示,攻击者在控制服务器后可通过账户恢复、群体管理及旧版本兼容性功能窃取用户数据。
漏洞详情
研究指出,当启用特定功能(如账户自动恢复)时,攻击者可替换群组公钥以获取用户加密密钥。Bitwarden的“密钥连接器”功能及LastPass的“团队版”存在类似风险。此外,所有三款产品均因支持旧版本协议,可能降低哈希加密迭代次数,使破解难度下降20万倍。
企业回应
Bitwarden、LastPass和Dashlane均表示已通过内部审核和第三方评估修复部分漏洞。1Password在声明中强调其白皮书已预设恶意服务器攻击可能性,并承诺持续优化安全架构。四家公司均重申“零知识”概念与“端到端加密”存在差异,部分定义可能引发误解。
长期挑战
论文作者Matteo Scarlata指出,“零知识加密”缺乏统一标准,用户难以验证公钥真实性。研究团队建议密码管理器需重新设计加密流程,并加强服务器行为的独立审计。
编辑点评
这篇研究揭示了全球网络安全领域的重要隐患,尤其是对依赖密码管理器存储敏感信息的数百万用户构成潜在威胁。国际媒体关注的核心在于,技术公司长期使用的“零知识”宣传是否可能误导消费者,同时暴露了云服务安全协议与现实攻击场景之间的脱节。
从地缘政治角度看,此类漏洞可能被国家行为者利用,通过供应链攻击或针对性网络钓鱼获取高价值目标数据。这促使各国政府重新审视对私营企业数据保护的信任边界,或推动更严格的加密技术监管框架。
经济层面,相关公司若无法有效修复漏洞,可能面临用户流失及集体诉讼风险,影响金融科技与云服务市场格局。研究同时标志着学术界与企业安全实践的深度碰撞,未来密码管理器行业或将经历技术标准重构,以应对恶意服务器攻击的复杂威胁模型。